1 / 36

Кирюшкин Сергей Анатольевич, к.т.н. Советник генерального директора ООО « Газинформсервис »,

Международный форум по банковским информационным технологиям «БанкИТ» 21-22 ноября 2012 года, г. Минск, Беларусь. Криптографические технологии и PKI – эффективные инструменты обеспечения защищенности автоматизированных банковских систем, в том числе при трансграничном взаимодействии.

gambhiri-naveen
Download Presentation

Кирюшкин Сергей Анатольевич, к.т.н. Советник генерального директора ООО « Газинформсервис »,

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Международный форум по банковским информационным технологиям «БанкИТ» 21-22 ноября 2012 года, г. Минск, Беларусь Криптографические технологии и PKI – эффективные инструменты обеспечения защищенности автоматизированных банковских систем, в том числе при трансграничном взаимодействии Кирюшкин Сергей Анатольевич, к.т.н. Советник генерального директора ООО «Газинформсервис», Россия, Санкт-Петербург Kiryushkin-S@gaz-is.ru, www.gaz-is.ru Тел. +7(812)305-20-50 #1859 Факс +7(812)3052051

  2. Источники • Презентация основана на аналитических и проектных материалах компаний “Газинформсервис” и “Белтим СБ”, а так же материалах ряда профильных конференций, в том числе “PKI-Форум Россия” и “Информационная безопасность банков”

  3. Системы ДБО – основной объект информационных атак Технологии ДБО ОСНОВНЫЕ АТАКИ НА ДБО • Атака на АРМ пользователя с целью кражи идентификаторов (закрытого ключа, пароля, пин-кода…) • Атака на АРМ пользователя с целью захвата удаленного управления ресурсами АРМ пользователя • Атака на АРМ пользователя с целью подмены документа при процедурах электронной подписи • Аналогичные атаки на каналы передачи данных… • 1. Банк-клиент • (Клиентское ПО) • 2. Интернет-банкинг • Браузер • 3. Мобильный банкинг • Клиентское ПО/Браузер/СМС • 4. АТМ • Банкомат/Терминал

  4. Известные решения на базе криптографии и PKI ОСНОВНЫЕ АТАКИ НА ДБО РЕШЕНИЯ НА ОСНОВЕ СКЗИ И PKI • Атака на АРМ пользователя с целью кражи идентификаторов (закрытого ключа, пароля, пин-кода…) • Атака на АРМ пользователя с целью захвата удаленного управления ресурсами АРМ пользователя • Атака на АРМ пользователя с целью подмены документа при процедурах электронной подписи • Аналогичные атаки на каналы передачи данных… • Защищенное хранение ключей, в том числе использование ключевых с неизвлекаемым хранением ключей. • Контроль доступа и контроль операций на основе идентификации и аутентификации криптографическими методами • Создание доверенной среды выполнения криптографических операций • Строгая аутентификация и шифрование в каналах

  5. Примечания • Криптографические методы защиты актуальны, популярны и эффективныв ДБО и в банковских ИС в целом; • Применение криптографии (как и все остальные стадии жизненного цикла) регулируется особо на уровне законодательства и уполномоченными государственными регуляторами

  6. Универсальное применение

  7. Однако… По ряду причин СКЗИ и PKI в КФУ используются зачастую не эффективно

  8. “Банковская” ЭЦП Разработаны и достаточно широко используются банковские системы, в которых декларируется применение ЭЦП, но не в соответствии с 1-ФЗ «Об ЭЦП» Цитата из договора: Клиент при подписании электронного документа (ЭД) ЭЦП применяет свои секретные ключи подписи, а Банк при проверке ЭЦП ЭД — открытые ключи подписи Клиента, являющиеся действующими на момент подписания и передачи документа на обработку соответственно. Ключи электронной цифровой подписи (секретный и соответствующий ему открытый ключ) подписывающей Стороны становятся действующими только после завершения процедур регистрации открытых ключей и ввода в действие секретных ключей. Риски банков применения “псевдо ЭЦП“не оценены. Ущерб от реализации данных рисков не минимизирован.

