Высокий уровень информационной безопасности финансово-кредитных организаций обеспечивается с помощью различных электронных идентификаторов. Так, электронная подпись (ЭП) выполняет функцию защиты электронного документа от подделок и является его важнейшим атрибутом.

Электронная подпись (ЭП) уже давно вошла в деловой обиход всех финансово-кредитных организаций, ее используют как во внутреннем документообороте, так и при взаимодействии с внешними контрагентами. Так, для совершения платежных операций в системе дистанционного банковского обслуживания (ДБО) корпоративные клиенты практически повсеместно применяют ЭП. Самые разные организации – от индивидуальных предпринимателей до крупных корпораций – в настоящее время используют дистанционные каналы работы с банками, и там везде есть ЭП. Сейчас, наверное, невозможно себе представить систему ДБО для юрлиц без электронной подписи. Электронная подпись дает нам четкое понимание того, кем и когда был подписан документ, уверенность в том, что после подписания в него не были внесены какие-то изменения и т.д.

Электронная подпись может использоваться в качестве средства аутентификации, если она помещена на аппаратные средства типа интеллектуальной карты. Карта представляет серверу подписанный ЭП идентификатор или PIN пользователя, сервер проверяет электронную подпись и тем самым проводит аутентификацию пользователя. Это возможно в случае ограниченного количества пользователей, что позволяет хранить на сервере информацию об электронных подписях всех пользователей.

ПРОБЛЕМЫ В ИСПОЛЬЗОВАНИИ ЭЛЕКТРОННОЙ ПОДПИСИ

Несмотря на то, что электронная подпись способна обеспечить проверку целостности документов, их конфиденциальность, в процессе ее использования может возникать ряд проблем.

По мнению директора департамента информационной безопасности банка «Открытие» Владимира Журавлева, основными проблемами здесь являются следующие. Во-первых, усиленная электронная подпись (и квалифицированная, и неквалифицированная) достаточна сложна для использования обычными пользователями, а простая электронная подпись не обеспечивает целостности подписанного документа, т.е. не обладает одним из основных свойств подписи. Во-вторых, и усиленная и тем более простая электронные подписи не защищены от современных методов электронного мошенничества.

Заместитель председателя правления – директор департамента ИТ СДМ-Банка Олег Илюхин считает, что с точки зрения информационной безопасности никаких проблем в использовании электронной подписи не наблюдается. «Появляются новые угрозы, растут возможности кибермошенников, соответственно, усложняются алгоритмы, и увеличивается длина ключа ЭП», – отмечает эксперт.

«Проблемы есть с точки зрения удоб- ства клиентов, – говорит Олег Илюхин. – Например, с распространением мобильных устройств появляется необходимость в создании носителей ЭП, которые бы были с ними совместимы. Они созданы, но очень неудобны, и клиенты ими мало пользуются, что, в свою очередь, заставляет банки в качестве ЭП использовать СМС-пароли и ограничивать клиентов по сумме операций, чтобы снизить риски».

Действительно, особую актуальность приобрела тема безопасного доступа в сеть предприятия сотрудников, работающих вне офиса. Часто такие работники вынуждены для доступа в сеть пользоваться недоверенными каналами: спотами Wi-Fi, точками доступа в отелях, кафе и других публичных местах. При доступе по незащищенному каналу злоумышленники могут довольно легко перехватывать логины, пароли и другую важную информацию. Для обеспечения безопасности удаленного подключения, как правило, организуются зашифрованные каналы, для доступа к которым также используют строгую двухфакторную аутентификацию.

Отдельно следует рассматривать случаи использования для работы вне офиса мобильных устройств наподобие смартфонов и планшетов. Само по себе это несет потенциальные угрозы, и не только с точки зрения безопасности подключения к сети предприятия. Мобильное устройство могут просто украсть. Поэтому очень важно хранить ключи доступа и электронной подписи отдельно от смартфона или планшета, чтобы предотвратить дальнейшие действия злоумышленника.

ДОЛГОВРЕМЕННОЕ ХРАНЕНИЕ ЭЛЕКТРОННОЙ ПОДПИСИ

Безусловно, электронная подпись – это один из надежных способов защиты целостности и аутентичности электронного документа. Однако некоторые специалисты говорят о том, что вероятность взлома или компрометации современных ЭП спустя какое-то время (например, лет десять) сохраняется на высоком уровне. Данный факт нужно учитывать как в законодательстве, так и в правилах хранения документов с ЭП, подчеркивают эксперты.

По мнению директора департамента информационной безопасности банка «Открытие» Владимира Журавлева, хранение документов, подписанных электронной подписью, с технической точки зрения мало отличается от обеспечения сохранности электронных документов без электронной подписи. «В данном случае только кроме документа с электронной подписью необходимо хранить ключ (сертификат ключа) проверки электронной подписи. Также при долговременном хранении возрастает вероятность компрометации ключа подписи. Эти проблемы в разных системах решаются по-разному», – отмечает эксперт.

