Защита удаленных транзакций при дистанционном банковском обслуживании (на примере ОАО «Сбербанк России)

Стороны осуществляют прием-передачу ЭД, подписанных ЭЦП, в соответствии с установленным орядком расчетов, являющимся неотъемлемой частью соглашения.

Стороны признают используемую в банке систему защиты информации достаточной для защиты от несанкционированного доступа, а также для подтверждения авторства и подлинности электронных документов.

Стороны имеют право в электронной форме передавать или получать от другой стороны при помощи Системы любой из ЭД, используемой банком.

Банк и клиент договариваются признавать действие Комплекта ключей каждой Стороны на основании Сертификата ключа без обращения за удостоверением Сертификата ключа к какой-либо третьей стороне.

Стороны признают, что Закрытый ключ Пользователя Системы создается средствами Системы в единственном экземпляре, соответствует Открытому ключу, приведенному в Сертификате ключа, и известен только Пользователю Системы. Стороны признают, что доступ (регистрация) Пользователя Системы в Систему, а также создание корректной ЭЦП в ЭД невозможны без наличия Закрытого ключа.

ЭД, созданные средствами Системы, соответствующие определенным требованиям системы защиты информации, и подписанные ЭЦП Пользователя Системы или Банка, признаются Сторонами документом, имеющим равную юридическую силу с банковским бумажным документом, с надлежащим образом оформленными, документами на бумажных носителях, подписанными собственноручными подписями уполномоченных лиц и заверенных печатью Стороны - отправителя документа и порождают аналогичные им права и обязанности Сторон по настоящему Соглашению и Договору банковского счета.

 

 

 

 

 

 

 

3.2 Перспективы развития дистанционного  банковского обслуживания на  примере ТУСАРБАНК ЗАО

 

Использование Русфинанс банком системы Интернет-Клиент компании BSS говорит о стремлении банка следовать в ногу со временем. Особенностью банка является полное соответствие его стандартов по дистанционному обслуживанию стандартам ЦБ.

Одним из проектов, предлагаемых банком, является "Выписка он-лайн".

Подсистема "Выписка Он-Лайн" позволяет клиентам банка получать информацию об остатках и выписки по счетам через сеть Интернет ежедневно и круглосуточно. Данное решение может использоваться банком совместно с другими подсистемами комплексного решения, обеспечивая единое пространство электронного обслуживания клиентов по всем сервисам системы "ДБО BS-Client".

Работа в системе начинается с ввода логина и пароля:

• вход для просмотра данных о проведенных операциях осуществляется по логину/паролю. Защита соединения в подсистеме "Выписка Он-Лайн" осуществляется с помощью протокола SSL;
• пользователь видит только те операции, которые доступны для работы с выписками по счетам;
• пользователь может формировать отчеты за выбранный промежуток времени, устанавливать параметры отбора, распечатывать необходимые выписки необходимые документы в полном формате и пр.

Система банка Русфинанс имеет следующие преимущества:

• не требуется установка дополнительного программного обеспечения;
• пользователю не требуется скачивание каких-либо компонент, что позволяет работать на компьютерах без прав администратора;
• система поддерживает работу с наиболее популярными браузерами - Opera, Chrome, Firefox.

При ориентации на массовое использование системы "Интернет-Клиент" для банка крайне важно иметь возможность проводить обновления системы, не затрагивая клиентов. Примененная в системе "Интернет-Клиент" Русфинанс банка технология, подразумевающая присутствие на клиентском месте только минимального, не зависящего от логики системы, "защитного" программного обеспечения, обеспечивает безболезненное внесение любых изменений и модернизаций, поскольку вне зависимости от количества клиентов они касаются только банковского сервера.

Для обеспечения описанной функциональности, в подсистеме "Интернет-Клиент" используются задачи для серверной части. Задача содержит набор указаний, представляющих собой выражения на простом внутреннем языке и описывающих:

· какой шаблон использовать для формирования ответного HTML;

· какие данные из запроса клиента нужно использовать для того или иного взаимодействия с БД;

· какие взаимодействия осуществить с БД;

· куда в HTML-шаблоне и каким образом подставить ответные данные для последующей отправки клиенту.

