Защита удаленных транзакций при дистанционном банковском обслуживании (на примере ОАО «Сбербанк России)

Credit Request/Response Messages. Эта пара используется  для того, чтобы вернуть

ранее сделанный платеж обслуживающего банка в адрес ТП.

Credit Reversal/Response Messages. Эта пара сообщений  позволяет ТП отменить

кредит в пользу обслуживающего банка.

SET обладает следующими свойствами:

1. Мошеннику недостаточно знать  реквизиты платежной карты для того, чтобы успешно выполнить SET-транзакцию. Помимо реквизитов карты необходимо иметь закрытый

ключ владельца данной карты, а также сертификат соответствующего ему открытого ключа.

2. ТП при выполнении SET-транзакции  точно знает, что владелец карты, совершающий транзакцию, является подлинным, то есть обладает секретным ключом RSA, для которого открытый ключ сертифицирован банком-эмитентом клиента.

3. Клиент точно знает, что ТП, в котором совершается SET-транзакция, является истинным, то есть обладает секретным ключом RSA, для которого открытый ключ сертифицирован обслуживающим банком ТП.

4. ОБ точно знает, что владелец  карты и ТП являются подлинными, то есть обладают

сертифицированными ключами.

5. Информация о реквизитах карты  не известна ТП.

6. ТП и владелец карты имеют  заверенные подписями соответственно  владельца

карты и ТП подтверждения факта совершения транзакции, что делает невозможным отказ от

результатов операции ни одного из участников транзакции ЭК.

Сегодня не существует никакого другого (кроме SET) опубликованного устойчивого

протокола ЭК. Другими словами, на рынке аппаратно-программных решений, реализующих

устойчивый протокол ЭК, не существует альтернативы продуктам, реализующим SET. VISA

International предполагает в ближайшее  время опубликовать спецификации нового глобального стандарта аутентификации, называемого 3D Secure. Однако неочевидно, что этот стандарт будет определять устойчивый протокол ЭК.

Будучи признанным ведущими международными платежными системами (VISA,

MasterCard) в качестве стандарта ЭК, SET де-факто является

отраслевым стандартом.

Таким образом, протокол SET является на сегодняшний день единственным открытым и устойчивым протоколом ЭК.

Важным критерием сравнения протоколов является вычислительная мощность (производительность) компьютеров и серверов владельца карты, ТП и шлюза обслуживающего банка (аппаратно-программного комплекса, конвертирующего сообщения ЭК в стандартные сообщения платежной системы), необходимая для реализации того или иного протокола.

Проведенные исследования показали, что время, затрачиваемое компьютером покупателя на

криптографические операции при использовании SSL, на порядок меньше аналогичной величины при применении протокола SET. Однако с учетом абсолютного значения этого времени (доли секунды) практической разницы для покупателя от того, используется SET или SSL нет.

Несмотря на убедительные преимущества протокола SET, его внедрение связано с

возникновением различного рода проблем. В первые 2-3 года распространения стандарта по

миру главной проблемой являлось отсутствие взаимной совместимости продуктов различных поставщиков программных средств, поддерживающих протокол SET.

Проблема успешно была решена (и эффективно решается сегодня для новых разработчиков

ПО) усилиями компании SETCo и разработчиков ПО. Сегодня на рынке продается около 50

различных решений ЭК, в основе которых лежит протокол SET, более чем от 20 поставщиков программного обеспечения.

К другой проблеме следует отнести высокую стоимость решений, реализующих протокол SET; принимая во внимание наличие уже развитой базы электронных магазинов, применяющих протокол SSL, а также пока приемлемый для торговли уровень мошенничества, магазины не спешат инвестироваться в новое решение. Это хорошо видно на примере Дании, являющейся одним из лидеров по внедрению протокола SET, кампании, которой при заключении договоров на обслуживание предлагают Интернет-магазинам обе технологии - SSL и SET. Количество заключенных договоров на работу по технологии SSL в 10 раз больше чем по стандарту SET.

Кроме того, отсутствие инфраструктуры Интернет-магазинов, использующих стандарт SET, сдерживает банки-эмитенты от инвестиций в SET.

Таким образом, на сегодняшний день большинство платежных Интернет-систем ис-

пользуют протокол SSL и различного рода технологические решения для уменьшения уровня мошенничеств при проведении транзакций.

Глава 3. Направления совершенствования дистанционного банковского обслуживания на примере  “Русфинанс” банка

3.1 Автоматизированная система "Интернет-Банк"

 

При дистанционном обслуживании ЗАО "Русфинанс" использует систему Интернет-Банк проекта "ДБО BS-Client" компании ООО "Банк`с Софт Системс".

