Transcript Шаблон презентации

Международный форум по банковским
информационным технологиям «БанкИТ»
21-22 ноября 2012 года, г. Минск, Беларусь
Криптографические технологии и PKI –
эффективные инструменты обеспечения
защищенности автоматизированных
банковских систем, в том числе при
трансграничном взаимодействии
Кирюшкин Сергей Анатольевич, к.т.н.
Советник генерального директора
ООО «Газинформсервис»,
Россия, Санкт-Петербург
[email protected],
www.gaz-is.ru
Тел. +7(812)305-20-50 #1859
Факс +7(812)3052051
Источники
• Презентация основана на
аналитических и проектных материалах
компаний “Газинформсервис” и “Белтим
СБ”, а так же материалах ряда
профильных конференций, в том числе
“PKI-Форум Россия” и
“Информационная безопасность
банков”
Технологии ДБО
1. Атака на АРМ пользователя с
целью кражи идентификаторов
(закрытого ключа, пароля, пинкода…)
2. Интернет-банкинг
2. Атака на АРМ пользователя с
Браузер
целью захвата удаленного
управления ресурсами АРМ
3. Мобильный банкинг
пользователя
Клиентское
3. Атака на АРМ пользователя с
ПО/Браузер/СМС
целью подмены документа при
процедурах электронной подписи
4. АТМ
4. Аналогичные атаки на каналы
Банкомат/Терминал
передачи данных…
1. Банк-клиент
(Клиентское ПО)
Известные решения на базе
криптографии и PKI
1. Атака на АРМ пользователя с 1. Защищенное хранение ключей, в
целью кражи идентификаторов
том числе использование ключевых
(закрытого ключа, пароля, пинс неизвлекаемым хранением
кода…)
ключей.
2. Атака на АРМ пользователя с
целью захвата удаленного
управления ресурсами АРМ
пользователя
2. Контроль доступа и контроль
операций на основе
идентификации и аутентификации
криптографическими методами
3. Атака на АРМ пользователя с 3. Создание доверенной среды
целью подмены документа при
выполнения криптографических
процедурах электронной
операций
подписи
4. Аналогичные атаки на каналы 4. Строгая аутентификация и
шифрование в каналах
передачи данных…
Примечания
1. Криптографические методы защиты
актуальны, популярны и эффективны в
ДБО и в банковских ИС в целом;
2. Применение криптографии (как и все
остальные стадии жизненного цикла)
регулируется особо на уровне
законодательства и уполномоченными
государственными регуляторами
Универсальное применение
Система УЦ
АБС филиала
АБС
VPN/IPSec каналы
на базе
магистральных
сетей
...
Клиенты ДБО
Контроллер
домена
Mailсервер
WEBсервер
Серверы
удаленного
доступа
Сети общего
пользования
...
АРМ администратора
Proxyсервер
Администратор
Файлсервер
Сервер
БД
Однако…
По ряду причин СКЗИ и PKI в КФУ
используются зачастую не эффективно
“Банковская” ЭЦП
Разработаны и достаточно широко используются банковские системы, в
которых декларируется применение ЭЦП, но не в соответствии с 1-ФЗ
«Об ЭЦП»
Цитата из договора:
Клиент при подписании электронного документа (ЭД) ЭЦП применяет
свои секретные ключи подписи, а Банк при проверке ЭЦП ЭД —
открытые ключи подписи Клиента, являющиеся действующими на
момент подписания и передачи документа на обработку
соответственно.
Ключи электронной цифровой подписи (секретный и
соответствующий ему открытый ключ) подписывающей Стороны
становятся действующими только после завершения процедур
регистрации открытых ключей и ввода в действие секретных
ключей.
Риски банков применения “псевдо ЭЦП“не оценены. Ущерб от реализации
данных рисков не минимизирован.
8
Некорректные процедуры работы с ЭЦП
Во многих АБС, использующих ЭЦП:
• По умолчанию отключена проверка на отозванность
сертификата ключа подписи при проверке ЭЦП;
• Отсутствуют проверки на отозванность сертификата
ключа подписи при подписании электронных
документов;
•Не описана и не обоснована процедура
установления отношений доверия к центрам
сертификации (удостоверяющим центрам);
•И пр.
