Особенности национального Интернет-банкинга

Особенности национального Интернет-банкинга

В.Н. Пономарев, начальник УЦ ОАО "Аэрофлот",
кандидат технических наук

Во всем мире широкое распространение получили электронные системы типа "банк — клиент", которые стали неотъемлемой частью практики банковского обслуживания юридических и физических лиц. Дело здесь не только в развитии ИТ, распространении Интернета, но и в том, что банкам гораздо удобнее так работать. Естественно, они различными методами стимулируют клиентов, вынуждая их переходить на "безбумажные" технологии. Но насколько безопасны подобные решения, ведь речь идет о деньгах?

Необходимо различать безопасность банка и клиента, что не всегда одно и то же. Сразу отметим, что при грамотном их использовании технологии "электронного банка" способны обеспечить очень высокий уровень безопасности. Однако нельзя забывать и об удобстве пользователей, иначе громоздкая и сложная услуга просто не будет востребована. В значительной мере именно этим объясняется фактический провал некоторых амбициозных проектов крупных российских банков в области внедрения новых технологий по обслуживанию частных лиц

Клиентский модуль

Клиенты предъявляют к Интернет-банкингу ряд очевидных требований. Во-первых, им нужна уверенность в достаточной безопасности используемых решений управления счетом. Во-вторых, они предпочли бы максимальную простоту и универсальность (например, для индивидуальных клиентов существенную роль играет возможность "общаться" с банком с любого, а не с какого-то конкретного ПК).

В идеале клиентского модуля могло бы и вообще не быть, ведь в распространенных операционных системах (ОС) уже имеются встроенные средства защиты и поддерживаются международные коммерческие криптоалгоритмы. В иных случаях модуль мог бы просто скачиваться с сайта банка. К сожалению, в силу перестраховочной позиции, занимаемой российскими банками, обычно применяются отечественные криптостан-дарты, что делает клиентский модуль не только неизбежным, но и весьма громоздким. В то же время клиентский компьютер все равно остается довольно уязвимым, да и любая такая защита не дает полной гарантии против программ-"троянцев". Так что использование тех или иных криптоалгоритмов отнюдь не является самым слабым звеном в цепи Интернет-банкинга.

Рассмотрим некоторые ключевые правовые и технические проблемы при организации систем Интернет-банкинга.

О пользе унификации и международных стандартов

В настоящее время не существует согласованного, ясного и последовательного подхода к построению систем Интернет-банкинга. Да и откуда ему взяться? Фирмы — разработчики программного обеспечения (ПО) озабочены лишь тем, чтобы их продукт был работоспособен и нравился покупателям (т.е. банкам). Эгоцентризм банков оказывается мощным тормозом, когда наступает время обобщить итоги, сформировать единые принципы построения тех или иных систем и добиться их реализации. Ассоциация российских банков (АРБ) имеет ряд комитетов, занимающихся вопросами информационной безопасности (ИБ), Интернет-технологий, разработки электронных стандартов и т.д. Комитеты выявляют проблемы, ставят вопросы и выдают предложения, то есть идет непрерывный процесс, но результаты его вызывают смешанное чувство досады и недоумения. Такое впечатление, будто российское банковское сообщество не в курсе, что мировые интеграционные процессы идут не только в экономике, но и в сфере технологий, что электронные системы в коммерческом секторе гораздо перспективнее строить сразу на основе международных технологических стандартов, а не вырабатывать собственные, стремясь перестраховаться из-за путаного российского законодательства в сфере ИБ. Для компании, пользующейся услугами нескольких банков, вопрос унификации и совместимости различных электронных систем и их параметров является критичным, банки же, похоже, полагают, что унификация может пойти на пользу конкурентам. До сих пор остается до конца неясным правовой статус систем Интернет-банкинга: является эта система корпоративной информационной системой или информационной системой общего пользования? А ведь от этого зависит многое, в частности применение Закона РФ об ЭЦП.

О спасении утопающих

Работа с банком через Интернет приводит к необходимости использования клиентом дополнительных индивидуальных средств защиты компьютера. Обычно банки этим не занимаются, оставляя проблему обеспечения чистоты операционной среды пользователю и возлагая на него ответственность за возможные последствия. То же самое можно сказать и о проблеме хранения персональных идентификационных данных. Диапазон усилий клиента в этом смысле должен зависеть от сумм на счете: чем больше денег, тем тщательнее защита. В принципе это правильно, поскольку, в конце концов, "спасение утопающих - дело рук самих утопающих". Но банку следует хотя бы на своем сайте предупреждать клиентов об имеющихся проблемах и методиках их решения, а это делается далеко не всегда.

