Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Безопасности не бывает "слишком много"

(Нет голосов)

12.11.2001 Количество просмотров 765 просмотров
Безопасности  не бывает “слишком много” Сергей Добриднюк, менеджер по развитию проекта CARD производственного центра WorkFlow компании “Диасофт”

Прошедший в конце ноября IV Московский Международный Форум по платежным картам в России в очередной раз подтвердил высокий уровень отечественных разработчиков, представивших свои новинки – оборудование и программное обеспечение для обслуживания пластиковых карт. Разумеется, не осталась в стороне от этого мероприятия и компания “Диасофт”, представившая в ходе Форума свой самый последний программный продукт – бэк-офис для работы с пластиковыми картами DiasoftCARD 4x4 WorkFlow. Большое количество контактов с представителями банков, интересные дискуссии после докладов и в кулуарах – лишнее свидетельство того, что разработанный продукт оказался востребованным и пришелся ко двору в начале XXI века. Построенный на современных технологиях функционал, наличие популярнейших методик обслуживания населения – все это призвано помочь банку в короткий срок приступить к работе с пластиковыми картами.

Однако в последнее время все большее распространение получают случаи, когда неожиданно выясняется, что эмитированные банком пластиковые карты становятся угрозой его безопасности со стороны международных финансовых мошенников, использующих недостатки технологий в преступных целях. Так, на фоне оптимистичных докладов о существенном (в среднем более 20%) росте эмиссии карт за 2001 год тревожным диссонансом прозвучала информация влиятельного разработчика NHS Software. В приведенном им экспертном заключении отмечалось, что число мошеннических операций в Великобритании и Европе ежегодно увеличивается на 50%.

Как же получается, что банк становится жертвой мошенничества? По нашему мнению, причина кроется в слабой организации или недооценке важности вопросов безопасности пластиковых карт. Разумеется, персонал крупных in-house-процессинговых центров эту проблему понимает и знает пути ее решения. С другой стороны, в России довольно много банков-агентов, для которых пластиковая карта – это непрофильный бизнес. Это означает, что внимание и средства на поддержание безопасной среды распределяются в этом случае не по основному, а по остаточному принципу. Итак, на что же следует обратить внимание банку, который хочет при невысоких затратах избежать неприятностей, связанных с финансовыми мошенниками?

Политика технической безопасности

Говоря о безопасности, в данном случае логичнее всего было бы придерживаться рамок одного из толкований этого термина, звучащего как «обеспечение непрерывной работы». Данная формулировка наиболее точно отражает основную задачу безопасности – поддержание целостности информации, информационных ресурсов, благодаря чему с требуемой надежностью обеспечивается защита данных от утраты, потери, хищения, умышленного уничтожения и подделки. Информационные ресурсы, задействованные при обслуживании пластиковых карт, могут отличаться по своей природе – аппаратные комплексы и программное обеспечение иногда явно могут быть не связаны друг с другом. Для расстановки приоритетов банку рекомендуется составить набор правил и установить регламент доступа к информационным ресурсам. Такой документ принято называть «Политикой безопасности».

Разумеется, в зависимости от ценности информации набор средств для ее защиты может отличаться как по сложности, так и по стоимости решения. Поэтому, возможно, в Политике будет указано, что для определенного ресурса трудно обеспечить необходимый уровень безопасности. В этом случае в регламент рекомендуется включать пункты не только о предотвращении, но и о способах восстановления утерянных ресурсов.

Основными задачами политики безопасности банка, работающего с пластиковыми картами, являются: • защита от физического проникновения в закрытый контур процессингового центра посторонних лиц, не обладающих требуемыми полномочиями; • защита от появления в программной среде компьютерных закладок, вирусов и посторонних программ, которые могут нарушить нормальную работу комплекса; • обеспечение такого регламента работы, при котором любые совершенные сотрудниками действия будут однозначно определены; • защита от случайного или умышленного искажения ресурса людьми, имеющими повышенные полномочия, – администраторами операционной системы, баз данных, включая сотрудников контроля безопасности; • защита от несанкционированного использования имеющихся в банке средств системной разработки для анализа и диагностирования механизмов обеспечения безопасности.

Как правило, выработав политику безопасности банка, специалисты могут определиться и с моделью ее реализации. Общих рекомендаций тут быть не может – модель выбирается индивидуально и зависит от вида защищаемого ресурса. Если для описания бизнес-процессов работы банка с пластиковыми картами применяются математические методики (графы, состояния в IDEF, UML-нотации), то обычно выбираются две основные методики политики безопасности. Это так называемые избирательная и полномочная политики безопасности.