  9. Некорректные процедуры работы с ЭЦП • Во многих АБС, использующих ЭЦП: • По умолчанию отключена проверка на отозванность сертификата ключа подписи при проверке ЭЦП; • Отсутствуют проверки на отозванность сертификата ключа подписи при подписании электронных документов; • Не описана и не обоснована процедура установления отношений доверия к центрам сертификации (удостоверяющим центрам); • И пр. Появляются риски банков и пользователей, связанных с исполнением документов, удостоверенных ЭЦП с отозванными (аннулированными) или не доверенными сертификатами

  10. Декларирование применения сертифицированных средств ЭЦП (СКЗИ) • Применение сертифицированных библиотек с нарушением технических условий эксплуатации; • Передача средств ЭЦП по незащищенным каналам связи или по протоколам SSL с алгоритмами RSA, DES и т.д. • и пр. Появляются риски банков и пользователей, связанных с отказом от ЭЦП ввиду подтверждения экспертной организации о несертифицированном условии использования средства ЭЦП

  11. Низкий уровень защиты ключей Применяются незащищённые ключевые носители (дискеты, флэшки), т.к. они значительно дешевле защищенных; Цитата из договора, описывающая ВСЕ меры защиты криптографических ключей: КЛИЕНТ обязан самостоятельно обеспечить сохранность своих секретных ключей и несет за это полную ответственность. КЛИЕНТ по возможности обязан содержать свои секретные ключи на съемном электронном носителе информации, а данный носитель хранить в сейфовом шкафу или другом надежном месте с ограниченным доступом.

  12. Показательный критерий – арбитражная практика Подробный анализ судебных решений см. в блогеН.А.Храмцовской: http://rusrim.blogspot.com/

  13. Неправомерное списание денежных средств со счетов • Подавляющее большинство дел выигрывают кредитные организации • Кредитная организация проигрывает в случае нарушения правил работы и оформления документов

  14. Банк виновен: • При подключении системы «Клиент-банк» банк не составил ни одного предусмотренного Генеральным соглашением - виновен, ущерб 500 тысяч руб.РФ (дело №А50-18570/2010)

  15. Клиент виновен (нарушение безопасности ключей): • Добровольно передав ключ ЭЦП, руководитель тем самым санкционировал последующие действия исполнителя (дело № А76-4331/2011) • Клиент не стал получать собственные средство ЭЦП, ключи и сертификат, и использовал средства, принадлежащие другой организации (дело №А38-1398/2011) • Приказом право доступа к криптографическим ключам, помимо генерального директора организации было предоставлено главному бухгалтеру и заместителю главного бухгалтера – ущерб 450 тысяч (делу №А72-5310/2010)

  16. Клиент виновен (организационные причины): • Несмотря на затянувшийся корпоративный конфликт, никто из поочередно сменявшихся директоров общества, работавших с одними ключами, не известил банк о сложившейся ситуации – ущерб 29 млн. рублей (дело № А33-15817/2011) • Договор с банком был подписан неустановленным лицом, а организация его одобрила, начав использование системы «клиент-банк» (дело № А38-311/2011)

  17. Клиент виновен (несоблюдение ТУ эксплуатации): • На компьютере клиента присутствовали вредоносные программы, не были выполнены иные меры по обеспечению безопасности при работе в системе ДБО (дело № А60-15360/2011)

  18. Вывод 1 • Несмотря на популярность, эффективность и определенность нормативного регулирования применения СКЗИ и PKI, как правило они используются в АБС далеко не оптимально. • Для повышения эффективности и снижения рисков для создания таких систем необходимо привлекать лицензиатов и проводить независимый аудит создаваемых и эксплуатируемых систем.

  19. Защита информации на основе СКЗИ и PKI при трансграничном взаимодействии

  20. Определение Трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства. (ФЗ-152, ст.3, п.11)

  21. Область применения

  22. Основные вопросы Как обеспечить совместимость технологийзащиты? Как учесть разницу в правовом регулировании?

