17.11.2014

Обзор изменений в Положении Банка России № 382-П: как соответствовать новым требованиям?

12

Автор: Евгений Сачков

Должность: старший аудитор отдела безопасности банковских систем компании «Информзащита»

Как и в случае с предыдущим выходом изменений, новая редакция Положения вступает в силу и становится обязательной для выполнения через 180 дней с момента публикации Указания.

Прежде всего стоит отметить, что внесенные изменения являются, скорее, признанием и адаптацией удачных мировых практик, чем кардинальной сменой курса развития ИБ в банковской сфере. Требования, озвученные в Указании № 3007-У, своей актуальности не потеряли, но были заметно усилены в части обеспечения безопасности дистанционного банковского обслуживания.

Нововведения можно условно разделить на следующие группы (рис. 1):

  1. Дополнительные требования к разработке (выбору) прикладного программного обеспечения, используемого клиентами для осуществления переводов денежных средств.
  2. Требования к разработке мобильных приложений дистанционного банковского обслуживания.
  3. Дополнительные требования к подтверждению права формирования распоряжений на перевод денежных средств, а также требования к информированию о таких распоряжениях.
  4. Требования к контролю штатного функционирования терминальных устройств дистанционного банковского обслуживания.
  5. Требование к оснащению расчетных карт микропроцессором.
68977-ris1

Рис.1.

 

Предлагаю на время отвлечься от формулировок внесенных изменений и обратить внимание на два гипотетических банка, предоставляющих своим клиентам схожий спектр услуг, но отличающихся уровнем зрелости ИБ. Условимся, что банк Б1 ориентирован на быстрое расширение числа клиентов и получение прибыли за счет быстрого выведения новых услуг на потребительский рынок. Банк Б2 представляет его противоположность, так как жертвует скоростью предоставления услуг в интересах обеспечения их управляемости и устойчивого функционирования (в частности, Служба информационной безопасности банка Б2 обладает правом «вето» на планерках бизнес-подразделений).

Рассмотрим нововведения на примере ситуаций, которые могут возникнуть в данных банках (каждая ситуация описывает необходимость реализации того или иного требования или группы требований).

1. Дополнительные требования к разработке (выбору) прикладного программного обеспечения, используемого клиентами для осуществления переводов денежных средств.

Ситуация: Банк Б1 ориентирован на получение большей прибыли от услуг «Банк-Клиент» за счет использования более функционального клиентского ППО; в связи с этим ТЗ на разработку (приобретение) ППО ДБО для клиентов формируют бизнес-подразделения Банка.

В целях более быстрого принятия решений требования к работе механизмов обеспечения ИБ не предъявляются, а при приемке информационной системы участвуют только заинтересованные бизнес-подразделения и Служба информационных технологий (СИТ).

Так как приложение «имеет интуитивно понятный интерфейс», инструкция по эксплуатации до пользователя не доводится, как и требования по информационной безопасности (либо пользователь получает неактуальную ссылку на инструкцию, как в примере ниже, рис. 2).

Рис.2.

Рис.2.

К чему это может привести?

1. Так как не оценивалась работоспособность механизмов обеспечения ИБ – повышается вероятность реализации угроз, направленных на ППО и каналы связи.

2. «Благодаря» неосведомленности пользователя о правилах информационной безопасности, растет количество инцидентов, связанных с утратой (разглашением) пользователями ключевой информации.

3. Растут незапланированные денежные и временные затраты на внедрение механизмов ИБ, отсутствие или недостаточность которых были выявлены во время опытной эксплуатации системы ДБО.

Обратная ситуация: Как уже упоминалось ранее, банк Б2 ориентирован на стабильность оказания услуг, поэтому его СИБ участвовала как в выборе, так и в приемке решения ДБО; в случае выявления некорректности работы какого-либо механизма обеспечения ИБ производились обсуждения с разработчиками. Как результат – были либо проведены соответствующие доработки решения, либо запланировано принятие компенсационных мер.

На сайте Банка и в памятке пользователя Клиент-Банка указан перечень обязательных и рекомендуемых к принятию мер по информационной безопасности.

Что дал Банку такой подход?

1. Вероятность реализации угроз, направленных на ППО и каналы связи, либо осталась на ожидаемом уровне, либо понизилась (так как механизмы обеспечения ИБ были оценены и при необходимости – доработаны).

2. За счет выполнения пользователями требований к ИБ – повышается защищенность клиентских рабочих мест.

3. Большая часть затрат на развитие системы обеспечения ИБ (СОИБ) уже заложена в бюджет Банка, развитие СОИБ можно осуществлять в плановом режиме.

Ситуация: Банк Б2 заранее оповестил своих клиентов о возможных обновлениях используемого программного обеспечения (в том числе – вызванных обнаруженными в программном обеспечении уязвимостями), а также предпринял меры по контролю использования клиентами актуальной версии программного обеспечения.

Обратная ситуация: Банк Б1 не осуществляет распространение изменений ППО либо не предпринимает меры по контролю использования актуальных версий используемого приложения.

Какие риски несет банк Б1?

1. Риск утраты конфиденциальности информации о состоянии счетов клиентов за счет использования клиентами уязвимых версий приложений ДБО.

