17 августа 2012, 16:17
Количество просмотров 527

ATMIA: «Методы обеспечения безопасности ПО для банкоматов». Информационная безопасность банка

Михаил Калиниченко, генеральный директор компаний SafenSoft и StarForce, соавтор «Руководства по передовым методам обеспечения безопасности ПО...
ATMIA: «Методы обеспечения безопасности ПО для банкоматов». Информационная безопасность банка

Михаил Калиниченко, генеральный директор компаний SafenSoft и StarForce, соавтор «Руководства по передовым методам обеспечения безопасности ПО для банкоматов»


Ассоциация производителей банкоматов ATMIA (ATM Industry Association) разработала «Руководство по передовым методам обеспечения безопасности ПО для банкоматов» («ATM Software Security Best Practices»)*. Руководство, впервые опубликованное на русском языке, было подготовлено и продвигается на российском рынке компанией SafenSoft, разработчиком программных решений в сфере информационной безопасности. SafenSoft принимает непосредственное участие в деятельности международного сообщества ATMIA и совета по разработке стандартов безопасности PCI Security Council, а также входит в авторский коллектив данных рекомендаций.


Основной целевой аудиторией данного документа являются сотрудники служб безопасности и IT-специалисты банков, которые принимают решения об установке банкоматов. Кроме этого, как считают авторы руководства, данный документ будет полезен каждому специалисту, имеющему отношение к информационной безопасности банка, жизненному циклу банкоматов и устройств самообслуживания, - от высшего руководства банка до офицера службы безопасности или инженера, занимающегося обслуживанием установленных устройств.

Полный состав авторов данного руководства включает в себя экспертов таких ведущих компаний, как Vantiv, Microsoft, Wincor Nixdorf, Triton, Diebold, NCR, SafenSoft / StarForce, Open Solutions, Thought Key, GMV и Euresto. Перевод документа подготовлен SafenSoft - одной из двух российских компаний, принимающих непосредственное участие в деятельности международного сообщества ATMIA и входящих в авторский коллектив данных рекомендаций.

ATMIA: «Методы обеспечения безопасности ПО для банкоматов». Информационная безопасность банка - рис.1

Михаил Калиниченко, генеральный директор компаний SafenSoft и StarForce, соавтор «Руководства по передовым методам обеспечения безопасности ПО для банкоматов», комментирует событие следующим образом: «В качестве разработчика ПО наша компания может привести много примеров, говорящих о том, что информационная безопасность банкомата не менее важна, чем физическая. В работе комитета по безопасности ассоциации ATMIA мы принимаем участие с 2010 г. и рады возможности познакомить российских коллег с официальными практиками и рекомендациями ассоциации. Я надеюсь, что публикация этого документа станет одним из шагов интеграции международных практик в реальный практический опыт российского банковского сообщества».

*Ознакомиться с полным текстом документа «Руководство по передовым методам обеспечения безопасности ПО для банкоматов» на русском языке можно на web-сайте издания www.plusworld.ru, в соответствующем разделе.

Как поясняется во вводной части к «Руководству по передовым методам обеспечения безопасности ПО для банкоматов», публикация данного документа осуществлена ассоциацией ATMIA с целью поддержки своей некоммерческой деятельности, направленной на повышение безопасности ПО для банкоматов. При этом авторы уточняют, что при создании руководства они не преследовали цель сформулировать стандарты для того или иного вида деятельности – представленные методы носят исключительно рекомендательный характер. 

Документ содержит подробный перечень рекомендаций, состоящий из 15 основных пунктов. Эксперт информационной безопасности банка или компании, занимающейся обслуживанием банкоматов, ознакомившись с этим перечнем, сможет легко определить, следует ли его организация передовым методам работы с банкоматным ПО, и если нет, то каким именно рекомендациям не соответствует деятельность его подразделения (компании).

1. Привязка безопасности ПО к его жизненому циклу

Рекомендуется внедрение системного, комплексного подхода к безопасности функционирования ПО для банкоматов. На протяжении жизненного цикла ПО следует изучить все процессы, включая разработку, установку и мониторинг. 

