Проблемы информационной безопасности банков

2. On-line (режим реального  времени). Для работы в этом  режиме АКА должен быть подсоединен  (непосредственно, либо через  телефонную сеть) к главному компьютеру  банка. При этом регистрация  транзакций осуществляется непосредственно  на главном компьютере, хотя подтверждение о транзакции выдается на принтер АКА.

Как автономный режим  работы АКА, так и режим реального  времени обладают своими достоинствами  и недостатками (см. табл. 17).

Преимуществами автономного  режима АКА является его относительная  дешевизна и независимость от качества линий связи. Это особенно следует отметить в отечественных  условиях, когда качество телефонных линий, мягко говоря, не идеально. В  то же время низкая стоимость установки напрямую обуславливает высокую стоимость эксплуатации этих аппаратов. Ведь для того, чтобы обновлять списки потерянных карточек, «черные списки» необходимо хотя бы раз в день специально выделенному человеку обновлять в месте расположения АКА. При значительном количестве таких устройств подобное обслуживание затруднительно. Отказ от ежедневного обновления списков может привести к большим потерям для банка в случае подделки карточки или при пользовании украденной карточкой.

Сложности возникают также и при идентификации (аутентификации) клиента. Для защиты информации, хранящейся на магнитной карточке применяется ее шифрование. Для того, чтобы АКА одного и того же банка воспринимали пластиковые карточки в них для шифрования/расшифрования должен быть использован один ключ. Компрометация его хотя бы на одном из АКА приведет к нарушению защиты на всех АКА.

Режим реального времени  имеет большие преимущества по сравнению  с автономным. Он позволяет клиенту  не только получить наличные деньги, но и осуществлять манипуляции со своим счетом. Централизованная идентификация/аутентификация позволяет существенно повысить устойчивость системы к компрометации ключей шифрования. Централизованная проверка идентификатора пользователя делает возможным быстрое обновление списков запрещенных к использованию карточек, а также введение ограничений на количество наличных денег, которые может получить клиент в течение одного дня (для защиты от использования украденных карточек).

Однако этот режим  работы возможен лишь при наличии надежных каналов связи между АКА и банком (банками), что делает его довольно дорогим.

Наличие канала связи  порождает и другие угрозы безопасности по сравнению с автономным режимом  работы. Это перехват информационного  потока, анализ графика и имитация работы главного компьютера. При этом анализируются данные, передаваемые АКА главному компьютеру и получение на их основе информации о счетах, суммах, условиях платежей и т.д. Главный компьютер может быть имитирован компьютером злоумышленника и на запрос АКА о результатах идентификации/аутентификации выдавать положительный ответ.

В том случае, когда  АКА работает в режиме реального  времени для осуществления идентификации  он обменивается с главным компьютером  банка тремя сообщениями, каждое из которых должно соответствовать специальному алгоритму с использованием шифра, части которого находятся как в банкомате, так и в главном компьютере. Без серьезной математической подготовки и хорошего компьютерного оборудования злоумышленник не сможет осуществить перехват информации.

Для борьбы с подбором PIN применяется ограничение на его  ввод — обычно трехкратное. Если три  попытки ввода PIN оказались неудачными, то в платеже клиенту отказывается. Ранние системы после трех неудачных  попыток не возвращали карточку, однако, такое решение проблемы, особенно с кредитными карточками, не вызвало восторга клиентов.

Для АКА, работающих в  автономном режиме, возврат карточки в случае трехкратного неудачного ввода PIN является весьма опасным, так как  позволяет дальше подбирать PIN.

Кроме одиночных АКА в настоящее время эксплуатируются и сети АКА, в которых участвуют несколько банков. Участники такой сети преследуют следующие цели:

- разделение затрат  и риска при разработке новых  видов услуг между участниками  сети;

- уменьшение стоимости операций для участников;

- придание оказываемым  услугам общенационального характера  и, соответственно, повышение их  субъективной ценности для потребителя;

- возможность для региональных  банков, так же как и для  банков, расположенных в финансовых  центрах, немедленно получить выгоду от либерализации законодательства, регулирующего выход на рынки других стран;

- преодоление имеющихся  географических ограничений, которых  не существует для небанковских  учреждений. В настоящее время  в США насчитывается три общенациональных сети:

1. MasterCard/Cirrus;

2. Plus System;

3. Visa U.S.A.

При совместном использовании  банками сети АКА появляется новая  проблема - защита конфиденциальной информации банков друг от друга (ключи шифрования, списки номеров запрещенных к  использованию карточек и т.д.). Для ее успешного решения была предложена схема централизованной проверки PIN каждым банком в своем центре связи с АКА. При этом также усложняется система распределения ключей между всеми участниками сети.