По словам Олега Илюхина, долговременное хранение документов, подписанных электронной подписью, не является проблемой. «По крайней мере в нашей системе ДБО документы, подписанные ЭП, хранятся необходимое время», – говорит эксперт.

ЭФФЕКТИВНАЯ ЗАЩИТА

Каждый банк стремится организовать эффективную защиту электронной подписи как внутри финансово-кредитной организации, так и при внешнем взаимодействии. Наличие жестких требований в информационной безопасности вынуждает банки использовать программно-аппаратные средства для работы с электронной подписью. Так, некоторые финансово-кредитные организации сейчас находятся в процессе перехода на технологию неизвлекаемых ключей ЭП, когда криптографические преобразования совершаются на борту аппаратного устройства и отсутствует возможность без ведома пользователя скопировать контейнер, содержащий ключ подписи.

«Наиболее защищенными средствами электронной подписи являются устройства с неизвлекаемым хранением ключей и встроенной реализацией криптографических преобразований (смарт-карты, криптотокены и т.п.)», – считает Владимир Журавлев. Однако, по мнению директора департамента информационной безопасности банка «Открытие», «они относительно дороги, не очень удобны в эксплуатации и все равно не могут гарантировать защиту от подмены подписываемого документа».

Если речь идет о внутренних документах банка, то сейчас финансово-кредитные организации, как правило, подтверждают авторство документов в автоматизированных системах логином/паролем сотрудника, что можно отнести к простой ЭП, рассказывает Олег Илюхин.

«Путь повышения эффективности защиты в данной ситуации – переход к квалифицированной электронной подписи, то есть каждый сотрудник подписывает документы в АБС электронным ключом, который хранится на защищенном устройстве токене, поаналогиистем,каксейчасэтоделают клиенты банка в системах ДБО», – говорит заместитель председателя правления – директор департамента ИТ СДМ-Банка.

Можно сказать, что технологии установления подлинности отправителя, которые применяются в смарт-картах и токенах, становятся более удобными для пользователей. Так, их можно использовать в качестве механизма аутентификации на веб-ресурсах, в электронных сервисах и платежных приложениях с электронной подписью. ЭП соотносит конкретного пользователя с частным ключом асимметричного шифрования. Присоединяемая к электронному сообщению, она позволяет получателю удостовериться, действительно ли его отправитель то лицо, за которое себя выдает.

Частный ключ, у которого только один владелец, используется для цифровой подписи и шифрования при передаче данных. Электронная цифровая подпись может генерироваться USB-токеном – аппаратным устройством, которое формирует пару ключей. Различные методы аутентификации могут сочетаться: смарт-карту можно дополнить токеном с криптографическим ключом, а для доступа к последнему предусматривается ввод PIN-кода, другими словами, речь идет о двухфакторной аутентификации. При использовании токенов и смарт-карт закрытый ключ подписи не покидает пределов токена, и тем самым исключается возможность компрометации ключа.

Когда дело касается внешнего взаимодействия,то,помнениюОлегаИлюхина, «обязательным является использование устройства токен (носителя, с которого ключ ЭП нельзя скопировать)». «Кроме этого, для защиты обмена документами необходимо использовать дополнительные меры. Это могут быть генераторы одноразовых паролей или СМС-подтверждения, а также использование системы фрод-мониторинга, которая выявляет подозрительные операции», – добавляет эксперт.

 

 

Николай Афанасьев,
менеджер по развитию
продукта «Аладдин Р.Д.»

USB-токены и смарт-карты с неизвлекаемым закрытым ключом надежно защищают ключ электронной подписи от кражи. Тем не менее злоумышленники научились подписывать поддельные электронные документы без кражи ключей. Для этого они применяют вредоносное ПО, способное подменять подписываемые документы. То есть пользователь видит на экране компьютера один документ, а в момент его подписания злонамеренная программа подменяет его на другой. В результате в токене незаметно для пользователя подписывается подмененный

документ, который затем отправляется на исполнение вместо оригинала. Еще один вид атаки – удаленный перехват управления компьютером пользователя с целью подписания на подключенном к ПК токене поддельных электронных документов.

Сегодня нельзя гарантировать отсутствие вредоносного ПО на компьютере, особенно при постоянном подключении к сети. По этой причине ПК, как правило, является недоверенной средой. Для обеспечения доверия к электронной подписи пользователя применяют дополнительные меры безопасности. Наибольшую степень защиты от указанных атак на сегодняшний день способны обеспечить устройства класса Trust- screen, подключаемые к компьютеру. При подписании документов они отображают на своем доверенном экране ключевые данные подписываемых документов и запрашивают у пользователя подтверждение на собственной доверенной клавиатуре. Одним из таких устройств является Антифрод-терминал, который обеспечивает безопасное подтверждение совершаемых транзакций и формирует доказательную базу для возможности разбора ИБ-инцидентов.