информация актуальна на 1.09.09

 В начале сентября УБЭП МВД по Республике Татарстан  распространил информацию о хищении 7 миллионов рублей со счета одного из республиканских банков.

 «В действительности в июле 2009 года была совершена хакерская атака на клиента банка,- сообщила пресс-служба упомянутой кредитной организации в ответном пресс-релизе.  -Деньги клиента были переведены на счет в другом городе и впоследствии распылены на более мелкие счета. Служебная проверка показала, что данный инцидент не имеет никакого отношения к системе безопасности банка. Системы банка достаточно защищены, чтобы противодействовать подобным нападениям извне. В данном случае речь идет о халатности при эксплуатации клиентом банка системы дистанционного банковского обслуживания (ДБО), и полном игнорировании элементарных мер предосторожности и безопасности»

В начале 2008 года в российских банках участились  попытки хищения денежных средств со счетов корпоративных клиентов с использованием систем дистанционного управления счетом - интернет-банк. Как же  происходит несанкционированный доступ к банковскому счету?

Рассказывает начальник департамента информационных технологий ОАО «АКИБАНК» Владимир Глухов:

 - При эксплуатации ДБО банки использует систему шифрования передаваемых сообщений и систему электронно-цифровой подписи без бумажного документооборота.  Клиент самостоятельно создает (генерирует) пару закрытых ключей электронно-цифровой подписи (ЭЦП), которыми в дальнейшем подписывает свои платежные поручения, а открытый ключ передает в банк. Подчеркиваю, что в банке секретного ключа ЭЦП клиента нет. В банке есть только открытый ключ ЭЦП клиента, с помощью которого банковский сервер проверяет подпись клиента под электронными документами. Восстановить из открытого ключа закрытый ключ ЭЦП технически невозможно. Именно поэтому все действия злоумышленников направлены на хищение (копирование) секретного ключа у его единственного владельца – клиента.

Хранится закрытый ключ клиентом в копируемых файлах на различного типа носителях: дискетах, жестких дисках, флешках, смарт-картах и пр. Попав в руки постороннего человека, эти носители откроют ему доступ к банковскому счету. Несмотря на то, что банк предостерегает клиентов от разглашения данных и в договорах, и в специальных информационных сообщениях, не все клиенты прислушиваются к советам специалистов, пренебрегая элементарными мерами безопасности.

Другой способ завладеть секретной информацией – похитить ее дистанционно, используя хакерские атаки с помощью вредоносных программ, так называемых троянов. Для специалистов скажу, что длина секретного ключа 256 бит – это 10⁷⁸ вариантов. Подобрать или угадать секретный ключ ЭЦП невозможно – атомов во Вселенной меньше. Поэтому кибер-воры, используя уязвимости в операционных системах, Web-браузерах, почтовых программах, заражают компьютеры клиентов троянами и дистанционно похищают файлы с закрытыми ключами и пароли, вводимые с клавиатуры.

Далее по системе ДБО в банк направляется платежное поручение с корректной электронно-цифровой подписью клиента. Банк принимает легитимный платежный документ с настоящей ЭЦП и обязан выполнить распоряжение клиента, данное через интернет-систему.  

Надежная защита для секретного ключа

Единственный радикальный метод противодействия вредоносным программам, копирующим секретные ключи клиента – исключить все операции с секретными ключами на компьютере клиента. Секретный ключ ЭЦП клиента не должен попадать в персональный компьютер.

АКИБАНК одним из первых стал применять новое решение в сфере безопасности интернет платежей  - устройство для генерации и хранения ключей USB-токен "iBank 2 key". Программное решение разработано российской компанией «БИФИТ»  в результате анализа способов хищения денежных средств с расчетных счетов корпоративных клиентов с использованием электронного банкинга.

Еще в прошлом году мы начали переводить всех клиентов на USB-токен - небольшое устройство, внешне похожее на брелок для ключей, но внутри это микрокомпьютер с функциями шифрования данных.

USB-токен "iBank 2 key"  - это принципиально новый уровень безопасности в расчетах по электронной системе  удаленного обслуживания. Хранение ключей на токене во много раз безопаснее, чем использование других сменных носителей: флешек, дискет, компакт дисков и т.д. Дело в том, что формирование секретного ключа и электронной цифровой подписи (ЭЦП) осуществляется непосредственно внутри USB-токена встроенным микропроцессором. Токен принимает на вход подписываемый документ и возвращает на выходе ЭЦП для этого документа, таким  образом, секретный ключ на протяжении всего срока своего существования не покидает токена.  Время формирования  ЭЦП менее 0,5 сек. Устройство обеспечивает генерацию и хранение до 64 ключей.

Неоспоримым преимуществом USB-токена (входящего, кстати, в пятерку наиболее перспективных технологий в области информационной безопасности по версии Microsoft) является то, что он ни при каких обстоятельствах не позволяет скопировать электронный ключ – сделать это невозможно технически. А если невозможно скопировать ключ, то никто не сможет им воспользоваться без согласия клиента. На сегодня USB-токен – самое эффективное решение, и клиенты «АКИБАНКА» им будут обеспечены полностью. Для пользователей интернет-банкинга других банков я бы посоветовал также перевести ключи на USB-токен, а также подключить услугу SMS-информирования, либо использовать практику одноразовых паролей. А в целом – выполнять все то, что рекомендуют для вашей безопасности банки и разработчики IT-решений.