Вход для зарегистрированных пользователей
логин
пароль
регистрация
забыли пароль?
Еще не зарегистрировались?

Дайджест

07 ноября 2017
Стороны договорились о реализации поддержки работы с устройствами Рутокен в решениях на платформе UserGate. Растущая сфера …
25 октября 2017
Атака "Badrabbit" стала одной из самых крупных за последние несколько месяцев. Данный троян-шифровальщик похож на …
24 октября 2017
Фирма «АНКАД» получила патент на изобретение «Компьютерная система с удаленным управлением сервером и устройством создания …
Контур-Фокус – быстрая проверка контрагентов

Актив

Разработка и производство программно-аппаратных средств обеспечения информационной безопасности.
Тел.: +7 (495) 925-77-90
E-mail: info@rutoken.ru
Контактная информация: О компании
Регионы работы: Москва
Статья

Рутокен PINPad: новое решение для безопасного ДБО

Рутокен PINPad: новое решение для безопасного ДБО

Всевозможные решения на базе токенов нашли широкое применение, в частности, в целях обеспечения безопасности удаленных банковских транзакций. "Рутокен PINPad" выделяется среди них достаточно редким сочетанием пользовательского юзабилити с высоким уровнем защиты против традиционных и современных видов угроз. Одним из наиболее эффективных его применений разработчик "Рутокен PINPad", – компания "Актив", – видит в сегменте СМБ.

Специалисты по информационной безопасности (ИБ) полагают, что способ аутентификации пользователя при помощи набора PIN-кода уже не может в наши дни считаться достаточно надежным, поскольку нажатия на клавиатуру (реальную или виртуальную) можно зафиксировать достаточно простым способом – при помощи кейлоггера. Еще проще получить несанкционированный доступ к файлу с ключом, хранящемся в незашифрованном виде на жестком диске или же на недостаточно защищенном съемном носителе. Аппаратный токен также не сможет защитить пользователя в том случае, если злоумышленнику уже удалось тем или иным способом получить удаленный доступ к компьютеру с установленным на нем "банк-клиентом". Пользователю достаточно оставить компьютер с забытым USB-токеном на непродолжительное время, предоставив тем самым возможность подписать с его помощью платежное поручение и отправить через систему "банк-клиент" на исполнение. Еще одна современная схема хищений средств с расчетного счета компании построена на том, что пользователь лишен реальной возможности непосредственно контролировать, какой документ он на самом деле заверяет в данный момент при помощи системы банк-клиент. Это дает возможность незаметно осуществить подмену одного платежного поручения другим.

user posted image


С технической точки зрения, PINPad представляет собой подключаемое к компьютеру небольшое устройство с сенсорным экраном, позволяющим ввести PIN-код, а также визуально просмотреть содержимое документа, перед тем как заверить его электронной подписью при помощи "Рутокен ЭЦП", вставляемого в USB-порт на корпусе


Безусловно, случаи, описанные выше, являются скорее исключением, чем правилом. Тем не менее они происходят ежедневно: счет по одной только Москве давно идет на десятки, причем статистика по разным видам хищений безналичных денежных средств ползет вверх. Пострадать может не только крупная компания с большими средствами на расчетном счете, привлекающими мошенников. Жертвой злоумышленников вполне может стать и относительно небольшой бизнес: за ИБ здесь по ряду причин могут следить менее тщательно, чем на крупном предприятии, а последствия неожиданного обнуления счета в банке для СМБ могут быть более чем ощутимыми. Заранее понятно, например, к чему потенциально могут привести действия бухгалтера небольшой дистрибуторской компании, чередующего отправку платежных заверенных поручений с посещением различных сайтов с одного и того же, недостаточно защищенного компьютера.Рано или поздно может случиться так, что однократное хищение накопившейся за месяц выручки за товар придется потом покрывать суммой прибыли, полученной за год.