Все фазы цикла предлагается охватить следующим образом:

1.1 Определение параметров программной системы

1.2 Оценка риска

1.3 Создание политики

1.4 Тестирование системы безопасности

1.5 Обнаружение вторжений

1.6 Проведение постоянного анализа

Соответствие п.1 свидетельствует о том, что политика безопасности ПО для банкоматов и соответствующие процедуры адаптированы к жизненному циклу разработки, установки и мониторинга ПО.

2. Многоуровневая система публикации

Помимо привязки политики безопасности ПО для банкоматов к его жизненному циклу, организации предлагается создать несколько уровней защиты в программном комплексе. Адекватный состав многоуровневой системы безопасности может включать изоляцию от сети, протестированные средства усиленной защиты операционной системы, защиту процессов функционирования, централизованные инструменты мониторинга/управления.

Передовая практика отрасли – применение защиты на нескольких уровнях системы, что делает ее способной противостоять мошеннической атаке.

Соответствие п. 2 говорит о создании в компании многоуровневого защитного комплекса для своей системы.

3. Эффективные методы нормоконтроля в области ПО

Всем операторам банкоматов рекомендуется соблюдать стандарты безопасности индустрии платежных карт (PCI), особенно PCI DSS1, PCI PA-DSS, и PCI PTS. Важно следовать руководствам по внедрению, составленным производителями банкоматов и разработчиками ПО.

Соответствие п. 3 говорит о том, что компания приняла все необходимые меры к соблюдению действующих стандартов PCI по безопасности карт и связанных с ними данных.

4. Передовые методы разработки ПО для банкоматов

4.1. Исходный код ПО для банкоматов должен быть разбит («parse») при помощи проверяющей программы, анализирующей дефекты защиты кода.

4.2. Интегрируя в свои продукты стороннее ПО, компания должна проверять поставщиков в рамках политики безопасного жизненного цикла, а также удостоверяться, что поставленное ПО не было взломано перед интеграцией и установкой.

4.3. Разработка ПО для банкоматов должна включать меры по противодействию декомпиляции (расшифровке структуры).

4.4. Оптимальной практикой у разработчиков ПО для банкоматов считается использование электронно-цифровой подписи в исполняемых модулях.

4.5. Перед упаковкой готовый продукт («золотые диски») необходимо проверять на вирусы.

Соответствие п. 4 говорит о том, что компания приняла меры для обеспечения безопасности процесса разработки ПО для банкоматов.

5. Передовые подходы к установке ПО для банкоматов

Процесс установки ПО подразумевает предоставление полного административного контроля над компьютером в процессе первичной инсталляции ПО. В рамках этого процесса необходимо гарантировать отсутствие искажений кода, которые могут быть внесены во время поставки.

Рекомендуется рассмотреть возможность внесения в интерфейс пульта управления специальных конфигурационных элементов, допускающих лишь жестко контролируемые изменения настроек.

Если ПО устанавливается при производстве устройств, требуется аудит рабочих процессов производителя.

Оптимальный подход специалистов по развертыванию сетей банкоматов – проверка ЭЦП дистрибутивов.

В любом случае после установки ПО необходима проверка.

Соответствие п. 5 говорит о том, что компания использует оптимальные методы установки ПО для банкоматов, включая последующие проверки.

6. Мониторинг и администрирование банкоматов, обновление ПО

Для того чтобы банкомат оставался защищенным, необходим постоянный мониторинг. Это касается и отслеживания состояния приложения банкомата и общего состояния устройства.

Все предупреждения системы должны сопровождаться конкретными действиями и предусматривать определенные процедуры. Качественный мониторинг включает в себя не только выявление проблемы, но и ее устранение.

Используя инструменты мониторинга и управления для выполнения запланированных, четко очерченных действий, необходимо обеспечить возможность централизованного разрешения 10 наиболее распространенных проблем, связанных с работой банкоматов.

