Мероприятия, посвященные проблемам информационной безопасности, уже давно стали неотъемлемой частью любого делового сезона в нашей стране. География проведения профессиональных конференций весьма обширна. Так, в конце марта в Екатеринбурге прошел 10-й ежегодный форум «B+S: Технологичные решения для банков», а проблему кибермошенничества обсудили во второй декаде прошлого месяца на круглом столе в Нижнем Новгороде. Множество специализированных событий по данной тематике проходит в столице, а некоторые, как оказалось, даже в ее окрестностях. О правовых аспектах работы систем ДБО, типах преступников с техническим образованием и способах защиты пользователей финансовых систем шла речь на 15-й международной конференции «РусКрипто’ 2013», которая прошла в подмосковном отеле «Солнечный Park Hotel & Spa» с 27 по 30 марта 2013 года.
Как решили, так совершили
Судьба у этого профессионального мероприятия достаточно интересная. На первой конференции «РусКрипто», состоявшейся 24 декабря 1999 года, профессиональным сообществом было принято решение о создании специализированной организации – Российской криптологической ассоциации. С тех пор это объединение является одним из организаторов данного международного слета специалистов, так было и в конце марта в этот раз. Еще одним важным идейным учредителем 15-й международной конференции «РусКрипто’ 2013» оказалась Академия информационных систем. Ее ректор – Юрий Малинин – так рассказал о специфике проходящей под эгидой его учебного заведения мероприятия: «Уже не первый год мы удачно выдерживаем баланс между научной, практической и коммерческой частями конференции. В процессе организации «РусКрипто», в первую очередь, обращали внимание на качество докладов: минимум рекламы, максимум полезной и прикладной информации.
Конечно, в этом есть заслуга и спонсоров мероприятия, которые в большинстве своем выступали не с маркетинговыми, а содержательными докладами, что является редкостью». Эксперта порадовало и то, что регуляторы, со своей стороны, восприняли площадку «РусКрипто» в качестве места проведения открытого диалога с представителями бизнеса в части решения вопросов, связанных с криптографией. В процессе мероприятия был организован очень полезный специалистам круглый стол, во время которого представители ФСБ отвечали на вопросы участников конференции. В рамках «РусКрипто’ 2013» прошло также заседание экспертного совета по развитию юридически значимого электронного документооборота и применению электронной подписи при комитете Государственной Думы по экономической политике, инновационному развитию и предпринимательству. По итогам было принято решение о создании рабочей группы на базе министерства связи и массовых коммуникаций России для разрешения спорных моментов по части № 63-ФЗ «Об электронной подписи».
Переходя к разговору о научной части мероприятия, Юрий Малинин добавил, что 15-ая конференция стала самой «криптографической»: почти 8 часов чистого времени работы, более 20 докладов признанных экспертов и молодых специалистов. По сути, в этот раз научная составляющая выросла вдвое в сравнении с предыдущими годами. Конференция поддерживает и развивает науку в области криптографии и открывает дорогу юным перспективным специалистам, проводя конкурсы научных докладов, осуществляя публикации лучших исследований в научном журнале, одобренном ВАК, приглашая их для выступления на других конференциях. Очевидно, что это профессиональное мероприятие год от года растет и развивается. Очень важно то, что этот процесс обусловлен не только старанием организаторов, но и активной поддержкой и участием представителей регуляторов, бизнеса и науки. «Дальнейший рост качества «РусКрипто» я вижу в тесном сотрудничестве и активном обмене практикой и опытом Академии информационных систем с представителями этих трех сторон», – заключил Юрий Малинин.
Фото: Альберт Тахавиев, Bankir.Ru
СКЗИ и другие чудовища
Официально конференция проходила с 27 по 30 марта, однако ее можно было разделить на официальную часть, которая состоялась 28 и 29 числа, и неформальную, где участники мероприятия могли обсудить вопросы при личном общении в кулуарах. В первый день работы мероприятия – 28 марта – состоялось пленарное заседание с представителями ФСБ России, МГТУ им. Баумана и ФГУП ГНИВЦ ФНС (Федерального государственного унитарного предприятия «Главный научно-исследовательский вычислительный центр Федеральной налоговой службы» Высшей школы экономики). В процессе данной сессии обсудили последние мировые и российские новости научного мира криптографии, подробно разобрали актуальные задачи защиты данных в компьютерных системах, обрабатывающих конфиденциальную информацию. В этот же день состоялись четыре секции, среди которых была и специальная площадка под названием «Квалифицированная электронная подпись: организационные, технологические и юридические вопросы», и один круглый стол, где участники мероприятия могли задать специалистам все интересующие их вопросы.