Предсказать действия добросовестного предпринимателя, внезапно превратившегося из процветающего, уверенного в завтрашнем дне бизнесмена в человека, на котором висит огромная сумма долга, несложно: скорее всего, он обратится за помощью и в обслуживающий банк, и в полицию. Чем это закончится на практике? Раскрываемость по данному виду преступлений низкая. Действия же банка можно заранее спрогнозировать, внимательно прочитав условия своего договора на ДБО. Выдавая защищенный токен и диск с дистрибутивом для пользования ДБО, банк достаточно справедливо полагает, что снабжает своего клиента одним из наиболее современных на сегодня средств защиты, остальную же часть работы по обеспечению нужного уровня безопасности для удаленных банковских транзакций клиент банка должен проделать уже самостоятельно. Скорее всего, соображения примерно такого плана, сформулированные юридическим языком, и будут предусмотрительно зафиксированы в договоре на удаленное обслуживание. Всерьез же обвинять коммерческий банк в том, что он не берет на себя всю полноту ответственности за произошедшее на компьютере клиента, пожалуй, не стоит: в конце концов, он тоже должен как-то защищать свои интересы.

Линейка "Рутокен"

"Наша компания занимается разработкой аппаратных средств защиты, – рассказывает руководитель отдела перспективных проектов компании "Актив" Евгений Сухов. – Анализируя новые угрозы ИБ и мировой опыт борьбы с ними, мы постоянно развиваем нашу линейку продуктов "Рутокен".

Исторически первым был разработан для клиентов "Актив" "Рутокен-S" с объемом памяти до 128 Кб. Его основным назначением является хранение зашифрованного ключа, для доступа к которому от пользователя требуется введение PIN-кода.

Более совершенный с точки зрения ИБ "Рутокен ЭЦП" отличается тем, что никто, включая пользователя и изготовителя, не может никаким способом получить доступ к ключу. "Рутокен ЭЦП" самостоятельно генерирует уникальный ключ, хранит его "строго внутри себя" и осуществляет с его помощь все криптографические операции, требующиеся для того, чтобы можно было заверить документ электронной подписью (ЭП), с соблюдением всех требований действующего российского законодательства. Для этого "Рутокен ЭЦП" прошел, в частности, необходимую сертификацию в качестве средства криптографической защиты.

"Рутокен ЭЦП Flash" содержит дополнительный объем (до 16Гб) флэш-памяти, что позволяет, например,дополнительно записать на него и надежно защитить специализированное ПО (такое какклиент для подключения к VPN) или конфиденциальные данные.

В линейке "Рутокен" есть и другие решения. Например, "Рутокен RF" позволяет сократить число случаев, когда пользователи оставляют компьютер на длительное время, забыв при этом вынуть из него токен. Встроенная в корпус "Рутокен RF" RFID-метка служит ключом для открывания двери, используемым в системе контроля и управления доступом в помещения. Забыть ненадолго токен в компьютере – можно, а вот выйти без него из комнаты – нет.

"Мы предлагаем пользователям не одно конкретное решение, а всю разработанную нами линейку Рутокен, в связи с тем, что, как известно, не существует универсального и наилучшего решения для обеспечения ИБ для всех случаев. Оптимальный выбор определяется множеством факторов, таких как общий уровень обеспечения ИБ в данной компании, конкретной целью использования, объективной оценкой рисков и прочее",– полагает г-н Сухов.


user posted image


Линейка токен-решений от компании "Актив", которую уже в этом месяце пополнит "Рутокен PINPad", позволяет эффективно решить потребности компании любого масштаба и сферы деятельности


В принципе, немаловажную роль может играть размер вложений, которые готова сделать компания в обеспечение своей ИБ.Автоматически это вовсе не означаетто, что чем крупнее бизнес и чем больше средств клиент может потратить на ИБ-решение, тем лучше. "Проанализировав различные решения в сфере ИБ, можно, например, сделать вывод о том, что уровень обеспечиваемой защиты и удобство использования обычно находятся в обратной зависимости", – считает г-н Сухов.

В случае с защитой ДБО это может выражатьсяв том, что от конечных пользователей дополнительно потребуется безошибочно и неоднократно вводить длинные коды или уникальные номера банковских документов, отправлять и получать всевозможные SMS-сообщения и т.д. и т.п.