Появляются риски банков и пользователей, связанных с
исполнением документов, удостоверенных ЭЦП с
отозванными (аннулированными) или не доверенными
сертификатами
9
• Применение сертифицированных библиотек с
нарушением технических условий эксплуатации;
• Передача средств ЭЦП по незащищенным
каналам связи или по протоколам SSL с
алгоритмами RSA, DES и т.д.
• и пр.
Появляются риски банков и пользователей,
связанных с отказом от ЭЦП ввиду подтверждения
экспертной организации о несертифицированном
условии использования средства ЭЦП
10
Применяются незащищённые ключевые носители (дискеты,
флэшки), т.к. они значительно дешевле защищенных;
Цитата из договора, описывающая ВСЕ меры защиты
криптографических ключей:
КЛИЕНТ обязан самостоятельно обеспечить сохранность
своих секретных ключей и несет за это полную
ответственность. КЛИЕНТ по возможности обязан
содержать свои секретные ключи на съемном электронном
носителе информации, а данный носитель хранить в
сейфовом шкафу или другом надежном месте с
ограниченным доступом.
11
Подробный анализ судебных решений см.
в блоге Н.А.Храмцовской:
http://rusrim.blogspot.com/
Неправомерное списание денежных
средств со счетов
• Подавляющее большинство дел выигрывают
кредитные организации
• Кредитная организация проигрывает в
случае нарушения правил работы и
оформления документов
13
Банк виновен:
• При подключении системы «Клиент-банк» банк не
составил ни одного предусмотренного
Генеральным соглашением - виновен, ущерб 500
тысяч руб. РФ (дело №А50-18570/2010)
14
Клиент виновен (нарушение
безопасности ключей):
• Добровольно передав ключ ЭЦП, руководитель тем
самым санкционировал последующие действия
исполнителя (дело № А76-4331/2011)
• Клиент не стал получать собственные средство ЭЦП,
ключи и сертификат, и использовал средства,
принадлежащие другой организации (дело №А381398/2011)
• Приказом право доступа к криптографическим
ключам, помимо генерального директора организации
было предоставлено главному бухгалтеру и
заместителю главного бухгалтера – ущерб 450 тысяч
(делу №А72-5310/2010)
15
Клиент виновен (организационные
причины):
• Несмотря на затянувшийся корпоративный конфликт,
никто из поочередно сменявшихся директоров
общества, работавших с одними ключами, не
известил банк о сложившейся ситуации – ущерб 29
млн. рублей (дело № А33-15817/2011)
• Договор с банком был подписан неустановленным
лицом, а организация его одобрила, начав
использование системы «клиент-банк»
(дело № А38-311/2011)
16
Клиент виновен (несоблюдение ТУ
эксплуатации):
• На компьютере клиента присутствовали
вредоносные программы, не были выполнены
иные меры по обеспечению безопасности при
работе в системе ДБО
(дело № А60-15360/2011)
17
Вывод 1
1. Несмотря на популярность, эффективность
и определенность нормативного
регулирования применения СКЗИ и PKI, как
правило они используются в АБС далеко не
оптимально.
2. Для повышения эффективности и снижения
рисков для создания таких систем
необходимо привлекать лицензиатов и
проводить независимый аудит создаваемых
и эксплуатируемых систем.
Защита информации на
основе СКЗИ и PKI при
трансграничном
взаимодействии
19
Определение
Трансграничная передача персональных данных передача персональных данных оператором через
Государственную границу Российской Федерации
органу власти иностранного государства, физическому
или юридическому лицу иностранного государства.
(ФЗ-152, ст.3, п.11)
21
Область применения
22
Основные вопросы
1. Как обеспечить
совместимость технологий
защиты?
2. Как учесть разницу в
правовом регулировании?
23
Одноплечевая схема
ДТС
А
B
24
Двуплечевая схема
ДТС “А”
А
ДТС “B”
B
25
Как учесть разницу в правовом
регулировании?
1. Международные соглашения (примеры –
директивы и конвенции Европарламента,
Конвенция (Соглашение) о порядке признания
юридического значения иностранных
электронных документов (сообщений) и/или их
электронных подписей в международном
информационном обмене)
2. Привести в соответствие национальное
законодательство
3. Договоры B2B (примеров не требуется)
4. Внутренние регламенты (для филиалов)
5. И пр.