Компания BSS основана в 1994 году и на сегодняшний день является лидером в области разработки автоматизированных систем дистанционного банковского обслуживания и управления финансами.

Компания предоставляет полный комплекс услуг по организации электронного обслуживания всех типов респондентов банка (клиентов - юридических и физических лиц, отделений, филиалов, банков-корреспондентов, обменных пунктов).

По данным аналитических исследований CNews Analytics за 2009 год, 24 из 50 ведущих банков РФ используют подсистему "Интернет-Клиент" системы "ДБО BS-Client", а 28 из 50 - подсистему "Банк-Клиент". В целом, решения Компании эксплуатируются более чем в 1500 кредитных организациях России и стран СНГ.

В число клиентов Компании входят Банк ВТБ (ОАО), ГПБ (ОАО), ОАО "Россельхозбанк", ОАО "УРАЛСИБ", ЗАО ЮниКредит Банк, "НОМОС-БАНК" ОАО, ОАО Банк "Петрокоммерц", ОАО "АК БАРС" БАНК, ОАО АКБ "Связь-Банк", ОАО "ТрансКредитБанк", Банк "Русфинанс".

"Интернет-Клиент" ("тонкий" браузерный "банк - клиент") реализует  в рамках "ДБО BS-Client" канал предоставления  полного спектра банковских услуг  исключительно с помощью интернет-технологий. Данная подсистема позиционируется и как самостоятельный продукт, и как часть комплексной системы "ДБО BS-Client" и ориентирована, ввиду особенностей своей реализации, на "продвинутых" клиентов банка, как физических, так и юридических лиц.

Система решает следующие задачи:

• Ввод и обработка различных типов платежных и иных формализованных документов клиентов банка, как юридических, так и физических лиц;
• Обмен сообщениями произвольного формата;
• Получение выписок в различных видах и форматах, а также иной информации из банка;
• Организация интернет-коммерции как самому банку, так и любому его клиенту;
• Построение расчетных и клиринговых систем в режиме реального времени.

Выделим отличительные особенности системы:

• Гибкость системы и возможность внесения любых настроек;
• Высокая производительность;
• Использование стандартных СКЗИ (КриптоПроCSP, Сигнал-Ком (продукты: криптобиблиотека Message Pro и сервер сертификации Notary PRO), Lan Crypto, Верба-OW, Крипто-Си), в т. ч. сертифицированных ФАПСИ (ФСБ);
• Простота использования и массовость внедрения за счет использования только web-технологий;
• Абсолютная юридическая значимость, шифрование и ЭЦП всего трафика в обе стороны;
• Использование только стандартного HTML;
• Отсутствие возможности вскрытия - наряду с внутренней системой защиты HTTP-трафика BS-Defender "ДБО BS-Client" включает в себя два дополнительных механизма обеспечения безопасности соединения с банком - протоколы SSL и TLS, позволяющие повысить надежность связи и защитить передаваемую информацию от несанкционированного доступа;
• Удобный и интуитивно понятный интерфейс.

Массовость внедрения "Интернет-Клиента" обеспечивается "легкостью" самой системы и простотой начала работы с ней, что обуславливается использованием только стандартных интернет-технологий, а также ее стоимостью.

При использовании "Интернет-Клиента" управление счетом и проведение различных банковских операций происходит при работе с обычным Web-сайтом банка, доступ клиентов к которому осуществляется через сеть Интернет. Безусловно, банк может организовать резервный канал доступа к системе - создав с помощью модемного пула сеть Интранет для дозвонившихся в банк клиентов - на случай как сбоев у провайдеров, так и для клиентов, не имеющих (или не желающих иметь) доступ во всемирную сеть.

Клиент, из любой точки мира, при помощи установленного в операционную систему браузера обращается по протоколу HTTP к Web-серверу банка. Взаимная аутентификация клиента и банка осуществляется при помощи системы BS-Defender. При успешной аутентификации клиент начинает защищенный сеанс работы с системой "Интернет-Клиент" - производится обмен информацией в формате HTML. Обеспечению безопасности и защищенности сеанса работы с системой ниже посвящен отдельный раздел.

На клиентской стороне не содержится никакой информации - все документы, справочники и иные ресурсы находятся в банке. Клиент может создавать и редактировать платежные (рублевые и валютные) и иные документы, просматривать архив документов, сообщения из банка и выписки за любой период, пользоваться стандартными справочниками (как общими - банков, курсов валют и др., так и персональными - корреспондентов, оснований платежа и т.д.) физически находящимися на стороне банка.