К эмитенту карточки предъявляются следующие требования:

- выпускаемые им карточки  должны восприниматься всеми  АКА сети;

- он должен обладать  технологией проверки собственных  обменных PIN (если в АКА используется  встроенная проверка принадлежности  транзакции, то главный компьютер  должен эмулировать результаты проверки в таком же формате).

К банку, выдающему «чужие»  карточки, в свою очередь, предъявляются  другие требования:

- в АКА или главном  компьютере банка должна быть  реализована проверка принадлежности  транзакции;

- если нет возможности проверить правильность чужого PIN, банк должен передать данные о транзакции на сетевой маршрутизатор.

Для защиты взаимодействия компьютеров банков между собой  и с АКА применяется оконечное  шифрование информации, передаваемой по линиям связи.

Наиболее часто используется следующий метод: вся сеть АКА разбита на зоны и в каждой из них используется свой Главный зональный управляющий ключ. Он предназначен для шифрования ключей при обмене между сетевым маршрутизатором и главным компьютером банка. Ключ индивидуален для всех участников сети. Обычно он случайно генерируется маршрутизатором и неэлектронным способом передается в банк. Раскрытие ключа приведет к раскрытию всех PIN, которые передаются между маршрутизатором и главным компьютером банка.

В неразделяемой сети АКА достаточно на всех АКА использовать один открытый ключ, а на главном компьютере банка закрытый ключ. Это позволит шифровать запрос и подтверждающее сообщение и проверять подлинность ответного сообщения из банка, так как обеспечение конфиденциальности ответного сообщения не обязательно. Особого внимания стоит проблема защиты запроса от активных атак (изменения или введения ложного запроса). Но и она в случае неразделяемой сети может быть решена с использованием пароля для идентификации АКА.

В случае сети совместно используемых АКА применение системы шифрования с открытым ключом позволяет отказаться от зональных ключей и дорогостоящей процедуры их смены. Однако в этом случае схема идентификации АКА по паролю не будет работать. Эта проблема может быть решена в том случае, когда каждый АКА вместе с запросом будет пересылать и свой открытый ключ, заверенный банком. [7, с.49]

Системы POS предназначены  для сокращения расходов по обработке  бумажных денег и для уменьшения риска покупателя и продавца, связанного с этой обработкой.

Покупатель для оплаты покупки предъявляет свою дебетовую  или кредитную карточку и для  подтверждения личности вводит PIN. Продавец со своей стороны вводит сумму, которую  необходимо уплатить за покупку или  за услуги.

Запрос на перевод денег направляется в банк продавца. Тот для проверки подлинности карточки, предъявленной покупателем, переадресует запрос в банк покупателя. Если карточка подлинная и покупатель имеет право применять ее для оплаты продуктов и услуг банк покупателя переводит деньги в банк продавца на его счет. После перевода денег банк продавца посылает извещение на терминал POS, в котором сообщает о завершении транзакции. После этого продавец выдает покупателю извещение.

Необходимо обратить внимание на тот путь, который должна проделать информация прежде чем будет осуществлена транзакция. Во время его прохождения возможна потеря сообщений. Во избежание этого банк продавца должен повторять выдачу сообщений при обнаружении их потери.

Для защиты системы POS должны соблюдаться следующие требования:

1. Проверка PIN, введенного  покупателем, должна производиться  системой банка покупателя. При  пересылке по каналам связи  PIN должны быть зашифрованы.

2. Сообщения, содержащие  запрос на перевод денег (или  подтверждение о переводе), должны проверяться на подлинность для защиты от внесения изменений и замены при прохождении по линиям связи к обрабатывающим процессорам.

Самым уязвимым местом системы POS являются ее терминалы. Все построение системы охраны исходит из предположения  абсолютно надежной физической защиты банкомата. Для терминалов POS это не так. Изначально предполагается, что терминал системы POS незащищен от внешнего воздействия.