26
Национальное
законодательство
Закон Республики Беларусь от 28 декабря 2009 г. N 113-З
Об электронном документе и электронной цифровой подписи
Статья 30. Признание иностранного сертификата открытого ключа
Иностранный сертификат открытого ключа, соответствующий
требованиям законодательства иностранного государства, в котором
этот сертификат издан, признается на территории Республики
Беларусь в случаях и порядке, определенных международным
договором Республики Беларусь, предусматривающим взаимное
признание сертификатов открытых ключей или другой способ придания
юридической силы иностранным электронным документам.
Сертификат открытого ключа, изданный поставщиком услуг
иностранного государства, аккредитованным в Государственной
системе управления открытыми ключами, признается на
территории Республики Беларусь.
Национальное
законодательство
Федеральный закон Российской Федерации
от 6 апреля 2011 г.
N 63-ФЗ "Об электронной подписи"
Статья 7. Признание электронных подписей, созданных в
соответствии с нормами иностранного права и
международными стандартами
1. Электронные подписи, созданные в соответствии с нормами права
иностранного государства и международными стандартами, в
Российской Федерации признаются электронными подписями того
вида, признакам которого они соответствуют на основании
настоящего Федерального закона.
2. Электронная подпись и подписанный ею электронный документ не
могут считаться не имеющими юридической силы только на том
основании, что сертификат ключа проверки электронной подписи
выдан в соответствии с нормами иностранного права
Национальное
законодательство
19.11.2012 в Москве прошел экспертный совет по подготовке к
парламентским слушаниям в Совете Федерации «Об
использовании электронной подписи: состояние нормативноправовой базы и практика её применения». Модератором
совещания экспертов выступал заместитель председателя
Комитета Совета Федерации по экономической политике Юрий
Витальевич Росляк. Среди огромного количества обсуждаемых
вопросов, был и вопрос, связанный с определением объема
существующей нормативной базы для применения Статьи 7
63-ФЗ «Об электронной подписи» по использованию
иностранных электронных подписей. В ходе обсуждения
экспертами, было принято решение, что на настоящий
момент существующей нормативной базы вполне
достаточно для применения данной статьи закона (Ст. 7 63ФЗ) как для уровня бизнеса, так и для уровня государства.
Модель системы нормативного регулирования
доверенного трансграничного электронного
взаимодействия
Страна “A”
Институт государства и права
РАН, 2007 г.
Страна “B”
Международное
соглашение
Регламент
TTP
Регламент
TTP
Типовой договор
TTP “A”
Договор
TTP “B”
Договор
Договор
Доверенное электронное
взаимодействие
30
Модель системы нормативного регулирования
доверенного трансграничного электронного
взаимодействия
Страна “A”
TTP “A”
Торговый
обычай
Договор
Договор
Договор
Договор
Страна “B”
TTP “B”
Договор
Доверенное электронное
взаимодействие
31
Доверенная третья сторона
X.842, раздел 7 содержит описание основных
категорий сервисов ДТС:
Традиционны
1. Сервис меток времени
е сервисы
2. Сервис неотрекаемости
удостоверяю
3. Сервис управления ключами
щих центров
4. Сервис управления сертификатами
5. Электронный нотариат
6. Сервис электронного цифрового архива
7. Сервис идентификации и аутентификации в
режимах «on-line», «off-line», «in-line»
8. Сервис трансляции в режиме «in-line»
9. Сервис восстановления данных и ключевой
информации
32
10.Сервис персонализации
Сервис валидации ЭД
Белорусская
служба ТТР
Запрос о действительности
ЭЦП в документе
транслируется в
защищенный домен автора
ЭЦП
Российская
служба ТТР
3
4
RFC 3029: Internet
X.509 Public Key
Infrastructure, Data
Validation and
Certification Server
Protocols
Квитанция ТТР
зарубежного
контрагента
подтверждает
действительность ЭЦП
электронного
документа, квитанция
имеет ЭЦП УЛ ТТР СТБ
DVC
квитанция
(ЭЦП ГОСТ)
5
6
Запрос
подтверждения
2
Принятие
иностранного
документа к
рассмотрению
1
ИС Банка
Электронный
документ (ЭЦП СТБ)
Электронный документ
(ЭЦП ГОСТ)
сервис валидациии онлайн
http://dvcs.gaz-is.ru
34
Трансграничная
конфиденциальность
Спасибо за внимание!
Кирюшкин Сергей Анатольевич, к.т.н.
Советник генерального директора
ООО «Газинформсервис»,
Россия, Санкт-Петербург
[email protected],
www.gaz-is.ru
Тел. +7(812)305-20-50 #1859
Факс +7(812)3052051