Мудрый Экономист

Безопасность финансовых транзакций

"Расчеты и операционная работа в коммерческом банке", 2007, N 6

Финансы и необходимость постоянного надзора за их безопасностью - это неизбежно и в определенном смысле даже нормально. Собственники стремятся использовать самые современные средства защиты своей собственности, преступники и мошенники изобретают новые методы ее отчуждения и присвоения. Карточные платежи становятся все более популярными у российских граждан, поэтому неудивительно, что вопросам обеспечения безопасности расчетов и других операций с использованием карт была посвящена отдельная секция прошедшего в последней декаде ноября в Москве традиционного слета специалистов в сфере платежных карт (в рамках которого, кстати говоря, состоялись два солидных мероприятия - X Московский международный форум по платежным картам и XII Международная конференция и выставка "Интеллектуальные карты России - 2007"). С некоторыми докладами и оценками, прозвучавшими на заседании данной секции, мы и знакомим наших читателей.

Новые стандарты безопасности индустрии платежных карт (PCI DSS)

Открыл заседание секции Евгений Балезин, советник президента Ассоциации российских членов Европей (АРЧЕ), с докладом, посвященным той работе, которая ведется международной платежной системой в рамках программы по защите информации Site Data Protection (SDP), а также новым стандартам безопасности, разработанным и внедряемым под эгидой Совета по стандартизации безопасности индустрии платежных карт (PCI SSC).

В начале доклада Евгений Балезин остановился на особенностях современной ситуации в сфере обеспечения безопасности финансовых транзакций.

Во-первых, отметил докладчик, одним из свойств современной киберпреступности является то, что она становится все более многообразной и изощренной.

Вторая тенденция - основной мишенью мошенников в последние годы становятся интегрированные POS-терминальные сети, при этом:

Наиболее распространенным методом выполнения хакерских атак на сегодняшний день является SQL-внедрение <1>.

<1> SQL-внедрение (SQL injection) - один из способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос к базе данных произвольного SQL-кода.

Первая атака, подчеркнул Евгений Балезин, практически всегда связана с такого рода способом внедрения, в результате чего мошенники получают возможность напрямую добывать информацию из базы данных, включая информацию о транзакциях и реквизиты платежной карты.

Одной из важных тенденций, способствующих снижению вероятности атак, является использование специализированного ПО для мониторинга безопасности.

При этом необходимо обеспечить:

Утечка информации происходит в самых разных местах - непосредственно от держателей карт, из организаций, работающих в рамках платежной системы (банки-эквайреры, торговцы, специализированные хранилища данных, провайдеры услуг).

Способы, используемые преступниками, весьма разнообразны - от примитивной физической кражи данных до кражи путем удаленного доступа к информации через Интернет, прямого подключения к сети, посредством беспроводной связи (Wi-Fi), SQL-внедрения.

Подытоживая часть своего доклада, посвященную современной ситуации в сфере обеспечения безопасности финансовых транзакций, докладчик выделил пять основных причин, увеличивающих риск кражи ("компрометации") информации:

В целях повышения безопасности индустрии платежных карт путем выработки и внедрения единых стандартов безопасности 7 сентября 2006 г. был основан Совет по стандартизации безопасности индустрии платежных карт (PCI Security Standards Council). Исполнительный Комитет состоит из представителей платежных систем - основателей комитета - MasterCard Worldwide, Visa International, American Express, Discover Financial Services, JSB.

В функции Совета по стандартизации безопасности ИПК (PCI SSC) входят:

С целью полной определенности в части задач и целей Совета представитель АРЧЕ отдельно остановился на функциях, которые не входят в задачи PCI SSC.

Целый ряд функций будет реализовываться каждой платежной системой самостоятельно, а именно:

Коснувшись вопроса о том, какие организации (помимо платежных систем) могут быть членами Совета по безопасности (PCI SSC) и какими правами они будут наделены, Евгений Балезин отметил следующее:

На сегодняшний день уже разработаны стандарты PCI (версия 1.1) <1>, которые включают:

<1> Документы доступны на сайте www.psisecuritystandards.com.

Все организации, подлежащие сертификации, предполагается отнести к одной из четырех категорий (уровней) соответствия стандартам PCI DSS (см. таблицу).