Исключение из общего правила

Новейшее пополнение линейки решений компании "Актив" – "Рутокен PINPad" - станет доступным для клиентов уже в декабре 2011 г. С технической точки зрения он представляет собой подключаемое к компьютеру небольшое устройство с сенсорным экраном, позволяющим ввести PIN-код, а также визуально просмотреть содержимое документа, перед тем как заверить его электронной подписью при помощи "Рутокен ЭЦП", вставляемого в USB-порт на корпусе самого PINPad-а. Подпись формируется аппаратно при помощи неизвлекаемого ключа "Рутокен ЭЦП", а PINPad гарантирует, что банковский документ был просмотрен бухгалтероми отправлен в банк именно путем нажатия виртуальной кнопки на экране.

"Идея подобного решения давно, что называется, витала в воздухе, однако именно компания "Актив" первой создала такое устройство", – сообщилг-н Сухов. Применение "Рутокен PINPad", в частности, позволит эффективно бороться со всеми современными видами угроз, подстерегающими клиентов банка, пользующихся ДБО. Суть в том, что платежное поручение не может уйти в банк без окончательного одобрения самого пользователя, который всякий раз просматривает "платежку" при помощи PINPad-а, и только после этого отсылает (или отклоняет) платеж нажатием соответствующих кнопок на сенсорном экране. При этом, какие бы привилегии ни присвоил себе "забравшийся" в компьютерную систему злоумышленник, он будет лишен возможности не только самостоятельно инициировать платеж, но и совершить подмену платежного поручения. "Пользователь может быть уверен, что в банк отправится именно то платежное поручение, которое он визуально проверит на сенсорном экране "Рутокен PINPad". Без его непосредственного участия совершить платеж с удаленного компьютера физически невозможно", – подчеркивает г-н Сухов.

Пожалуй, такое решение будет интересно практически всем. Для крупных клиентов ,помимо прочего, предусмотрена дополнительная возможность контролировать и производить массовые платежи своим многочисленным доверенным контрагентам; для банков – появляется новый способ предоставить своим клиентам более надежный банковский сервис (вместо того, чтобы разбираться с претензиями); для ведущих разработчиков систем банк-клиент, совместно с которыми компания "Актив" и будет продвигать "Рутокен PINPad" на рынок, интеграция с этим аппаратным решением даст убедительное конкурентное преимущество, позволит привлечь новых покупателей.

"Крупная компания с выстроенными на должном уровне внутренними процессами обеспечения ИБ может позволить себе выдать своим многочисленным сотрудникам относительно простые и недорогие устройства, причем, с учетом всех обстоятельств, это вполне можно будет признать оптимальным выбором, – считает г-н Сухов. – Если же попытаться нарисовать портрет "идеального заказчика" именно для решения "Рутокен PINPad", то им может стать СМБ-компания, распоряжающаяся большими средствами на расчетном счете и, в то же время, имеющая относительно небольшое среднее количество ежедневно совершаемых операций по этому счету. "Рутокен PINPad" даст такой компании удобный способ осуществлять тщательный контроль над каждой операцией по счету и исключить возможность несанкционированного доступа к нему, а также в ряде случаев может помочь снизить совокупные затраты на обеспечение информбезопасности. Мне сложно назвать другое, аналогичное нашему решение из числа имеющихся сегодня на рынке, которое сочетало бы в себе простоту установки и удобство использования со столь высоким уровнем обеспечиваемой защиты и эффективного в современных условиях снижения рисков при проведении удаленных платежей", – считает г-н Сухов.

Таким образом, линейка токен-решений от компании "Актив", которую уже в этом месяце пополнит "Рутокен PINPad", позволяет эффективно решить потребности компании любого масштаба и сферы деятельности. Оно может, например, использоваться в целях аутентификации на различных ресурсах, доступа в защищенную корпоративную сеть, выполнения требований компаний и площадок, организующих тендеры, удаленной сдачи бухгалтерской отчетности и оформления других юридически значимых электронных документов, требующих заверения при помощи ЭП и пр.

Антон Степанов / CNews

Поделись ссылочкой:


©   ООО «Инфосекьюрити»
Тел.: +7 (495) 231-4831   +7 (495) 778-4675Адрес:  Москва, Б.Семеновская, 49


PROFLINE - сайты на Битрикс