2. Потери денежных средств – за счет проведения мошеннических операций злоумышленником от имени санкционированного клиента.

3. Репутационные риски – за счет распространения в СМИ информации по первым двум рискам.

Какие риски несет банк Б2? Те же самые, но в гораздо меньших количествах. И, возможно, риск получить довольных клиентов (особенно – при правильной подаче информации о выпуске новой версии ПО).

2. Требования к разработке мобильных приложений дистанционного банковского обслуживания.

Ситуация: В процессе составления ТЗ на разработку мобильного приложения банк Б2 оценивает необходимость хранения защищаемой информации на мобильном устройстве (критерии в данном случае могут быть разными – например, повышение скорости работы приложения, снижение нагрузки на сервер или объемов передаваемого трафика). Принимается одно из двух решений – либо реализуется программный запрет хранения информации приложением, либо обеспечивается защита хранимой на мобильном устройстве информации от несанкционированного доступа (например – запрет загрузки клиентского сертификата при отсутствии ключа блокировки устройства).

По завершении разработки банк Б2 публикует мобильное приложение в репозиториях (AppStore, GooglePlay, …) от имени разработчика и указывает это имя на сайте Банка (либо публикует приложение от имени Банка).

После публикации мобильного приложения банк Б2 контролирует возникновение в репозиториях одноименных приложений от сторонних разработчиков и, в случае обнаружения таковых, оповещает владельцев репозитория и клиентов Банка.

Обратная ситуация: Банк Б1 не ставил перед разработчиками выбора между запретом хранения защищаемой информации и реализацией механизмов защиты от несанкционированного доступа, поэтому разработчиком не было выполнено ни то, ни другое.

По окончании разработки мобильное приложение было опубликовано от имени разработчика, но до клиента информация об имени разработчика доводится неявно.

Так как у банка Б1 нет сомнений в том, что пользователь быстро найдет официальное мобильное приложение и не обратит внимания на одно-два неофициальных, контроль наличия таковых Банком не осуществляется.

Как это отразится на каждом из Банков?

1. Количество инцидентов, связанных с несанкционированным доступом к мобильном устройствам клиентов Банка, возрастет в банке Б1 и снизится в Б2.

2. Часть клиентов банка Б1 ошибочно установит фишинговое приложение, что приведет к утечке пользовательских данных и ключевой информации пользователей, а также проведению несанкционированных переводов денежных средств.

3. Дополнительные требования к подтверждению права формирования распоряжений на перевод денежных средств, а также требования к информированию о таких распоряжениях.

Ситуация: Банк Б1 наконец-то ввел в эксплуатацию систему Интернет-Банка, но в Банке нет никаких требований к порядку доступа клиента к Интернет-Банку. Аутентификация пользователя осуществляется по одному из следующих сценариев:

1. У пользователя есть только многоразовый аутентификатор (пароль, сертификат). Аутентификатор используется только для входа в Интернет-Банк, подтверждение проводимых транзакций не требуется.

2. Пользователь имеет внешнее устройство, при помощи которого пользователь узнает одноразовые пароли (мобильный телефон, токен), либо список с одноразовыми паролями. Пароли могут использоваться как для входа в Интернет-Банк, так и для подтверждения транзакций. Многоразовым аутентификатором пользователь не обладает.

3. Пользователь обладает как многоразовым, так и одноразовыми аутентификаторами (соблюдается принцип «пользователь знает и обладает»), осуществляется подтверждение проводимых транзакций.

Информация о совершенных операциях отображается непосредственно в интерфейсе Интернет-Банка, оповещение пользователей через СМС-уведомления или электронную почту не осуществляется.

Клиент банка Б1 может в любое время осуществлять любые операции со своим банковским счетом, но также имеет возможность заблокировать свой аккаунт в системе Интернет-Банка – для этого пользователь должен написать заявление на блокировку в Головном офисе банка Б1.

Обратная ситуация: Банк Б2 определил во внутренних документах, что для доступа в Интернет-Банк клиент должен аутентифицироваться сначала по многоразовому, а затем – по одноразовому паролю, а также должен подтверждать выполнение транзакций при превышении суммы в 500 рублей.

Пользователю предоставляется услуга СМС-информирования о любых транзакциях, за исключением транзакций на обслуживание банковской карты и банковского счета; при этом клиент имеет возможность заблокировать аккаунт в Интернет-Банке при помощи телефонного звонка в колл-центр Банка (назвав кодовое слово), написав собственноручное заявление, а также через интерфейс самого Интернет-Банка (в данном случае становится невозможным осуществление транзакций, но возможен просмотр информации о банковских счетах). Банк же, в свою очередь, может приостановить отправку СМС-сообщений на телефонный номер клиента, если ему стала известна информация о смене получателя информации.

В дополнение к перечисленному, пользователь имеет возможность ограничить максимальный размер выполняемых операций, а также перечень устройств, откуда данные операции разрешено выполнять без согласования с оператором Банка.

Какие риски несет банк Б1?

1. В случае использования только постоянного аутентификатора – повышается вероятность несанкционированного доступа к аккаунту клиента Банка за счет его выявления.

