Разделы

Безопасность Цифровизация Инфраструктура ИТ в банках Новости поставщиков

Рутокен PINPad: новое решение для безопасного ДБО

Всевозможные решения на базе токенов нашли широкое применение, в частности, в целях обеспечения безопасности удаленных банковских транзакций. "Рутокен PINPad" выделяется среди них достаточно редким сочетанием пользовательского юзабилити с высоким уровнем защиты против традиционных и современных видов угроз. Одним из наиболее эффективных его применений разработчик "Рутокен PINPad", – компания "Актив", – видит в сегменте СМБ.

Специалисты по информационной безопасности (ИБ) полагают, что способ аутентификации пользователя при помощи набора PIN-кода уже не может в наши дни считаться достаточно надежным, поскольку нажатия на клавиатуру (реальную или виртуальную) можно зафиксировать достаточно простым способом – при помощи кейлоггера. Еще проще получить несанкционированный доступ к файлу с ключом, хранящемся в незашифрованном виде на жестком диске или же на недостаточно защищенном съемном носителе. Аппаратный токен также не сможет защитить пользователя в том случае, если злоумышленнику уже удалось тем или иным способом получить удаленный доступ к компьютеру с установленным на нем "банк-клиентом". Пользователю достаточно оставить компьютер с забытым USB-токеном на непродолжительное время, предоставив тем самым возможность подписать с его помощью платежное поручение и отправить через систему "банк-клиент" на исполнение. Еще одна современная схема хищений средств с расчетного счета компании построена на том, что пользователь лишен реальной возможности непосредственно контролировать, какой документ он на самом деле заверяет в данный момент при помощи системы банк-клиент. Это дает возможность незаметно осуществить подмену одного платежного поручения другим.


С технической точки зрения, PINPad представляет собой подключаемое к компьютеру небольшое устройство с сенсорным экраном, позволяющим ввести PIN-код, а также визуально просмотреть содержимое документа, перед тем как заверить его электронной подписью при помощи "Рутокен ЭЦП", вставляемого в USB-порт на корпусе

Безусловно, случаи, описанные выше, являются скорее исключением, чем правилом. Тем не менее они происходят ежедневно: счет по одной только Москве давно идет на десятки, причем статистика по разным видам хищений безналичных денежных средств ползет вверх. Пострадать может не только крупная компания с большими средствами на расчетном счете, привлекающими мошенников. Жертвой злоумышленников вполне может стать и относительно небольшой бизнес: за ИБ здесь по ряду причин могут следить менее тщательно, чем на крупном предприятии, а последствия неожиданного обнуления счета в банке для СМБ могут быть более чем ощутимыми. Заранее понятно, например, к чему потенциально могут привести действия бухгалтера небольшой дистрибуторской компании, чередующего отправку платежных заверенных поручений с посещением различных сайтов с одного и того же, недостаточно защищенного компьютера.Рано или поздно может случиться так, что однократное хищение накопившейся за месяц выручки за товар придется потом покрывать суммой прибыли, полученной за год.

Предсказать действия добросовестного предпринимателя, внезапно превратившегося из процветающего, уверенного в завтрашнем дне бизнесмена в человека, на котором висит огромная сумма долга, несложно: скорее всего, он обратится за помощью и в обслуживающий банк, и в полицию. Чем это закончится на практике? Раскрываемость по данному виду преступлений низкая. Действия же банка можно заранее спрогнозировать, внимательно прочитав условия своего договора на ДБО. Выдавая защищенный токен и диск с дистрибутивом для пользования ДБО, банк достаточно справедливо полагает, что снабжает своего клиента одним из наиболее современных на сегодня средств защиты, остальную же часть работы по обеспечению нужного уровня безопасности для удаленных банковских транзакций клиент банка должен проделать уже самостоятельно. Скорее всего, соображения примерно такого плана, сформулированные юридическим языком, и будут предусмотрительно зафиксированы в договоре на удаленное обслуживание. Всерьез же обвинять коммерческий банк в том, что он не берет на себя всю полноту ответственности за произошедшее на компьютере клиента, пожалуй, не стоит: в конце концов, он тоже должен как-то защищать свои интересы.

Линейка "Рутокен"

"Наша компания занимается разработкой аппаратных средств защиты, – рассказывает руководитель отдела перспективных проектов компании "Актив" Евгений Сухов. – Анализируя новые угрозы ИБ и мировой опыт борьбы с ними, мы постоянно развиваем нашу линейку продуктов "Рутокен".

Исторически первым был разработан для клиентов "Актив" "Рутокен-S" с объемом памяти до 128 Кб. Его основным назначением является хранение зашифрованного ключа, для доступа к которому от пользователя требуется введение PIN-кода.

Более совершенный с точки зрения ИБ "Рутокен ЭЦП" отличается тем, что никто, включая пользователя и изготовителя, не может никаким способом получить доступ к ключу. "Рутокен ЭЦП" самостоятельно генерирует уникальный ключ, хранит его "строго внутри себя" и осуществляет с его помощь все криптографические операции, требующиеся для того, чтобы можно было заверить документ электронной подписью (ЭП), с соблюдением всех требований действующего российского законодательства. Для этого "Рутокен ЭЦП" прошел, в частности, необходимую сертификацию в качестве средства криптографической защиты.

"Рутокен ЭЦП Flash" содержит дополнительный объем (до 16Гб) флэш-памяти, что позволяет, например,дополнительно записать на него и надежно защитить специализированное ПО (такое какклиент для подключения к VPN) или конфиденциальные данные.