Таблица

Уровни соответствия требованиям новых стандартов безопасности PCI DSS

----------T-----------------------T--------------------T-------------
Категория¦ Критерии ¦ Требования ¦ Дата
¦ ¦ ¦ принятия
----------+-----------------------+--------------------+-------------
1-й ¦- крупные торгово- ¦- ежегодный внешний ¦30.06.2005
уровень ¦сервисные предприятия ¦аудит (процессоры и ¦
¦с ежегодным оборотом ¦центры хранения ¦
¦более 6 млн транзакций;¦данных должны ¦
¦- все процессинговые ¦использовать для ¦
¦центры (ТРР); ¦аудита ¦
¦- все центры хранения ¦сертифицированную ¦
¦данных для организаций ¦стороннюю ¦
¦1-го, 2-го и 3-го ¦организацию); ¦
¦уровней; ¦- ежеквартальное ¦
¦- все ¦сканирование сети ¦
¦"скомпрометированные", ¦ ¦
¦т.е. однажды ¦ ¦
¦подвергшиеся атаке ¦ ¦
¦мошенников торговые ¦ ¦
¦предприятия, ¦ ¦
¦процессинговые центры ¦ ¦
¦и хранилища данных ¦ ¦
----------+-----------------------+--------------------+-------------
2-й ¦- все торгово-сервисные¦- ежегодная ¦31.12.2008
уровень ¦предприятия с оборотом ¦проверка/настройка ¦
¦от 1 до 6 млн ¦собственными силами;¦
¦транзакций ежегодно; ¦- ежеквартальное ¦
¦- все торгово-сервисные¦сканирование сети ¦
¦предприятия, которые ¦ ¦
¦пожелают отвечать ¦ ¦
¦требованиям 2-го уровня¦ ¦
----------+-----------------------+--------------------+-------------
3-й ¦- все торгово-сервисные¦- ежегодная ¦30.06.2005
уровень ¦предприятия с оборотом ¦проверка/настройка ¦
¦от 20 тыс. до 1 млн ¦собственными силами;¦
¦транзакций ежегодно; ¦- ежеквартальное ¦
¦- все торгово-сервисные¦сканирование сети ¦
¦предприятия, которые ¦ ¦
¦пожелают отвечать ¦ ¦
¦требованиям 3-го уровня¦ ¦
----------+-----------------------+--------------------+-------------
4-й ¦- все остальные ¦- ежегодная ¦После
уровень ¦торгово-сервисные ¦проверка/настройка ¦консультации
¦предприятия ¦собственными силами;¦с эквайрером
¦ ¦- ежеквартальное ¦
¦ ¦сканирование сети ¦
----------+-----------------------+--------------------+-------------

Новая версия требований по стандартам безопасности вступает в силу с 30 июня 2008 г. (а не с декабря 2007 г., как планировалось ранее) и будет содержать, в частности, корпоративные определения той информации по картам, которая не должна храниться, а также должен определить, что такое компенсационный контроль для зашифрованной информации, и предложить различные варианты компенсационного контроля в зависимости от технических и бизнес-требований.

Защищенные каналы связи для розничного банковского бизнеса

Продолжил тему безопасности расчетов Дмитрий Соболев (компания "ТрансТелеКом").

Свое выступление докладчик начал с констатации прямой зависимости между степенью защищенности сетей передачи данных и их дороговизной.

С технической точки зрения возможно использовать в розничном банковском бизнесе практически полностью защищенные каналы связи, которые по сути должны быть изолированными сетями, но это сделает сам бизнес нерентабельным, поскольку такие максимально защищенные сетевые решения дороги. Вместе с тем, поскольку в сети циркулирует финансовая информация, каналы передачи данных непременно нужно защищать.

Выход, как всегда, - в компромиссном решении, которое, с одной стороны, было бы достаточно надежным с точки зрения безопасности, с другой - относительно дешевым. А это означает, что банкам приходится использовать интернет-доступ, беспроводные каналы передачи данных. И одно из возможных решений такого класса - защищенный IP-VPN (Virtual Private Network).

Далее докладчик перечислил направления розничного бизнеса банков, нуждающиеся в защищенных каналах:

Необходимость защиты данных, циркулирующих при розничных платежах, обусловлена тем, что коммуникационные сети платежных систем передают и обрабатывают критичную информацию (трафик платежа содержит финансовые транзакции, персональные данные) и являются потенциальным объектом атаки.

Если говорить о банкоматах, при всей их защищенности на прикладном уровне, желательны дополнительные средства защиты, а именно: защита от несанкционированного доступа из сети, защита от dos-атак (denial-of-service attack), конфиденциальность в открытой сети, защита от недобросовестного провайдера выделенной линии. Идеальным вариантом решения всех перечисленных проблем была бы опять же изолированная сеть, но это, как уже говорилось выше, слишком дорого и нерентабельно.