В запросе, наряду с остальными данными, фигурирует ссылка на ту или иную задачу. К каждому HTML-шаблону, как правило, "привязано" несколько задач (количество задач равно количеству различных возможных переходов из HTML-документа, сформированного на основе этого шаблона). Существует несколько возможных переходов из HTML-документа при работе системы "Интернет-Клиент". Например, из формы-диалога платежного поручения можно перейти в список платежек с сохранением введенных данных; либо перейти к справочнику корреспондентов; и т.д. Каждый переход в общем случае сопровождается не только формированием HTML-документа, но и определенными действиями с базой данных в банковской части системы.

Очевидно, что время от времени потребуется вносить какие-либо изменения в систему, и от того, каким образом реализована клиентская часть будет зависеть простота и скорость их внесения. Обычные HTML-страницы (как это и реализовано в подсистеме "Интернет - Клиент") не требуют значительного времени на обновление, имеют небольшой объем, просты для восприятия и могут изменяться специалистами банка.

Зная основы HTML, JavaScript и освоив язык задачи для серверной части BS-Script, можно создавать законченные системы оборота различных типов документов.

"Тонкий" "банк-клиент", равно  как и любая другая полноценная  система электронных расчетов, должен иметь под собой четкую юридическую базу. Именно в силу отсутствия таковой, интернет-решения многих разработчиков не нашли своего применения в жизни. Юридическая значимость подсистемы "Интернет-Клиент" в рамках комплекса "ДБО BS-Client" обеспечивается следующими основными принципами:

• Существованием между клиентом и банком договора на обслуживание по системе "Интернет-Клиент", определяющего их взаимоотношения, а также механизм решения конфликтных ситуаций со ссылками на основные функции системы, скрепленный физическими подписями и оттисками печатей сторон. Ключевым моментом такого договора является понятие электронно-цифровой подписи банка и клиента;
• Использованием для обеспечения юридической значимости договора "стандартных", хорошо отработанных систем ЭЦП и шифрования, в том числе сертифицированных ФАПСИ;
• Оформлением акта ввода в действие ключей ЭЦП и шифрования;
• Электронно-цифровой подписью не только каждого документа со стороны клиента, но и всех сообщений, проходящих по системе в обе стороны, от клиента в банк и из банка клиенту. Причем ЭЦП всего трафика из банка обязательна, поскольку в противном случае сохраняется вероятность подделок документов со стороны злоумышленников;
• Сохранением в журналах работы (обязательно на стороне банка и опционально у клиента) всего прошедшего по системе траффика в исходном зашифрованном и снабженном электронно-цифровыми подписями сторон виде для разрешения возможных конфликтных ситуаций.

Безопасность и защита от несанкционированного доступа в подсистеме "Интернет-Клиент" обеспечивается применением в комплексе:

• Произвольных внешних криптографических средств защиты;
• Протоколов безопасности SSL и TLS, позволяющих повысить надежность связи и защитить передаваемую информацию от несанкционированного доступа;
• Собственной системы защиты траффика BS-Defender;
• Аутентификации, авторизации, протоколирования;
• Организационно-административных мероприятий;
• Штатных средств защиты ОС и СУБД;
• Контролирования;
• Межсетевого экранирования.

Центральной системой для обеспечения безопасности является поставляемая как в составе "Интернет-Клиента", так и отдельно собственная система защиты HTTP-трафика BS-Defender, реализованная в виде симметричных прокси-серверов, в функции которой входят:

• Фильтрация трафика, относящегося к системе "Интернет-Клиент" и его маршрутизация;
• Вызов внешних систем криптозащиты для шифрования/дешифрования траффика;
• Протоколирование всего трафика, прошедшего по системе;
• Сжатие/распаковка сообщений, проходящих по системе.

В настоящее время вопросам безопасности данных в распределенных компьютерных системах уделяется очень большое внимание. Разработано множество средств для обеспечения информационной безопасности, предназначенных для использования на различных компьютерах с разными ОС. В качестве одного из направлений можно выделить межсетевые экраны (Firewalls), призванные контролировать доступ со стороны пользователей одного множества систем к информации, хранящейся на серверах в другом множестве. В нашем применении это доступ клиентов из сети Интернет к ресурсам, находящимся в сети банка. Экран выполняет свои функции, контролируя все информационные потоки между этими двумя множествами информационных систем. В этом смысле экран можно представить как набор фильтров, анализирующих проходящую через них информацию и, на основе заложенных в них алгоритмов, принимающих решение: пропустить ли эту информацию или отказать в ее пересылке. Кроме того, такая система может выполнять регистрацию событий, связанных с процессами разграничения доступа. В частности, фиксировать все "незаконные" попытки доступа к информации и сигнализировать о ситуациях, требующих немедленной реакции, т.е. поднимать тревогу.