2. В случае использования только одноразовых аутентификаторов – повышается вероятность возникновения инцидентов за счет получения несанкционированного доступа к мобильному устройству / списку одноразовых паролей клиента, а также за счет перевыпуска SIM-карт от имени клиента.

3. Для случаев реализации доступа, когда не требуется подтверждение проводимой операции при помощи привязанного к конкретному сеансу одноразового пароля, возникает риск совершения несанкционированных транзакций от имени клиента (за счет перехвата сессии пользователя).

4. Затруднено выявление мошеннических транзакций, так как пользователи Интернет-Банка не оповещаются о совершенных переводах своевременно.

5. Увеличивается объем мошеннических транзакций, так как клиенты Банка не имеют возможности ограничить объем разрешенных операций, а блокировка аккаунта в Интернет-Банке занимает продолжительное время.

Какие риски несет банк Б2?

1. Так как Банк определил, что транзакции номиналом менее 500 рублей не должны подтверждаться одноразовым паролем, возникает риск возникновения мошеннических транзакций на суммы менее 500 рублей. Данный риск частично компенсируется уведомлениями клиентов Банка о совершенных операциях, а также возможностью заблокировать проведение транзакций с устройств, не являющихся устройствами клиента Банка.

4. Требования к контролю штатного функционирования терминальных устройств дистанционного банковского обслуживания.

Ситуация: Банк Б2 учел конструктивные особенности и места размещения своих банкоматов и по результатам проведенного анализа определил меры защиты, необходимые для обеспечения своевременного обнаружения установки на них несанкционированного оборудования и ПО (либо противодействия работе несанкционированного оборудования и ПО).

Инкассаторам Банка были выданы инструкции по проведению контроля состояния банкоматов, а отдел технической защиты информации контролирует состав банкоматной сети и состав аппаратного и программного обеспечения банкоматов.

Для клиентов Банка на лицевой панели банкомата указаны его владелец, идентификатор, порядок действий в случае возникновения подозрения на нетиповую работу банкомата, а также номер телефона, по которому клиент может обратиться в Банк.

Обратная ситуация: Как внимательный читатель уже понял, банк Б1 подходил к вопросу работы с банкоматами не столь щепетильно – банкоматы закупаются в минимальной комплектации, для всех устройств применяются одни и те же меры защиты, при возникновении вопросов клиент связывается с Банком через колл-центр.

Какие риски несут банки Б1 и Б2?

Риски, конечно, схожи – получение злоумышленниками информации о расчетных картах клиентов, но уровень риска в банке Б1 может оказаться существенно выше (в зависимости от особенностей используемых устройств и применяемых средств защиты).

При этом у банка Б2 снижены риски несанкционированного физического доступа к банкоматам, а также риски заражения банкоматов зловредным ПО, способным подать команду на выдачу купюр в диспенсер – что уже само по себе неплохо.

5. Требование к оснащению расчетных карт микропроцессором.

Ситуация: Банк Б2 отказался от выпуска карт, не оснащенных микрочипом.

Обратная ситуация: Банк Б1 продолжает выпускать расчетные карты трех разных типов:

1. Карты, оснащенные только магнитной полосой.

2. Карты, оснащенные только микрочипом.

3. Карты, оснащенные микрочипом и магнитной полосой.

Как это отразится на каждом из Банков?

1. Банк Б2 значительно снижает уровень риска, связанного со скиммингом банковских карт, а также с использованием украденных или потерянных карт клиентов.

2. Остаточные риски по скиммингу карт банка Б2, связанные с применением гибридных карт на устройствах, поддерживающих только работу с магнитной полосой, страхуются: компенсацию за мошеннические транзакции будет выплачивать банк магазина, в котором карта была использована, а не банк Б2 (при условии, что магазин расположен не на территории США).

3. У банка Б1 уровень данного риска остается на прежнем уровне.

4. Для обоих банков остаются на прежнем уровне риски, связанные с мошенническими Card not Present транзакциями, а также способами мошенничества вида «ливанская петля».

Читателям, не понаслышке знакомым с банковской тематикой, деятельность банка Б1 наверняка показалась самым настоящим саботированием информационной безопасности банковских счетов пользователей, в то время как деятельность банка Б2 сама по себе не является удивительной или неожиданной. Это только наводит на мысль, что внесенные в Положение № 382-П изменения являются по большей части признанием удачных практик банковской безопасности, которых стоит придерживаться.

Действительно новыми можно назвать требования, касающиеся разработки и публикации мобильных банковских приложений – но количество таких требований невелико, к тому же не все банки на данный момент оказывают услуги мобильного банкинга для своих клиентов.

Итог – для значительной части российских банков нововведения в Положении Банка России не выльются в значительное изменение процессов обеспечения ИБ, так как деятельность по обеспечению ИБ в системах дистанционного банковского обслуживания уже выполняется. Если же ваш банк только начинает оказывать услуги ДБО, или если вопросы информационной безопасности не выносились на передний план ранее – на нововведения стоит обратить внимание (особенно, если ориентация на стабильность и управляемость предоставляемых услуг не чужда вашему банку).