Кроме того, рекомендуется обеспечить надлежащую систему двойного контроля. Соответствие п. 6 говорит о том, что компания внедрила передовые методы мониторинга ATM и обновления ПО, а также двойной контроль всех задач, связанных с администрированием ПО; инструменты управления контролируются благодаря иерархической структуре управления.

7. Система защиты ПО для банкоматов: брэндмауэры, антивирусы, «белые списки», защита портов и установка исправлений (патчей)

Локальный брандмауэр необходим банкоматам, взаимодействующим через совместную или внешнюю сеть. Настройка надлежащих правил автономного/терминального брандмауэра позволит предотвратить доступ вредоносных программ в банкоматы.

Дополнить мощный брандмауэр могут антивирусы/средства защиты от вредоносного ПО.

Еще один из рекомендуемых передовых методов – белые списки. Они хорошо вписываются в жесткие операционные среды надежно защищенных банкоматов.

Необходима система создания исправлений («патчей») в ПО банкоматов.

Строгий и методичный контроль изменений – гарантия грамотной установки исправлений и обновлений.

Особое значение имеет процесс принятия решений о выборе нужных исправлений и определение важности их внедрения. В организации должен быть четкий набор критериев для принятия решений об исправлениях, особенно в части определения исправлений, имеющих критическое значение для безопасности. Кроме того, руководством рекомендуется определение стандартного цикла установки исправлений.

Соответствие п.7 свидетельствует о том, что компания установила локальный брандмауэр для своих банкоматов, антивирус и функцию ведения «белых» списков либо систему предотвращения вторжения в базовый компьютер; а также о том, что она защищает интерфейсные порты своих банкоматов.

8. Передовые методы криптографической защиты и загрузки ключей

Централизованное управление системой криптографической защиты необходимо для управления ключами, их отзыва и присвоения. Наилучшим считается метод загрузки криптографических ключей через системы дистанционного управления, а при отсутствии такой возможности ввод ключа должен осуществляться при наличии двойного контроля, а если речь идет о первичном ключе, то с криптоклавиатуры (ПИН-пада).

Суть защиты с использованием шифрования – секретность ключа. Принципы разделения ролей и уровней доступа наряду с обеспечением максимальной неприкосновенности данных на всех этапах подкрепляются применением грамотного процесса управления ключами.

8.1. Создание ключа. Большинство банкоматов используют единый ключ симметричного шифрования: Первичный ключ терминала. Встречается шифрование с двойным ключом (например, нередко используется симметричное шифрование через канал PKI (инфраструктура открытых ключей). Ключи генерируются из нескольких компонентов, как правило, двух или трех. Генерацию каждого из компонентов осуществляет назначенный ответственный сотрудник / хранитель ключа.

8.2. Хранение ключа. Компоненты ключа хранятся для дальнейшего использования и ввода в аппараты (для активации). Необходимо назначить лицо, ответственное за хранилище каждого из компонентов ключа, а также выполнить ряд условий по хранению ключей.

8.3. Распространение. Наиболее уязвимый этап в процессе управления банкоматами. Оптимальным считается привлечение к вводу данных в банкоматы нескольких доверенных сотрудников либо развертывание технологии «дистанционного ввода ключа», при использовании которой ключ (ключи) и его компоненты не сообщаются лицу, осуществляющему ввод.

8.4. Применение/Ротация. Криптографический ключ (ключи) должен использоваться лишь в течение определенного периода. Для одноуровневых ключей частота обновления должна составлять 2–4 раза в год. Каждый ключ в составе многоуровневого ключа должен обновляться как минимум дважды в год.

8.5. Отзыв ключа. По завершении оговоренного срока использования либо в случае выявления/подозрения раскрытия криптографический ключ отзывается либо его действие прекращается/приостанавливается.

Рекомендуется осуществлять проверку банкоматов (каждые 6 месяцев) на предмет соблюдения стандартов управления ключами и корректного выполнения процессов. Любые данные держателей карт, находящиеся на жестком диске банкомата, должны быть защищены от несанкционированного просмотра.