  23. Одноплечевая схема ДТС А B

  24. Двуплечевая схема ДТС “B” ДТС “А” А B

  25. Как учесть разницу в правовом регулировании? Международные соглашения (примеры – директивы и конвенции Европарламента, Конвенция (Соглашение) о порядке признания юридического значения иностранных электронных документов (сообщений) и/или их электронных подписей в международном информационном обмене) Привести в соответствие национальное законодательство Договоры B2B (примеров не требуется) Внутренние регламенты (для филиалов) И пр.

  26. Национальное законодательство Закон Республики Беларусь от 28 декабря 2009 г. N 113-З Об электронном документе и электронной цифровой подписи Статья 30. Признание иностранного сертификата открытого ключа Иностранный сертификат открытого ключа, соответствующий требованиям законодательства иностранного государства, в котором этот сертификат издан, признается на территории Республики Беларусь в случаях и порядке, определенных международным договором Республики Беларусь, предусматривающим взаимное признание сертификатов открытых ключей или другой способ придания юридической силы иностранным электронным документам. Сертификат открытого ключа, изданный поставщиком услуг иностранного государства, аккредитованным в Государственной системе управления открытыми ключами, признается на территории Республики Беларусь.

  27. Национальное законодательство Федеральный закон Российской Федерации от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" Статья 7. Признание электронных подписей, созданных в соответствии с нормами иностранного права и международными стандартами 1. Электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, в Российской Федерации признаются электронными подписями того вида, признакам которого они соответствуют на основании настоящего Федерального закона. 2. Электронная подпись и подписанный ею электронный документ не могут считаться не имеющими юридической силы только на том основании, что сертификат ключа проверки электронной подписи выдан в соответствии с нормами иностранного права

  28. Национальное законодательство 19.11.2012 в Москве прошел экспертный совет по подготовке к парламентским слушаниям в Совете Федерации «Об использовании электронной подписи: состояние нормативно-правовой базы и практика её применения». Модератором совещания экспертов выступал заместитель председателя Комитета Совета Федерации по экономической политике Юрий Витальевич Росляк. Среди огромного количества обсуждаемых вопросов, был и вопрос, связанный с определением объема существующей нормативной базы для применения Статьи 7 63-ФЗ «Об электронной подписи» по использованию иностранных электронных подписей. В ходе обсуждения экспертами, было принято решение, что на настоящий момент существующей нормативной базы вполне достаточно для применения данной статьи закона (Ст. 7 63-ФЗ) как для уровня бизнеса, так и для уровня государства.

  29. Модель системы нормативного регулирования доверенного трансграничного электронного взаимодействия Страна “A” Институт государства и права РАН, 2007 г. Страна “B” Международное соглашение Регламент TTP Регламент TTP Типовой договор Договор TTP “A” TTP “B” Договор Договор Доверенное электронное взаимодействие

  30. Модель системы нормативного регулирования доверенного трансграничного электронного взаимодействия Страна “A” Страна “B” Торговый обычай TTP “B” TTP “A” Договор Договор Договор Договор Договор Доверенное электронное взаимодействие

  31. Доверенная третья сторона X.842, раздел 7 содержит описание основных категорий сервисов ДТС: Сервис меток времени Сервис неотрекаемости Сервис управления ключами Сервис управления сертификатами Электронный нотариат Сервис электронного цифрового архива Сервис идентификации и аутентификации в режимах «on-line», «off-line», «in-line» Сервис трансляции в режиме «in-line» Сервис восстановления данных и ключевой информации Сервис персонализации И др. Традиционные сервисы удостоверяющих центров

  32. Сервис валидации ЭД

  33. сервис валидациии онлайн http://dvcs.gaz-is.ru

  34. Трансграничная конфиденциальность

  35. Спасибо за внимание! Кирюшкин Сергей Анатольевич, к.т.н. Советник генерального директора ООО «Газинформсервис», Россия, Санкт-Петербург Kiryushkin-S@gaz-is.ru, www.gaz-is.ru Тел. +7(812)305-20-50 #1859 Факс +7(812)3052051

More Related