Далее Дмитрий Соболев перечислил основные системно-технические требования к защитному оборудованию для банкоматов: компактность, пылезащищенность (очень важное требование, поскольку банкоматы расположены удаленно), поддержка различных коммуникационных сред платежных сетей (Ethernet, внешний модем на выделенной/коммутируемой линии, GPRS), соответствие требованиям надежности коммуникационной инфраструктуры, поддержка резервирования каналов со стороны банкомата (диверсификация доступа), возможность работы с использованием резервной сетевой инфраструктуры процессингового центра (работа в сети с резервированными шлюзами доступа, автоматическая отработка отказа шлюза доступа).

Есть и специальные требования - стойкость защиты (конфиденциальность, строгий контроль доступа - изоляция платежной сети), защищенность от несанкционированного доступа со стороны обслуживающего персонала, стандартизация, управляемость, совместимость с системами сетевого событийного протоколирования и мониторинга, работа с различными криптографическими и ключевыми системами и, наконец, использование российских стандартов и сертификация.

Технология защиты банкоматов

Казалось бы, банкомат - одно из самых защищенных устройств, работающих в карточных платежных системах. Мощные сейфы, анкерное крепление, антивандальные экраны - все это уже давно стало нормой у производителей этих устройств. И вместе с тем проблема безопасности банкоматов очень и очень актуальна.

Защите банкоматов был посвящен и доклад еще одного выступавшего на секции - Ивана Стригина, системного инженера компании Diebold.

Банкомат как объект мошенничества

С самого начала своего производства банкоматы стали лакомым куском для самого разного сорта преступников - как обыкновенных грабителей, предпочитающих силовые способы отъема денег и специализировавшихся ранее на обычных сейфах, так и мошенников, открывших для себя новое поле деятельности, а также хакеров, нашедших еще одно применение своим талантам.

Объектами для совершения мошеннических действий становятся буквально все компоненты банкомата:

Другие виды преступлений на банкомате включают в себя физическое ограбление (вывоз банкомата, грабежи и разбои, кража со взломом из банкомата), а также преступления в сфере информационных технологий (несанкционированное вмешательство в работу программного обеспечения банкомата, кража данных, перехват трафика между банкоматом и хостом, компьютерные "вирусы" и "черви").

Основными способами защиты банкомата являются традиционная физическая и конструктивная защита, защита программного обеспечения банкомата.

Но наилучший результат дает сочетание всех средств защиты в каждой проблемной точке (устройстве или интерфейсе).

Докладчик перечислил механизмы защиты считывающего устройства банкомата:

Далее представитель компании Diebold рассказал участникам конференции, что недавно (8 ноября 2007 г.) компания объявила о выходе новой технологии Advanced Skimming Detection.

Данная технология предлагает высокоинтеллектуальный алгоритм, позволяющий датчикам картридера определять различные типы скимминговых устройств, учитывать факторы окружающей среды и активности держателей карт с целью повышения достоверности определения посторонних устройств и, соответственно, снижения уровня ложных тревог.

Когда скимминговое устройство определено датчиками, банкомат посылает статус на хост и (или) в систему мониторинга, после чего финансовый институт действует по настраиваемому сценарию, предусматривающему вывод банкомата из режима обслуживания клиентов, вызов на банкомат службы безопасности банка, представителей правоохранительных органов и т.д.

Зоной наибольшей ответственности и, соответственно, опасности является презентер банкомата, то есть устройство, осуществляющее выдачу наличных, для которого существуют свои методы защиты:

С целью защиты банкомата от физического ограбления они оснащаются:

Кроме того, банкоматы оснащаются специальной анкерной системой. А кассеты оснащаются системой окрашивания банкнот: в случае попытки несанкционированного изъятия происходит выброс краски, в результате чего купюры становятся непригодными для применения.

В целях обеспечения безопасности для клиента используются следующие методы:

Коснувшись процесса перехода на микропроцессорные карты стандарта EMV, докладчик отметил, что основное преимущество перехода на EMV - повышение безопасности проведения финансовых транзакций, достигаемой за счет того, что:

Кроме того, невозможность подделки или копирования карты исключает такой традиционный способ мошенничества с магнитными картами, как скимминг.

А.С.Воронин