С избирательной политикой, как правило, имеют дело большинство разработчиков программного обеспечения. Она подразумевает, что все объекты системы имеют уникальные идентификаторы и существует таблица (матрица), в которой для каждого ресурса указан перечень имеющих к ним доступ пользователей. Однако все это относится к безопасности самого ресурса. Между тем количество объектов в банковской системе бывает довольно велико, поэтому удобнее хранить соответствие между пользователем и ресурсом в виде “роли” – заранее определенного перечня прав для выполнения действий одного характера, например, роль “бухгалтера по пластиковым картам” или “оператора процессинга”. Тогда передача пользователю прав, заложенных в той или иной роли, может выполняться быстро и без ошибок.

Полномочная политика безопасности устраняет недостаток избирательной политики – наличие матрицы огромного объема при большом количестве пользователей. При полномочной политике права определяются в виде специальных меток (полномочий). Например, заведение пластиковой карты – 50 единиц, редактирование – 70 единиц, удаление – 90 единиц. Тогда сотрудник с уровнем полномочий в 75 единиц сможет лишь завести и отредактировать карту, а его начальник с уровнем полномочий в 100 единиц сможет, соответственно, выполнить больше операций.

К сожалению, рамки данного материала не позволяют подробно описать детали реализации подобного механизма, поэтому для получения более исчерпывающей информации стоит, вероятно, порекомендовать читателям обратиться к документам Гостехкомиссии РФ – основного органа, выпускающего законы и рекомендации по обеспечению технической безопасности. В них изложены необходимые требования к системам защиты от несанкционированного доступа, для того чтобы они выполняли свою основную задачу – гарантировали необходимую безопасность. Согласно этим документам средства защиты банковской информации относятся к 4-му классу защищенности и 4-му уровню контроля за недекларированными возможностями. То есть используемое при обработке пластиковых карт программное обеспечение должно иметь: • спецификацию, описание программы, описание ее применения; • средства контроля соответствия исходного и объектных кодов; • гарантии проектирования и тестирования; • избирательный и полномочный доступ к ресурсам; • средства идентификации и аутентификации пользователей; • защиту вывода информации на отчуждаемый носитель и маркировку документов.

При выборе программного обеспечения и оценке его функционального наполнения не следует забывать про встроенные в систему элементы обеспечения безопасности. Автоматизированные банковские системы, построенные на современных стандартах безопасности, например Kerberos, позволяют поддерживать собственную политику безопасности банка. Кроме того, такие продукты способны интегрироваться в уже существующие операционные системы, локальные сети, серверы баз данных, другие программные продукты. Это делает систему обеспечения безопасности прозрачной и, как следствие, более стойкой. Говоря о требованиях к программному обеспечению, хочется упомянуть и про аппаратные средства. Стандартов и патентов по безопасности здесь гораздо больше, а ценовые рамки весьма широки, поэтому без рекомендаций серьезных фирм-консультантов в этом многообразии разобраться достаточно сложно. Со своей стороны, мы можем лишь рекомендовать принять во внимание следующие факторы: • затраты на эксплуатацию аппаратной платформы увеличивают ее первоначальную стоимость в несколько раз;  • к оптимистическим заверениям со стороны представителей фирмы-производителя следует относиться с некоторой долей скепсиса, заранее занижая в своем представлении обещанные ими возможности в несколько раз. Разумеется, от внезапного полного отказа аппаратных средств не застрахован никто. Вспомним хотя бы курьезный случай в 1997 году, когда из-за краха сервера полностью потерял управление и был вынужден идти на буксире новый корабль ВМС США “Йорктаун”. В связи с этим редко встречающееся или долго восстанавливаемое оборудование должно обязательно дублироваться, а еще целесообразнее вообще от него отказаться и предпочесть проверенные и популярные решения.

Политика экономической безопасности

По статистике международных платежных систем, взлом или подделка собственно платежных карт составляют сегодня не более 20% от общего количества случаев мошенничества по карточкам. И с введением современных носителей – микропроцессорных карт – эта доля продолжает снижаться. Остальные потери, увы, следует отнести на счет “заслуг” сотрудников банков-эмитентов и эквайеров. Действия персонала – как умышленные, так и случайные – ведут к самым большим убыткам в карточном бизнесе. Можно установить сколь угодно надежное оборудование, но если сотрудник отдела пластиковых карт работает бесконтрольно, а бухгалтерия не имеет четких и оперативных средств выверки данных, беда обязательно случится. Для предотвращения таких ситуаций достаточно соблюдения нескольких принципов.

Принцип “двух рук”. Настоятельно рекомендуем не совмещать функции бухгалтера по пластиковым картам (кассира) и оператора процессинга. Таким образом, в цепочке кредитования картсчета и отправки транзакций для пополнения карты будут участвовать как минимум два человека. Для проведения потенциально опасной операции нужен как минимум сговор этих сотрудников.

Принцип “мгновенного баланса”. Желательно схемы прохождения средств по карточным счетам строить так, чтобы не требовалось выхода в красное сальдо на пассивных счетах. Это несложно сделать, если предусмотреть наличие транзитных счетов или жестко указать очередность формирования документов. Принцип легко реализуется, если карточная транзакция модифицируется/сторнируется целиком со всеми связанными документами. В этом случае не нужно дожидаться окончания операционного дня, чтобы выявить нехватку или излишки средств.

Принцип “единого документооборота”. Поскольку автоматизированная банковская система и бэк-офис пластиковых карт формируют друг для друга финансовые документы, разумно предположить возможность просмотра всех участвующих в бизнес-процессе документов специалистом как со стороны основных банковских операций, так и стороны карточного бэк-офиса. Эта проблема не является простой – недостаточная производительность банковской системы “общего назначения” мешает проводить в ней десятки тысяч документов по карточным транзакциям. Поэтому для упрощения вводится учет по агрегированным и лицевым счетам. Более серьезной является ситуация, когда банковская система и карточный бэк-офис разработаны разными производителями. При всей мощности каждой из них сложно наладить необходимый оборот информации. Если для клиентской базы и обслуживаемых счетов такой документооборот наладить можно, то объектами более высокого уровня (настройками, дополнительными атрибутами, связями между операциями) обмениваться практически нереально.

Принцип “замкнутого плана счетов”

 Все пополнения и списания карточных счетов производятся с определенных транзитных и сводных счетов. Если в бэк-офисе не содержится информация об этих счетах, то сложно проконтролировать правильность формирования исходящих платежных транзакций. Аналогичные трудности встречаются и при автоматической генерации документов по принятым транзакциям по картам и устройствам. Только имея в составе счетов все их корреспондирующие пары, можно анализировать оборотно-сальдовую информацию по счетам и выявлять “утечки” средств и их “источники”. Если же сверять эти данные с техническими отчетами по транзакциям, то можно автоматически проверять и правильность настроек бэк-офиса. Благодаря данному принципу появляется возможность в реальном времени выявлять ошибки в логике настройки программного обеспечения и, что также встречается, недостатки в регламентных документах банка. Разумеется, вышеуказанные особенности финансового учета должны быть согласованы с руководством банка, соответствовать российскому законодательству, положениям Центрального банка РФ и аудиторским заключениям.

Заключение

Изложенные принципы технической и экономической безопасности легли в основу построения бэк-офиса для обслуживания пластиковых карт в банке DiasoftCARD 4x4 WorkFlow. А поддержка в новом решении WorkFlow e CARD, выходящем на рынок в начале 2002 года, технологий Internet и Extranet заставила нас более серьезно задуматься об этих вопросах. В развитии механизмов безопасности нельзя поставить точку, ведь уровень подготовки мошенников и их техническая оснащенность постоянно растут.  Однако сам факт того, что банк, занимающийся пластиковыми картами, начинает задумываться о вопросах комплексной безопасности, уже является серьезным шагом в правильном направлении. Опыта борьбы с мошенничеством сегодня накоплено достаточно. Все “первопроходцы” в исследовании хищений по картам – “Кредобанк”, “Инкомбанк” – перед тем как кануть в Лету, успели оставить после себя неплохие наработки и персонал, способный противостоять так называемым кардерам. Обычно суммы и масштабы “фродов” банками скрываются – им невыгодно выставлять себя в таком свете. Но в кулуарных беседах можно убедиться в том, что больше всего проблем у самоуверенных организаций, не соизмеряющих свои бизнес-амбиции с технической и кадровой оснащенностью. По большому же счету, от банка требуются только наличие здорового пессимизма относительно собственной безопасности и желание учиться. Тогда хищения по картам будут существенно снижены.

Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

…первая система бесконтактной оплаты в мире была внедрена в США в 1997 г., она называлась Speedpass, использовалась на АЗС, а форм-фактором платежного инструмента был RFID-брелок для ключей автомобиля?