Криптографические технологии и PKI – эффективные инструменты обеспечения защищенности автоматизированных банковских систем, в том числе при трансграничном. - презентация

1 Криптографические технологии и PKI – эффективные инструменты обеспечения защищенности автоматизированных банковских систем, в том числе при трансграничном взаимодействии Кирюшкин Сергей Анатольевич, к.т.н. Советник генерального директора ООО «Газинформсервис», Россия, Санкт-Петербург Тел. +7(812) #1859 Факс +7(812) Международный форум по банковским информационным технологиям «БанкИТ» ноября 2012 года, г. Минск, Беларусь

2 Источники Презентация основана на аналитических и проектных материалах компаний Газинформсервис и Белтим СБ, а так же материалах ряда профильных конференций, в том числе PKI-Форум Россия иИнформационная безопасность банков

3 Технологии ДБО 1. Банк-клиент (Клиентское ПО) 2. Интернет-банкинг Браузер 3. Мобильный банкинг Клиентское ПО/Браузер/СМС 4. АТМ Банкомат/Терминал 1.Атака на АРМ пользователя с целью кражи идентификаторов (закрытого ключа, пароля, пин- кода…) 2.Атака на АРМ пользователя с целью захвата удаленного управления ресурсами АРМ пользователя 3.Атака на АРМ пользователя с целью подмены документа при процедурах электронной подписи 4.Аналогичные атаки на каналы передачи данных…

4 Известные решения на базе криптографии и PKI 1.Защищенное хранение ключей, в том числе использование ключевых с неизвлекаемым хранением ключей. 2.Контроль доступа и контроль операций на основе идентификации и аутентификации криптографическими методами 3.Создание доверенной среды выполнения криптографических операций 4.Строгая аутентификация и шифрование в каналах 1.Атака на АРМ пользователя с целью кражи идентификаторов (закрытого ключа, пароля, пин- кода…) 2.Атака на АРМ пользователя с целью захвата удаленного управления ресурсами АРМ пользователя 3.Атака на АРМ пользователя с целью подмены документа при процедурах электронной подписи 4.Аналогичные атаки на каналы передачи данных…

5 Примечания 1.Криптографические методы защиты актуальны, популярны и эффективны в ДБО и в банковских ИС в целом; 2.Применение криптографии (как и все остальные стадии жизненного цикла) регулируется особо на уровне законодательства и уполномоченными государственными регуляторами

6 Универсальное применение

7 Однако… По ряду причин СКЗИ и PKI в КФУ используются зачастую не эффективно

8 Банковская ЭЦП 8 Разработаны и достаточно широко используются банковские системы, в которых декларируется применение ЭЦП, но не в соответствии с 1-ФЗ «Об ЭЦП» Цитата из договора: Клиент при подписании электронного документа (ЭД) ЭЦП применяет свои секретные ключи подписи, а Банк при проверке ЭЦП ЭД открытые ключи подписи Клиента, являющиеся действующими на момент подписания и передачи документа на обработку соответственно. Ключи электронной цифровой подписи (секретный и соответствующий ему открытый ключ) подписывающей Стороны становятся действующими только после завершения процедур регистрации открытых ключей и ввода в действие секретных ключей. Риски банков применения псевдо ЭЦПне оценены. Ущерб от реализации данных рисков не минимизирован.

9 Некорректные процедуры работы с ЭЦП 9 Появляются риски банков и пользователей, связанных с исполнением документов, удостоверенных ЭЦП с отозванными (аннулированными) или не доверенными сертификатами Во многих АБС, использующих ЭЦП: По умолчанию отключена проверка на отозванность сертификата ключа подписи при проверке ЭЦП; Отсутствуют проверки на отозванность сертификата ключа подписи при подписании электронных документов; Не описана и не обоснована процедура установления отношений доверия к центрам сертификации (удостоверяющим центрам); И пр.

10 10 Применение сертифицированных библиотек с нарушением технических условий эксплуатации; Передача средств ЭЦП по незащищенным каналам связи или по протоколам SSL с алгоритмами RSA, DES и т.д. и пр. Появляются риски банков и пользователей, связанных с отказом от ЭЦП ввиду подтверждения экспертной организации о несертифицированном условии использования средства ЭЦП

11 11 Применяются незащищённые ключевые носители (дискеты, флэшки), т.к. они значительно дешевле защищенных; Цитата из договора, описывающая ВСЕ меры защиты криптографических ключей: КЛИЕНТ обязан самостоятельно обеспечить сохранность своих секретных ключей и несет за это полную ответственность. КЛИЕНТ по возможности обязан содержать свои секретные ключи на съемном электронном носителе информации, а данный носитель хранить в сейфовом шкафу или другом надежном месте с ограниченным доступом.