При подготовке любого документа осуществляется его контроль на корректность введенных данных, после чего осуществляется операция электронно-цифровой подписи. Далее документ пересылается на сервер банка и после процедур проверки подписи и правильности заполнения попадает в общую базу данных единой банковской части "ДБО BS-Client", где и производится его дальнейшая обработка (распечатка, посылка уведомлений, выгрузка в АБС, исполнение или отказ). При выполнении общих для всех подсистем ДБО автопроцедур обработки документа, клиент получает результат об исполнении документа или его отказе с указанием причины такового.

Интерфейс прост и понятен любому пользователю - окно браузера разделено на три части: вверху находится панель управления с рядом стандартных кнопок ("Новый документ", "Просмотр документа" и т.д.), слева содержится дерево документов по типам, (аналогично файловой структуре), справа находится рабочее окно, служащее для отображения собственно документов, форм и списков документов выбранного типа. Данная модель в наиболее простой и наглядной форме позволяет пользователю работать с документами.

Помимо простоты повседневной работы с системой, крайне важно обеспечение безболезненного начала работы с ней даже самого неподготовленного клиента. В подсистеме "Интернет-Клиент" системы "ДБО BS-Client" для начала работы клиенту необходимо лишь:

• Получить (или зарегистрировать уже имеющиеся) ключи (или электронный сертификат) ЭЦП и шифрования в банке согласно акта ввода в действие ключей (при этом, в случае получения ключей в банке, клиент имеет возможность самостоятельной перегенерации ключей непосредственно на своем АРМ);
• Получить дистрибутив системы (программное обеспечение защиты HTTP-трафика - BS-Defender - объемом менее 1 Mb) либо при визите в банк, либо непосредственно с сайта банка;
• Запустить программу DefStart. exe из дистрибутива системы, которая автоматически осуществит установку системы защиты HTTP-трафика BS-Defender, настроит браузер и параметры работы с ключами ЭЦП и шифрования, запустит браузер, установит защищенное соединение с банком и осуществит вход в систему "Интернет-Клиент".

Для работы на любом другом компьютере в любой точке мира клиенту необходима лишь дискета или флеш-карта с дистрибутивом системы и ключами ЭЦП.

При заключении соглашения об использовании электронных документов и электронной подписи в рассчетно-кассовом обслуживании закрепляются следующие понятия:

. Информационная система Клиент-Банк (далее - Система) - комплекс программно-технических  средств и организационных мероприятий  для создания и передачи электронных  документов Сторонами по телекоммуникационным  каналам, в том числе и сети "Интернет". Система состоит их двух частей: подсистемы "Клиент" и подсистемы "Банк", установленных у соответствующих Сторон.

. Электронный документ (ЭД) - документ, в котором информация: представлена  в электронно-цифровой форме (в  виде последовательности двоичных символов), защищена от искажений с помощью одной или более электронных цифровых подписей, с помощью средств Системы преобразуется в форму, пригодную для однозначного восприятия человеком, хранится в базе данных, либо в файле.

. Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, защищающий ЭД от подделки (определяющий подлинность ЭД).

ЭЦП представляет собой уникальную последовательность символов, полученную в результате определенного математического преобразования содержания ЭД с использованием Закрытого ключа.

Определение подлинности ЭД, производимое с помощью Сертификата ключа предполагает:

• установление факта отсутствия (наличия) искажений ЭД с момента подписания ЭЦП;
• идентификацию владельца соответствующего Закрытого ключа, как лица, подписавшего ЭД.

Сертификат ключа - автоматически создаваемый, средствами Системы при генерации Открытого и Закрытого ключей, документ на бумажном носителе установленной формы, подписываемый Сторонами, удостоверяющий принадлежность приведенного в нем Открытого ключа и соответствующего ему Закрытого ключа физическому лицу (Пользователю Системы, Администратору Системы). Подписанный Сторонами Сертификат ключа подтверждает факт наделения данного физического лица правами на использование Системы в соответствии с условиями настоящего Дополнительного о Соглашения к Договору банковского счета.

Пользователь Системы - физическое лицо, уполномоченное Клиентом с помощью своего Закрытого ключа подписывать ЭЦП от имени Клиента ЭД, отправляемые в Банк, а также получать из Банка ЭД, предназначенные Клиенту.

Банк предоставляет Клиенту право использования Системы (программного продукта) исключительно в порядке и объеме, установленных в соответствии с Лицензионным договором между Банком и ООО "Банк`с Софт Системс" № BSS-TUSAR/S от 31.12.2008г. Предметом соглашения Банка и Клиента являются следующие положения: