Особенности обеспечения безопасности в платежных процессах за счет технологии

Руслан Рахметов, Security Vision

Основные требования по обеспечению информационной безопасности финансовых технологий, определенные Центральным банком в своих нормативных актах, можно разделить на три группы:

- требования к инфраструктуре, представленные в основном требованиями ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»

- требования к прикладному программному обеспечению, которые сводятся к требованию анализа на уязвимости исходных кодов приложений, непосредственно взаимодействующих с сетью интернет

- требования к технологии.

В российских реалиях основным направлением работы подразделений информационной безопасности обычно является как раз обеспечение ИБ с помощью выстраивания инфраструктуры вокруг бизнес-процессов. Однако, зачастую проще, дешевле и эффективнее скорректировать/доработать сами бизнес-процессы, дополнить технологию обработки информации. Это требует встраивания ИБ в деятельность по выстраиванию бизнес-процессов – необходим критический взгляд «ИБшника», акцент на соответствующих рисках. Разработку таких технологических мер должны выполнять технологи-«безопасники». Иногда под решаемые задачи ИБ может быть скорректирована даже архитектура решения – в конечном счете, ранняя реализация, основанная на принципах обеспечения безопасности, обойдется дешевле, чем последующее обустройство «навесной» безопасности. Выстраивание безопасности за счет технологии не заменяет необходимости в других решениях по ИБ, но значительно уменьшает перечень угроз ИБ и, соответственно, удешевляет весь комплекс мер и средств по обеспечению ИБ.

Основные технологические меры (лучшие практики) построены обычно на применении криптографии и разделении операций. Криптографические алгоритмы и определенность процессов обеспечивают взаимное доверие сторон и однозначность разбора конфликтных ситуаций.

Весьма наглядным примером обеспечения безопасности в процессах за счет технологии являются криптовалюты – за счет криптографических алгоритмов обеспечивается доверие участников к процессу. Однако, базовая технология распределенных реестров не обеспечивает необходимый уровень конфиденциальности, что является одним из значимых аспектов проведения финансовых операций. Но даже в этом направлении проводятся разработки и развиваются технологии, например, протоколы с нулевым разглашением. За счет таких разработок и обеспечиваются технологичность и безопасность предлагаемых решений.

Если же говорить о требованиях Центрального банка, относящихся к выстраиванию безопасной технологии обработки, то можно рассмотреть Положение Банка России от 23 декабря 2020 г. №747-П «О требованиях к защите информации в платежной системе Банка России», в частности, приложение «Правила материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП, а также правила материально-технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ». Разберем эти требования подробнее.

До выпуска этих требований (они появились в первоначальном Положении Банка России 672-П, опубликованном 26 марта 2019 года и уже утратившим силу) кредитные организации зачастую проводили операции по формированию электронных сообщений (ЭС) для управления своими средствами на корреспондентском счете в Центральном Банке с помощью программного комплекса, предоставляемого ЦБ (ПК АРМ КБР – программный комплекс «Автоматизированное рабочее место клиента Банка России»). По сути, он был лакомой добычей для всевозможных злоумышленников, так как являлся единой точкой формирования и подписания ЭС подписью банка. Получив доступ к ПК АРМ КБР, злоумышленники могли уже спокойно сформировать фактически легитимные (для Банка России, исполняющего в данном случае функцию расчетного центра) поручения по переводу денежных средств в другие банки. В целях минимизации рисков информационной безопасности Банк России обязал перенести подписание ЭС в автоматизированную банковскую систему (АБС).

Немного расскажем про многоуровневую защиту обмена ЭС в платежной системе Банка России (ПС БР).

Рисунок «Многоуровневая защиты обмена ЭС в ПС БР»

Самый первый «рубеж» такой защиты – это выделенный канал до точки обмена с Банком России и требования по изоляции сегмента вычислительной сети, откуда осуществляется взаимодействие с ПС БР, от сети Интернет. Выделенный канал обеспечивают глобальные провайдеры – ТрансТелеКом и Ростелеком, настройка проводится по заранее согласованным с Банком России сетевым параметрам. Следующий уровень – это канальное шифрование (vpn) и прикладная аутентификация на точке обмена Банка России (называется транспортным шлюзом клиента Банка России). В соответствии с абзацем шестым подпункта 14.3 пункта 14 747-П (вступает в действие с 01.07.2022) данное шифрование будет осуществляться сертифицированными средствами криптографической защиты информации по алгоритмам ГОСТ. И последний уровень защиты – это прикладное шифрование и подпись ЭС (по алгоритмам ГОСТ), которыми осуществляется обмен с ПС БР. При этом ЭС ПС БР имеют две подписи – так называемые защитный код и код аутентификации.

Рисунок «Формирование защитного кода»

Рисунок «Формирование кода аутентификации и шифрование ЭС»

Защитный код, по сути, является технологической подписью значимых данных ЭС (реквизитов), а код аутентификации – подписью всего ЭС.

Использование двух электронных подписей позволяет выстроить архитектуру и соответствующий процесс формирования ЭС с максимальным разделением функций в целях минимизации рисков внутреннего сговора (фрода) и атак злоумышленников.