В связи с этим предположением возникают новые типы угроз для  терминала. Они связаны с раскрытием секретного ключа, который находится в терминале POS и служит для шифрования информации, передаваемой терминалом в банк продавца. Угроза вскрытия ключа терминала весьма реальна, так как они устанавливаются в таких неохраняемых местах как магазины, автозаправочные станции и пр. Эти угрозы получили следующие названия: [2, с.391]

1. «Обратное трассирование». Сущность этой угрозы заключается  в том, что если злоумышленник  получит ключ шифрования, то он  будет пытаться восстановить  значения PIN, использованные в предыдущих транзакциях.

2. «Прямое трассирование». Сущность этой угрозы заключается  в том, что если злоумышленник  получит ключ шифрования, то он  будет пытаться восстановить  значения PIN, используемые в транзакциях,  которые произойдут после того, как он получит ключ.

Для защиты от этих угроз  были предложены три метода: метод  ключа транзакции, метод выведенного (полученного) ключа и метод открытых ключей. Сущность первых двух заключается  в том, что они предусматривают  изменение ключа шифрования передаваемых данных для каждой транзакции.

Метод ключа транзакции был впервые предложен в 1983 году. Информация, передаваемая между каждым терминалом и каждым эмитентом карточек, должна быть зашифрована на уникальном ключе, который, в свою очередь, должен изменяться от транзакции к транзакции. Однако применение этого метода для большого количества терминалов и эмитентов карточек делает затруднительным управление ключами. Поэтому, в подавляющем большинстве практических приложений, он применяется не к связи «терминал-эмитент карточек», а к связи «терминал-получатель», так как каждый получатель имеет ограниченный набор обслуживаемых терминалов. При генерации нового ключа используются следующие составляющие: однонаправленная функция от значения предыдущего ключа, содержание транзакции и информация, полученная с карточки. При этом подразумевается, что предыдущая транзакция завершилась успешно. Такая схема обеспечивает защиту как от «обратного трассирования», так и от «прямого трассирования». Раскрытие одного ключа не дает возможности злоумышленнику вскрыть все предыдущие или все последующие транзакции.

Метод предусматривает  также раздельную генерацию двух ключей - одного для шифрования PIN, другого  для получения MAC. Это необходимо для разделения функций банков продавца и получателя. Недостатком схемы является ее сложность.

Метод выведенного ключа  более прост в использовании, однако, и менее надежен. Он обеспечивает смену ключа при каждой транзакции независимо от ее содержания. Для генерации  ключа здесь используется однонаправленная функция от текущего значения ключа и некоторое случайное значение. Метод обеспечивает защиту только от «обратного трассирования».

Применение открытых ключей позволяет надежно защититься от любых видов трассирования  и обеспечить надежное шифрование передаваемой информации. В этом методе терминал РОЗ снабжается секретным ключом, на котором шифруется запрос к банку продавца.

Этот ключ генерируется при инициализации терминала. После  генерации секретного ключа терминал посылает связанный с ним открытый ключ на компьютер продавца. Обмен между участниками взаимодействия осуществляется с использованием открытого ключа каждого из них. Подтверждение подлинности участников осуществляется специальным центром регистрации ключей с использованием своей пары открытого и закрытого ключей. Недостатком метода является его сравнительно малое быстродействие.

Заключение.

 

Банки играют огромную роль в экономической жизни общества, их часто называют кровеносной системой экономики. Благодаря своей специфической  роли, со времени своего появления они всегда притягивали преступников. К 90-м годам XX века банки перешли к компьютерной обработке информации, что значительно повысило производительность труда, ускорило расчеты и привело к появлению новых услуг. Однако компьютерные системы, без которых в настоящее время не может обойтись ни один банк, являются также источником совершенно новых угроз, неизвестных ранее. Большинство из них обусловлены новыми информационными технологиями и не являются специфическими исключительно для банков.

Существуют однако два  аспекта, выделяющих банки из круга  остальных коммерческих систем:

1. Информация в банковских  системах представляет собой  «живые деньги», которые можно  получить, передать, истратить, вложить  и т.д.

2. Она затрагивает  интересы большого количества организаций и отдельных лиц.

Поэтому информационная безопасность банка — критически важное условие его существования.

В силу этих обстоятельств, к банковским системам предъявляются  повышенные требования относительно безопасности хранения и обработки информации. Отечественные банки также не смогут избежать участи тотальной автоматизации по следующим причинам: