Александр Немошкалов, менеджер продукта, компания «Код Безопасности»
Успешность деятельности современных банков в настоящее время зависит от введения банком в использование современных компьютерных технологий. Это и мобильный банк, и смс- и телефонные сервисы, и территориально распределенные сети банковских терминалов. Для внутренней оптимизации своей деятельности банки широко используют IP-телефонию и системы видеоконференцсвязи, создают собственные центры обработки данных (ЦОД) или арендуют ЦОДы у сервис-провайдеров. При этом все информационные потоки как между подразделениями банков, так и между банком и его клиентами, сегодня проходят через внешнюю информационную среду, то есть через Интернет.
Защита информации, передаваемой по техническим каналам связи с использованием подключения к Интернету, – одна из основных задач службы безопасности банка. Требования к надежности и безопасности основных информационных каналов, которыми пользуются банки для передачи информации как между банком и клиентами, так и между распределенными филиалами самого банка, определяются не только самостоятельно банком, исходя из его финансового положения и текущих задач развития. В силу вступают и международные корпоративные стандарты (например, PCI DSS) или законодательство (в России, например, утвержден стандарт СТО БР ИБСС, определяющий требования к банкам по защите персональных данных, хранящихся и обрабатываемых в информационных системах банков).
В целях избегания информационных рисков, связанных с доступностью информации при ее передаче через Интернет, банк должен обеспечивать безопасность использования таких каналов коммуникации.
Наиболее надежным средством защиты для работы с внешними каналами является использование VPN-технологии и криптошифрования при передаче информации через сети общего доступа. Построение VPN или защищенной корпоративной сети позволяет обезопасить передаваемую информацию с точки зрения трех критериев: целостность, конфиденциальность, авторизованный доступ.
Программно-аппаратные комплексы шифрования широко используются банковскими организациями по всему миру. Однако применение западных решений не всегда возможно для российских банков и филиалов международных банков, действующих на территории Российской Федерации.
Вот некоторые требования, которые по результатам опроса, проведенного на портале itsec.ru предъявляют ИБ-специалисты к VPN- решениям, которые используются в их банках (источник: http://www.itsec.ru/articles2/tema/bezopasn_bankov_segodnya):
- создание в структурах банка единого информационного пространства;
- сертифицированное криптошифрование;
- наличие обученных специалистов по работе с оборудованием и программным обеспечением.
Соблюсти все эти требования позволит аппаратно-программный комплекс шифрования (АПКШ) «Континент», разработки компании «Код Безопасности». Представляя собой комплекс шифратора, межсетевого экрана и маршрутизатора, АПКШ «Континент» позволяет обеспечить:
- объединение подразделений банка в одну защищенную корпоративную сеть с использованием различных видов связи (Интернет-подключение, телефония);
- возможность безопасного доступа к ЦОДам;
- защита конфиденциальной информации и персональных данных при их передаче по открытым каналам связи (Интернет);
- защита каналов связи, используемых для подключения к процессинговому центру банкоматов, банковских терминалов и прочих систем самообслуживания;
- организация защиты системы клиент-банк;
- организация информационной защиты юридически значимого электронного документооборота;
- организация защищенной IP-телефонии и системы видеоконференцсвязи;
- организация защищенного доступа мобильных пользователей к корпоративной сети.
Комплексное VPN-решение для защиты информационной структуры банка АПКШ «Континент» включает следующие компоненты:
- VPN- шлюз «Континент»;
VPN-шлюз представляет собой специализированное аппаратно-программное устройство, функционирующее на платформе Intel под управлением сокращенной версии ОС FreeBSD. VPN-шлюз устанавливается на границе выделенного защищаемого сегмента локальной сети.
- Центр управления сетью VPN-шлюзов (ЦУС);
Центр управления сетью VPN-шлюзов представляет собой программное обеспечение, устанавливаемое на одном из VPN-шлюзов комплекса. Основной функцией ЦУС является централизованное управление работой всех VPN-шлюзов, установленных в корпоративной сети.
- Абонентский пункт (АП);
Абонентский пункт (АП) является специализированным программным обеспечением, которое устанавливается на рабочих местах удаленных пользователей для организации их доступа к ресурсам защищаемой сети (VPN).
- Сервер доступа (СД)
Сервер доступа обеспечивает: защищенное соединение между АП и сетью, защищенной VPN-шлюзами; формирование симметричного ключа (ГОСТ 28147-89) для аутентификации администратора и запись ключевой информации на ключевой носитель; аутентификацию администратора при установлении защищенного соединения с программой управления.