Надо учитывать, что средний пользователь не имеет достаточной квалификации, чтобы грамотно установить и эксплуатировать, скажем, персональный межсетевой экран. Таким образом, принцип равной прочности составляющих периметра обороны применительно к электронным клиентским системам не работает: очевидно, что риск клиентской стороны гораздо больше.

Использование ЭЦП и одноразовых паролей

Основным средством аутентификации и авторизации в системах Интернет-банкинга служит ЭЦП. Секретный ключ ЭЦП — вполне надежная защита пользователя, но лишь до тех пор, пока никто больше не располагает его копией. Поэтому, если клиент собирается держать на счете крупные суммы, весьма важно, позволяет ли банк сгенерировать ключевую пару ЭЦП на компьютере клиента или предоставляет ее в готовом виде. В последнем случае остается возможность копирования секретного ключа банковским клерком со всеми вытекающими отсюда последствиями. Несмотря на это, даже среди крупных российских банков есть такие, которые генерируют ключи ЭЦП клиента без его участия. Особенно щекотливым этот момент является для клиентов — юридических лиц.

Носители секретного ключа могут быть разными. Самым сомнительным с точки зрения безопасности является размещение на жестком диске; самым распространенным до сих пор - на дискете. Более удобны смарт-карты, брелоки типа Touch Memory, eToken, iKey и т.п. Очень важным с точки зрения безопасности является наличие у носителя микропроцессора, оперирующего секретным ключом таким образом, чтобы тот не попадал в ходе использования в оперативную память компьютера. Гораздо технологичнее носители, которым не требуется дополнительный считыватель. С этих позиций наиболее перспективными представляются носители типа eToken и iKey, непосредственно подключаемые к обычному USB-порту.

С другой стороны, все наиболее популярные носители ключевых идентификационных данных в процессе соединения с компьютером все равно осуществляют с ним автоматизированный обмен информацией. С точки зрения безопасности этот момент и является критичным. Кардинальным решением может служить полное отсечение у компьютера (с предположительно внедренным "троянским конем") возможности доступа к идентификационным данным и переход на использование системы одноразовых паролей (One Time Password), которые бесполезно перехватывать, поскольку невозможно использовать вновь. Основным достоинством такого подхода является отсутствие необходимости в инсталляции у пользователя какого-либо ПО для работы или защиты.

Примитивным вариантом реализации этого принципа является схема, при которой соединение с сервером идет по обычному SSL-протоколу, пользователь заполняет соответствующие формы на банковском сайте, а каждое значимое действие подтверждается вводом очередного разового пароля из списка, выданного в банке. Главный недостаток указанной схемы - очевидная архаичность, поскольку клиент вынужден постоянно беспокоиться о сохранности и обновлении своего списка паролей.

В редких случаях некоторые (пока единичные) банки доводят эту схему до логического конца и применяют в качестве источника одноразовых паролей автономные электронные идентификаторы (АЭИ). АЭИ могут быть реализованы в виде калькуляторов той или иной формы, карт или брелоков. Такие брелоки иногда называют интеллектуальными токенами, но путать их с USB-токенами не стоит. Главной особенностью этих устройств является автономность, то есть отсутствие непосредственного контакта с компьютером, и наличие дисплея, с которого пользователь считывает информацию. Данные, содержащиеся в самом АЭИ, обычно защищены PIN-кодом. Формирование паролей может быть динамическим, когда АЭИ и сервер осуществляют синхронизированную генерацию паролей на основании одних и тех же исходных данных, или же система может работать по схеме "запрос-ответ": сервер выдает случайное число, которое АЭИ криптографически преобразует и возвращает результат серверу для проверки. Конструкция выглядит почти идеальной, но большое число вводимых с клавиатуры символов может представлять проблему для пользователя, так же как и стоимость АЭИ.

Перспективы роста

В настоящее время в США имеется около 25 млн пользователей Интернет-банкинга, в Европе - 60 млн. В России цифры пока более чем скромные: по данным годичной давности, у банков было всего 40-50 тыс. "электронных" клиентов. Причин здесь несколько. Конечно, и компьютеров у населения России меньше, и Интернет не так развит, как на Западе, и денег у потенциальных клиентов недостаточно. Однако определенное значение имеют и субъективные факторы, о которых шла речь в статье.

Хочется верить, что их преодоление ускорит переход к массовому виртуальному управлению счетами. На сегодняшний день сравнительно небольшой охват российского населения электронными банковскими услугами по сравнению с другими развитыми странами удручает, однако высокие, революционные темпы роста в данном секторе обнадеживают.