12 Подробный анализ судебных решений см. в блоге Н.А.Храмцовской:

13 13 Неправомерное списание денежных средств со счетов Подавляющее большинство дел выигрывают кредитные организации Кредитная организация проигрывает в случае нарушения правил работы и оформления документов

14 14 Банк виновен: При подключении системы «Клиент-банк» банк не составил ни одного предусмотренного Генеральным соглашением - виновен, ущерб 500 тысяч руб. РФ (дело А /2010)

15 15 Клиент виновен (нарушение безопасности ключей): Добровольно передав ключ ЭЦП, руководитель тем самым санкционировал последующие действия исполнителя (дело А /2011) Клиент не стал получать собственные средство ЭЦП, ключи и сертификат, и использовал средства, принадлежащие другой организации (дело А /2011) Приказом право доступа к криптографическим ключам, помимо генерального директора организации было предоставлено главному бухгалтеру и заместителю главного бухгалтера – ущерб 450 тысяч (делу А /2010)

16 16 Клиент виновен (организационные причины): Несмотря на затянувшийся корпоративный конфликт, никто из поочередно сменявшихся директоров общества, работавших с одними ключами, не известил банк о сложившейся ситуации – ущерб 29 млн. рублей (дело А /2011) Договор с банком был подписан неустановленным лицом, а организация его одобрила, начав использование системы «клиент-банк» (дело А38-311/2011)

17 17 Клиент виновен (несоблюдение ТУ эксплуатации): На компьютере клиента присутствовали вредоносные программы, не были выполнены иные меры по обеспечению безопасности при работе в системе ДБО (дело А /2011)

18 Вывод 1 1.Несмотря на популярность, эффективность и определенность нормативного регулирования применения СКЗИ и PKI, как правило они используются в АБС далеко не оптимально. 2.Для повышения эффективности и снижения рисков для создания таких систем необходимо привлекать лицензиатов и проводить независимый аудит создаваемых и эксплуатируемых систем.

19 Защита информации на основе СКЗИ и PKI при трансграничном взаимодействии 19

20

21 Определение 21 Трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства. (ФЗ-152, ст.3, п.11)

22 Область применения 22

23 Основные вопросы 23 1.Как обеспечить совместимость технологий защиты? 2.Как учесть разницу в правовом регулировании?

24 Одноплечевая схема 24 АB ДТС

25 Двуплечевая схема 25 АB ДТС АДТС B

26 Как учесть разницу в правовом регулировании? 26 1.Международные соглашения (примеры – директивы и конвенции Европарламента, Конвенция (Соглашение) о порядке признания юридического значения иностранных электронных документов (сообщений) и/или их электронных подписей в международном информационном обмене) 2.Привести в соответствие национальное законодательство 3.Договоры B2B (примеров не требуется) 4.Внутренние регламенты (для филиалов) 5.И пр.

27 Национальное законодательство Закон Республики Беларусь от 28 декабря 2009 г. N 113-З Об электронном документе и электронной цифровой подписи Статья 30. Признание иностранного сертификата открытого ключа Иностранный сертификат открытого ключа, соответствующий требованиям законодательства иностранного государства, в котором этот сертификат издан, признается на территории Республики Беларусь в случаях и порядке, определенных международным договором Республики Беларусь, предусматривающим взаимное признание сертификатов открытых ключей или другой способ придания юридической силы иностранным электронным документам. Сертификат открытого ключа, изданный поставщиком услуг иностранного государства, аккредитованным в Государственной системе управления открытыми ключами, признается на территории Республики Беларусь.

28 Национальное законодательство Федеральный закон Российской Федерации от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" Статья 7. Признание электронных подписей, созданных в соответствии с нормами иностранного права и международными стандартами 1. Электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, в Российской Федерации признаются электронными подписями того вида, признакам которого они соответствуют на основании настоящего Федерального закона. 2. Электронная подпись и подписанный ею электронный документ не могут считаться не имеющими юридической силы только на том основании, что сертификат ключа проверки электронной подписи выдан в соответствии с нормами иностранного права

29 Национальное законодательство в Москве прошел экспертный совет по подготовке к парламентским слушаниям в Совете Федерации «Об использовании электронной подписи: состояние нормативно- правовой базы и практика её применения». Модератором совещания экспертов выступал заместитель председателя Комитета Совета Федерации по экономической политике Юрий Витальевич Росляк. Среди огромного количества обсуждаемых вопросов, был и вопрос, связанный с определением объема существующей нормативной базы для применения Статьи 7 63-ФЗ «Об электронной подписи» по использованию иностранных электронных подписей. В ходе обсуждения экспертами, было принято решение, что на настоящий момент существующей нормативной базы вполне достаточно для применения данной статьи закона (Ст ФЗ) как для уровня бизнеса, так и для уровня государства.

30 Модель системы нормативного регулирования доверенного трансграничного электронного взаимодействия 30 Страна A Страна B Международное соглашение Типовой договор Договор Регламент TTP Регламент TTP TTP A TTP B Институт государства и права РАН, 2007 г. Доверенное электронное взаимодействие Договор

31 Модель системы нормативного регулирования доверенного трансграничного электронного взаимодействия 31 Страна A Страна B TTP A Торговый обычай Договор Доверенное электронное взаимодействие Договор TTP B Договор

32 32 Доверенная третья сторона X.842, раздел 7 содержит описание основных категорий сервисов ДТС: 1.Сервис меток времени 2.Сервис неотрекаемости 3.Сервис управления ключами 4.Сервис управления сертификатами 5.Электронный нотариат 6.Сервис электронного цифрового архива 7.Сервис идентификации и аутентификации в режимах «on-line», «off-line», «in-line» 8.Сервис трансляции в режиме «in-line» 9.Сервис восстановления данных и ключевой информации 10.Сервис персонализации 11.И др. Традиционны е сервисы удостоверяю щих центров

33 Сервис валидации ЭД

34 сервис валидациии онлайн 34

35 Трансграничная конфиденциальность

36 Спасибо за внимание! Кирюшкин Сергей Анатольевич, к.т.н. Советник генерального директора ООО «Газинформсервис», Россия, Санкт-Петербург Тел. +7(812) #1859 Факс +7(812)