Все
разделы

Публикации

Александр Бабкин: «Тонкий момент — пойдет ли речь о праве банка перенести подпись платежей к себе или об обязанности?»

Начальник Ситуационного центра информационной безопасности Газпромбанка на IT & Security Forum в Казани рассказал Банкир.Ру о подводных камнях при переносе подписи платежей из АРМ КБР на сторону АБС.

— Что, по вашему мнению, стало причиной идеи о переносе?

— Начиная с января 2016 года отмечено повышение активности злоумышленников, предпринимающих различные атаки на банки. Нам доподлинно известно о пяти случаях успешных атак, приведших к потенциальным потерям до миллиарда рублей. На фоне происходящего банковское сообщество вообще и мы в частности начали усиливать защиту самого АРМ КБР, инфраструктуры вокруг него и защиту АБС.

Надо понимать, что для банков ее внедрение затратно

На одном из совещаний в ЦБ было высказано мнение, что функциональность подписи платежа надо переносить из АРМ КБР в АБС.

Идея, на мой взгляд, абсолютно правильная. Но надо понимать, что для банков ее внедрение затратно. Никогда прежде банк не готов был финансировать разработчиков АБС для добавления функций проверки целостности и авторства, проставления электронной подписи.

— Затраты — это полбеды. К сожалению, ряд банков использует собственную АБС, написанную довольно давно, и разработчик ее давно в банке не работает. Поэтому столь глубокая доработка становится почти неразрешимой проблемой. Кроме, конечно, замены АБС на другую.

— Наверное, если у банка нет возможности полностью контролировать собственное ПО, у него возникают риски совсем другого порядка.

ЦБ еще до конца не определился, готов ли он дать SDK чтобы подписанный на стороне АБС платеж не требовал еще одной подписи на уровне АРМ-оператора

Сегодня функциональность шифрования и цифровой подписи находится на стороне инфраструктуры АРМ КБР. Речь идет, фактически, о том, чтобы отделить ее. Чтобы АРМ КБР стало транспортом, обеспечивающим только шифрование, но не саму подпись. Это техническая сторона.

Есть еще сторона организационная. Насколько мне известно, ЦБ еще до конца не определился, готов ли он дать SDK, чтобы подписанный на стороне АБС платеж не требовал еще одной подписи на уровне АРМ-оператора и АРМ-контролера. Нужна доработка на уровне ЦБ, нужен SDK, вынесенный на инфраструктуру банка. И, конечно, нормативы, согласно которым банки смогут подписывать платежи у себя.

И вот здесь, на мой взгляд, очень тонкий момент: пойдет ли речь о праве банка перенести подпись к себе или об обязанности? Право — это хорошо, с какой стороны ни посмотри. Можно спокойно попробовать и проверить. Со временем оно может стать и обязанностью, подкрепленной регулятивным требованием. Но лучше не сразу.

В то же время должен решаться вопрос и регулирования рисков. Если банк правом, повышающим общий уровень безопасности, не пользуется, он берет на себя дополнительные риски в связи с атаками на АРМ КБР. Например, увеличивает резервные фонды.

— И все же, если вынести за скобки затраты и организационные моменты, остальное — уже дело техники?

— Если мы переносим нынешнюю функциональность АРМ КБР в инфраструктуру банка, возникает еще ряд вопросов. Например, в какую часть инфраструктуры выносить функциональность подписи?

В крупных банках есть немало систем, выполняющих разные функции. Платежные, расчетно-кассовые, транспортные и т. д. Банк должен хорошо подумать: какая часть инфраструктуры вызывает наименьшее доверие? Например, операционистка может находиться в незащищенной среде в зоне выездных продаж, или если она выдает потребительские кредиты в автосалоне. Во время обеда ее ноутбук доступен довольно широкому кругу лиц, и при помощи флэшки в него за несколько минут может быть загружено вредоносное ПО. Необходимо проанализировать инфраструктуру банка, и чем ближе подпись будет находиться к фронт-подразделению, тем больше систем банка потребуется дорабатывать.

Начать стоит с права, но не с обязанности перевести подпись на свою сторону

То есть, если банк крупный, и АБС де-факто разделена под задачи различных структурных подразделений, затраты растут в геометрической прогрессии. И если разные части писались в разное время и разными людьми, вполне может возникнуть проблема доработки какого-то сегмента.

Поэтому, повторюсь, начать стоит с права, но не с обязанности перевести подпись на свою сторону.

Сергей Вильянов , Банкир.Ру