Второй день конференции был не менее насыщенным, чем первый: 29 марта состоялось в общей сложности 7 профессиональных секций. Наибольшее число участников с утра пришло послушать выступления экспертов на площадке под названием «Информационная безопасность финансово-кредитных организаций». Спикеры действительно были знатоками в обсуждаемой теме и получили множество вопросов от аудитории после своих выступлений. Первым докладчиком был начальник управления безопасности информационных и платежных систем Транскапиталбанка Сергей Ермолаев. Он рассказал о вопросах лицензирования деятельности по работе со СКЗИ (средствами криптографической защиты информации) региональных представительств кредитно-финансовых организаций. Спикер выделил сразу несколько проблем в рамках своего доклада. Во-первых, очевидна нехватка профессиональных кадров в «городах и весях» нашей «кипучей и могучей» родины. Во-вторых, много вопросов оставляет специалистам и современное законодательство, которое учитывает только последний классификатор профессий. Привлекать на работу можно лишь тех сотрудников, специальности которых входят в реестр, выпущенный в 2004 году. Однако, по мнению спикера, нужно рассматривать и профессионалов, которые получили свои дипломы до этого срока. Специалисты ФСБ при проверке региональных представительств банков подходят к вопросу со специализациями формально, и это усложняет работу всей отрасли. В-третьих, много проблем возникает при проведении аттестации на местах. Фирмы, которые ее осуществляют, действуют очень жестко, поскольку специалисты ФСБ выдают аттестаты только на те рабочие места, где «генерятся» ключи.
Докладчик предложил решить проблему с нехваткой специалистов с соответствующим образованием следующим образом: создать единый орган криптозащиты в своей организации. Его руководитель будет иметь специальное образование в 500 часов, которое требуется по законодательству, но находиться такая структура будет в головном офисе, то есть, как правило, в Москве. Руководителю будут подчиняться специалисты, которые имеют подготовку по 100 часов, которых на рынке больше, и найти их, соответственно, проще. У них будут свои подчиненные, требования к которым еще гибче и т.д. В целом, по мнению спикера, перед полным принятием законодательных норм по образованию специалистов нужно оставлять для банков некий переходный период, в течение которого они могли бы подготовить персонал, направить ключевых сотрудников на курсы повышения квалификации или каким-либо другим образом приготовиться к новым требованиям регуляторов.
О кибермошенниках замолвили слово
Эксперт по информационной безопасности Академии информационных систем Евгений Царев, выступавший следом, рассказал о тенденциях и перспективах нормативного регулирования в поросах IT-защиты дистанционного банковского обслуживания (ДБО). По мнению спикера, в западных банках мошенничество по дистанционным каналам «накатывало» волнами. Резкий скачок произошел в районе 2007 года. Нормативных документов регулирования появилось много, в связи с чем основной проблемой стали комплайнс-риски (от англ. «compliance» — «согласие, соответствие»; происходит от глагола «to comply» — «соответствовать», то есть действие в соответствии с запросом или указанием – прим. ред.).
Нормативное регулирование ДБО в России развивается де-факто с 2006 года. Первые документы появились в форме писем Центробанка. Их задачей было согласование использования систем ДБО с № 115-ФЗ «О противодействии отмыванию доходов, полученных преступным путем». С течением времени повсеместное использование систем ДБО, их распространение в финансовых организациях привело и к увеличению интересов со стороны мошенников к дистанционным банковским каналам. Соответственно, количество преступлений в этой области увеличилось. В настоящий момент рынок кибермошенничества оценивается в $95 млн. в год. С 2009 года произошло изменение нормативной базы: документы стали ориентироваться на защиту от внешних преступных вмешательств. К настоящему моменту наработана и используется на полную мощность обширная нормативная база, содержащая как рекомендации, так и требования к системам ДБО и организациям их использующим. В документах прописаны различные типы мошенников, ведь незаконные операции может совершать как сторонний нарушитель, так и сотрудник банка, по роду своей деятельности имеющий доступ к соответствующим денежным каналам. В предписаниях обозначены и все механизмы информирования клиентов о совершающихся операциях, включающих sms-оповещение, рассылку электронных писем и т.д.