Немаловажным является тот факт, что технологии межсетевого экранирования и криптозащиты, реализованные в решении АПКШ «Континент», сертифицированы по линии ФСТЭК и ФСБ России. Это позволяет банкам соблюдать требования защиты персональных данных и другой конфиденциальной информации (с грифами «для служебного пользования», «секретно» и др.) в соответствии с российским законодательством.
В отличие от решений западных вендоров, широко представленных на отечественном рынке, которые в основном используют протокол IPSec, в «Континенте» реализован собственный протокол, построенный на применении симметричной криптосистемы. Благодаря этому достигается высокая надежность работы криптошлюзов, отсутствие временных задержек на установку соединения и выработку ключей и необходимости поддержания активной сессии.
В составе комплекса «Континент» в полной мере реализована централизованная схема управления. При этом нет необходимости настройки каждого криптошлюза в отдельности, так как все управление географически распределенной сетью криптошлюзов осуществляется администратором централизованно, из единой графической консоли Программы Управления ЦУС (ПУ ЦУС). ЦУС выполняет роль Центра Управления Сетью, он преобразовывает команды администратора и автоматически рассылает изменения конфигураций на криптошлюзы, также осуществляет сбор событий для их последующего хранения и анализа.
АПКШ «Континент» – это легко масштабируемая система, позволяющая легко наращивать количество криптошлюзов вместе с ростом количества дополнительных филиалов. При этом нет необходимости содержания высококвалифицированного персонала в дополнительных офисах, при добавлении нового криптошлюза он может быть предварительно сконфигурирован администратором головного подразделения, а затем отправлен в филиал. Локальному персоналу останется лишь установить оборудование в стойки и произвести коммутацию сетевых кабелей.
Все модели криптошлюзов «Континент» предназначены для работы в необслуживаемом режиме, а в случае сбоя питания, криптошлюз автоматически запустится и продолжит работу без участия администратора. Аппаратные платформы «Континент» специально разработаны с учетом высоких требований надежности и с применением высококачественных комплектующих индустриального класса, время наработки на отказ для платформы IPC-100 составляет 40 000 часов.
Для обеспечения требований высокой надежности в АПКШ «Континент» предусмотрена отказоустойчивая схема работы в режиме HA кластера. В этом случае два физических устройства «Континент» работают как одно логическое, и в случае возникновения каких-либо программных или аппаратных сбоев происходит автоматическое переключение на вторую ноду кластера без потери пользовательских сессий и вмешательства администратора.
Необходимо заметить, что для использования VPN-шлюзов для защиты банковских терминалов в модельном ряду «Континентов» было разработано устройство, обладающее необходимым форм-фактором для использования именно в терминалах. Речь идет об устройстве «Континент» IPC 25, которое обладает низким энергопотреблением (не более 50Вт) необходимыми размерами и интерфейсами для встраивания внутрь банкомата. Еще одним преимуществом АПКШ «Континент» является то, что на текущий момент среди сертифицированных решений «Континент» является одним из наиболее производительных.
Как заметили эксперты, участвовавшие в опросе, на который мы ссылались в начале статьи, немаловажным для банков является возможность обучить своих специалистов, что не всегда возможно в случае использования банками несертифицированных VPN-решений от западных разработчиков. Обучить специалистов работе с АПКШ «Континент» не составит труда, так как в Учебном Центре «Информзащита» действуют курсы по этому продукту.
В завершение хотелось бы отметить, что по результатам исследования Verizon, в 2010 году кражи данных в Интернете возросли пятикратно, но при этом киберпреступники переориентировались с массовых краж персональных данных частных лиц на охоту за интеллектуальной собственностью крупных компаний, в том числе банков. Исследование Verizon прежде всего выявило неприятную для компаний тенденцию: в то время как количество посягательств на персональную информацию сократилось с $144 млн. в 2009 году до $4 млн. в 2010 году, количество кибератак на компании за этот же период взлетело пятикратно: со 141 до 760 случаев. Такая статистика подтверждает, что построение VPN-сетей для банков на основе надежных решений является обязательной задачей, гарантирующей защиту от финансовых и репутационных рисков, связанных с информационными угрозами.
Рис. 1. Схема архитектуры сети банка с использованием АПКШ «Континент»