Таким образом, Банк России обязал участников обмена ЭС с ПС БР обеспечить простановку ЗК и КА в собственной инфраструктуре (в АБС), а шифрование ЭС выполнять на новом (взамен АРМ КБР) программном обеспечении – ПК АРМ КБР-Н, уже не имеющем функций по простановке электронных подписей. Это нововведение (в соответствии с 672-П и, сейчас, 747-П) и соответствующее описание в нормативе технологических мер позволило значительно снизить количество атак на банки с целью хищения средств с корреспондентского счета в Центральном Банке, и злоумышленники переключились непосредственно на самих клиентов банков и на атаки на внутренние системы банка, процессинг, банкоматы.

Описанные в приложении к 747-П под названием «Правила материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП, а также правила материально-технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ» технологические требования обеспечивают разделение АБС (скорее на логическом уровне) на два контура – контур формирования электронных сообщений и контур контроля реквизитов электронных сообщений. В контуре формирования ЭС должна осуществляться простановка ЗК, а в контуре контроля реквизитов ЭС – простановка КА. Затем ЭС, подписанное двумя электронными подписями, передаётся в АРМ КБР-Н на шифрование и отправку в Банк России.

Рисунок «Технология формирования ЭС»

Основные требования к архитектуре контуров:

• контуры должны быть реализованы с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров;

• объекты контуров в информационной инфраструктуре участника обмена с ПС БР должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности участника.

Совокупность данных требований не исключает использования единых средств вычислительной техники, но должно быть реализовано правильное разделение полномочий для минимизации рисков внутреннего фрода.

Сама технология по формированию ЭС описана в виде перечня действий, выполняемых в том или ином контуре.

В контуре формирования электронных сообщений на основе первичного документа в бумажной или электронной форме или входящего электронного сообщения должны осуществляться:

• формирование исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России

• контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, подразумевающий логический, структурный контроль реквизитов, бизнес-контроли

• подписание исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, электронной подписью (ЗК), применяемой в контуре формирования электронных сообщений, при положительном результате контроля реквизитов

• направление исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, в контур контроля реквизитов электронных сообщений.

В контуре контроля реквизитов электронных сообщений должны осуществляться:

• контроль реквизитов исходящего электронного сообщения, предназначенного для направления в ПС БР, на соответствие реквизитам первичного документа в бумажной или электронной форме или входящего электронного сообщения

• контроль на отсутствие дублирования исходящих электронных сообщений

• подписание исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, электронной подписью (КА), применяемой в контуре контроля реквизитов электронных сообщений, при положительном результате контроля реквизитов.

Таким образом, если даже предположить полный контроль злоумышленников над одним из контуров, он не сможет совершить какие-либо действия, которые приведут к отправке несанкционированного ЭС. В частности, закрыты угрозы:

• изменения реквизитов в любом из контуров

• вброса нового сообщения из контура формирования

• двойного списания/перевода.

747-П формулирует только базовые требования к технологии и обязывает (п. 7.2. 747-П) участников обмена «поработать» над технологией, идентифицировать и обработать риски ИБ, в том числе, путем определения во внутренних документах информации, предусматривающей описание:

• технологии подготовки, обработки, передачи и хранения ЭС и защищаемой информации на объектах информационной инфраструктуры

• состава и правил применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности ЭС на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения средств криптографической защиты информации и управления ключевой информацией СКЗИ

• плана действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с осуществлением переводов денежных средств.

Автоматизация контроля данных требований (как на документарном уровне, так и на уровне анализа событий/логов) значительно бы облегчила и повысила надежность выполнения данных задач – это можно реализовать с помощью нашего решения Security Vision. Отступления от согласованной технологии несут значительные риски ИБ и могут свидетельствовать о проникновении злоумышленников или о внутреннем сговоре.

Ещё одним интересным примером требования к технологии в 747-П является последний абзац п. 14.2, в котором говорится о необходимости обеспечения участниками СБП (сервиса быстрых платежей Банка России) реализации технологии подготовки, обработки и передачи ЭС и защищаемой информации, обеспечивающей проверку соответствия (сверку) реквизитов, исходящих в адрес операционного и платежного клирингового центра ЭС с реквизитами соответствующих им входящих электронных сообщений клиентов участников СБП и реквизитами электронных сообщений, содержащих распоряжения в электронном виде, на основе которых участником СБП осуществляются операции по списанию денежных средств со счетов клиентов. Данное требование, по сути, говорит о необходимости проведения сверок получаемой информации от клиентов с выполняемыми действиями, закрывает ряд рисков в автоматизированных системах участников СБП и было сформировано, очевидно, по результатам анализа инцидентов в СБП, когда злоумышленники запускали мобильное приложение банка в режиме отладки, авторизуясь как реальные клиенты, после чего давали команду на перевод денег, но вместо своего счета, с которого должны списываться средства, указывали счет другого клиента банка. Система банка не проверяла принадлежность счета и списывала деньги у другого лица, переводя их мошеннику. С выпуском 747-П такие изъяны систем банков уже будут на контроле за счет явного указания требования в нормативе.

Подводя итог, хотелось бы ещё раз подчеркнуть важность технологий и соответствующих мер защиты, отметить их высокую эффективность и целесообразность плотнее заниматься данным направлением обеспечения информационной безопасности.