Обычно экранирующие системы делают несимметричными. Для экранов определяются понятия "внутри" и "снаружи", и задача экрана состоит в защите внутренней сети от "потенциально враждебного" окружения.

Наиболее типичным решением проблемы обеспечения защиты от НСД со стороны внешней сети является установка Proxy-сервера и межсетевого экрана (Firewall). Помещение межсетевого экрана после прокси-сервера обеспечивает необходимый уровень защиты с сохранением возможности доступа клиента к web-серверу банка с любого компьютера из любой точки мира.

При использовании системы "ДБО BS-Client" возможно как задействовать уже существующую в банке систему защиты от несанкционированного доступа извне, так и получить консультации и помощь специалистов Компании в разработке системы безопасности "с нуля". При этом возможен как выбор одного из предлагаемых Компанией "типовых" решений для организации защиты сети банка от НСД со стороны Интернет, так разработка специалистами Компании индивидуального решения.

В систему "Интернет-Клиент" введен ряд технологических решений, обеспечивающих корректную работу в случае сбоев и\или обрывов связи:

• Механизм сессий - каждое окно браузера, запущенное определенным клиентом, получает уникальный номер сессии, и вся работа происходит в рамках этой сессии (вплоть до закрытия сессии по окончании работы или после того, как истечет таймаут, устанавливаемый в настройках серверной части системы);
• Сквозная нумерация запросов в рамках сессии - каждый запрос в рамках определенной сессии имеет уникальный идентификатор. Обрабатываются запросы с номером больше или равным предыдущему;
• Хранение на сервере данных, необходимых для формирования текущего запроса только до момента поступления запроса со следующим номером.

Последние два технических момента позволяют корректно обрабатывать повторные запросы.

В случае обрыва связи во время работы клиента (например, при заполнении формы документа), в течение некоторого установленного настройками времени он может соединиться с сервером и продолжить работу. Его форма находится в открытом браузере. Следует отметить, что заполняемая на стороне клиента форма до отправки запроса на банковский сервер нигде, кроме как в браузере, не существует и исчезает только после его закрытия.

Если обрыв связи произошел в момент отправки запроса, но до получения ответа, то при возобновлении соединения и повторной отправке запроса (в течение таймаута) клиент получит как раз тот ответ, который он недополучил. При этом дублирование исключено и повторной модификации данных не произойдет.

Если же обрыв связи произошел в момент получения ответа сервера, когда запрос уже обработан, то после возобновления соединения клиент найдет свой документ, отправленный до обрыва связи, активизируя ссылку на панели навигации.

Подсистема позволяет клиенту поддерживать актуальность собственных финансовых данных. Любой сотрудник компании с соответствующим уровнем доступа, может в любой момент получить необходимую информацию из любого удобного места с доступом в Интернет.

Данное решение может служить кредитным организациям эффективным инструментом привлечения новых клиентов. Предоставление услуг с помощью подсистемы "Выписка Он-Лайн" - хорошая возможность для повышения востребованности банковских услуг и эффективное решение для увеличения доли пользователей подсистемы "Интернет-Клиент" среди клиентов банка.

В целом можно сказать, что этот проект весьма актуален и, что самое главное, успешен. В целях привлечения большего количества клиентов и сохранения уже существующих предлагаем рассмотреть несколько вариантов улучшения взаимодействия банка и клиента:

• Создание разных типов интерфейсов: обычного (для продвинутых пользователей) и упрощенного (для новичков: с пояснением каждого действия). Это снизит лишнюю нагрузку со специалистов технической поддержки, которым в основном приходится отвечать на одни и те же вопросы.
• Оказание клиентам технической поддержки по электронной почте в оперативном режиме позволило бы разгрузить телефонные линии. Также появилась бы возможность сохранять историю переписки с клиентом.
• Создание и поддержание в актуальном виде подробной инструкции по использованию системы Клиент-Банк с возможными ошибками и их решением для минимизации затрат по многократному разъяснению клиентам необходимых действий.
• Создание только одного оригинального носителя секретных ключей с невозможностью его копирования.
• Увеличение масштабов рекламы и ее упрощение для начинающих пользователей. Использование рекламы представляется возможным в основном в Интернете.