Заместитель начальника отдела разработок «КРИПТО-ПРО» Павел Смирнов рассказал о реализации доверенного отображения подписанного документа в системах ДБО. В системах, где документы переходят по удаленным каналам от одного пользователя к другому, нарушителю не нужно красть ключи электронной подписи. Ему достаточно всего лишь «подменить» документ на пути от одной программы к этой самой электронной подписи. За последние два года успешно применяются специализированые системы защиты. Отображение подписываемого документа «доверенным» образом применяется в системах ДБО для защиты от атаки подмены документа. В существующих решениях слабо развита поддержка распространенных форматов подписанных сообщений, используются несовместимые форматы разметки отображаемых данных. Докладчик предложил общий способ отображения документа при подписании и при проверке, применяемый к стандартным форматам подписанных сообщений. Подтверждение операций подписания может быть осуществлено посредством отправления пароля к операции пользователю через sms-сообщение, что усиливает защиту от мошенников.
После небольшого перерыва секция, посвященная информационной безопасности в кредитно-финансовых организациях, продолжила свою работу с доклада, сразу привлекшего к себе внимание аудитории. Дело в том, что его читала аналитик «Яндекс Деньги» Анна Армарчук. Она также рассказала, что современные преступники постоянно совершенствуют свои навыки. Обман в области, связанной с информационными технологиями, предполагает использование средств социальной инженерии. Специалисты «Яндекс Деньги» стараются прекращать обслуживание неосторожных пользователей, блокировать непрозрачные сайты и т.д. Информация о совершенных операциях пользователь системы «Яндекс Деньги» получает на свою электронную почту, а если кошелек «привязан» к телефону, то еще и посредством sms-оповещения. Жертвы обмана часто страдают из-за собственной наивности. Основными каналами информации о мошенничестве по-прежнему остаются сами пользователи системы и другие участники платежного поля. В среднем, 0,2–0,3% от общего числа счетов в системе «Яндекс Деньги» оказываются открытыми мошенникам. Всплеск киберпреступлений зависит от сезонности: интенсивность атак усиливается весной и осенью. Аналитики компании выделяют два типа технически подкованных жуликов, которых они прозвали «Пионер» (новичок, взламывающий систему очень «грубо», не пренебрегающий малыми суммами кражи, которого легко вычислить и т.д.) и «Профессионал» (он умеет грамотно уходить от преследования, работает очень аккуратно и поймать его гораздо сложнее). Для борьбы с обоими типами преступников в компании разработаны специальные способы распознавания и предупреждения возможных незаконных операций. Кроме того, «Яндекс Деньги» входит в глобальную информационную базу и имеет возможность проверить, были ли замечены подозреваемые в мошенничестве пользователи ранее, в других аналогичных системах. Анализ любой транзакции происходит в режиме реального времени. Накапливается история поведения любого объекта в системе, применяются и многие другие инновационные меры по пресечению мошенничества.
Фото: Альберт Тахавиев, Bankir.Ru
Как здорово, что все мы здесь сегодня собрались
Эксперт по информационной безопасности Академии информационных систем Дмитрий Левиев был модератором секции «Информационная безопасность финансово-кредитных организаций». В ходе утреннего заседания он выступил с докладом, касающимся нарушителей в среде функционирования средств электронной подписи, где рассмотрел результаты разрешения конфликта моделирования возможностей нарушителей по нормативным документам ФСТЭК России, ФСБ и риск-ориентированного подхода оценки их возможностей. После завершения всей конференции эксперт подвел итоги мероприятию и дал ему профессиональную оценку. Он утверждал, что по результатам обсуждений в рамках банковской секции и в перерывах актуальными вопросами обеспечения информационной безопасности в среде кредитных организаций является обеспечение выполнения лицензионных требований и борьба с мошенничеством в системах ДБО. Основными направлениями решения вопроса выполнения лицензионных требований является повышение квалификации работающего в банках IT-персонала и кадрового состава служб информационной безопасности.
Борьба с мошенничеством в системах дистанционно-банковского обслуживания реализуется с использованием новых доверенных аппаратно-программных средств, отображающих значимые реквизиты подписываемого документа и формирующих электронную подпись непосредственно в самом устройстве и принятия дополнительных мер по использованию носителей ключевой информации с неизвлекаемым закрытым ключом. Дальнейшим совершенствованием используемых криптографических средств является удобство использования для массового потребителя и повышения доверия с использованием новых алгоритмов электронной подписи и хеширования.
Источник: Bankir.Ru, Наталия Трушина.