Важно изъять из всех файлов незамаскированные номера личных счетов.

Исходящий поток сетевых транзакций банкомата подлежит шифрованию. Применение разделенных секретных ключей, опознаваемых финансовым коммутатором (financial switch), и криптографической клавиатуры в банкомате позволит избежать взлома данных транзакций во время их передачи от банкомата на коммутатор.

Везде, где это возможно, поток информации, связанной с управлением банкоматами, должен быть защищен системами проверки неприкосновенности данных и средствами шифрования. Существует ряд общепринятых требований к шифрованию значений ПИН-кодов и транзакций, а также к управлению ключами.

Соответствие п. 8 говорит о том, что в каналах связи с банкоматами действует система защиты и шифрования данных о транзакциях во время передачи. Кроме того, шифруется информация, относящаяся к управлению банкоматами, и осуществляется проверка неприкосновенности данных в обоих потоках.

9. Передовые методы техобслуживания

Соглашения на техническое обслуживание банкоматов со сторонними организациями должны содержать явное указание на ответственность за мошенничество, включая любые виды мошенничества, осуществляемого через сервисный интерфейс ПО банкомата или путем установки незаконного ПО в устройство. Передовые принципы обеспечения безопасности должны соблюдаться как штатными сотрудниками, так и сторонними поставщиками услуг.

Инструменты управления системами могут допускать модификацию значительного количества банкоматов администраторами центральной организации. Однако подобные возможности систем управления всегда должны использоваться в рамках иерархической структуры, в которой наиболее серьезные операции доступны лишь специалистам высшего уровня. Кроме того, процесс обеспечения безопасности должен предотвращать изъятие конфиденциальной или персональной информации с жесткого диска банкомата.

Также, если предусмотрена возможность удаленного доступа к банкомату, для обеспечения безопасности системы крайне важно разделение ролей между теми, кто может вносить изменения, и теми, кто может лишь просматривать информацию. В целом средства дистанционного управления рекомендуется применять лишь тогда, когда исчерпаны возможности всех прочих предусмотренных мер по устранению неисправностей.

Следует регистрировать все действия по обслуживанию своих банкоматов и хранить все итоговые журналы регистрации доступа в систему.

Соответствие п. 9 говорит о том, что внедрены политики и процедуры, необходимые для обеспечения безопасности и целостности программных комплексов банкоматов во время работ по техническому обслуживанию. Все действия по обслуживанию устройства надлежащим образом регистрируются. Внедрены передовые методы разделения ролей, двойного контроля и многофакторной проверки подлинности учетных данных. Потребность в доступе администраторов к банкоматам сведена к необходимому минимуму. Сотрудники были обучены тщательно контролировать действия тех сотрудников, которые осуществляют доступ к банкоматам.

10. Политика управления паролями к банкоматам

Пароли к банкоматам должны отвечать передовым стандартам обеспечения безопасности паролей. Оптимальный метод контроль доступа через уникальные пароли, идентификаторы пользователей и многофакторную проверку учетных данных.

Передовые методы обеспечения безопасности паролей:

  • Если банкомат обслуживает несколько лиц/организаций, необходимо создать уникальный главный пароль, а также пароли и уникальные идентификаторы, привязанные к ролям;
  • Необходимо создать надежные, уникальные пароли для всех учетных записей, особенно для администратора;
  • Пароль должен меняться каждые 90 дней либо в течение иного разумного срока, установленного в зависимости от времени проведения сервисных мероприятий, например, сразу после обращения в службу техобслуживания.

Соответствие п. 10 свидетельствует о том, что компания внедрила систему управления паролями к банкоматам, предусматривающую наличие уникального пароля к каждому устройству. Никогда не используются пароли, установленные производителем. Для замены пароля необходимо войти в систему через многофакторную проверку подлинности учетных данных. Соблюдаются передовые принципы управления паролями.

11. Физическая безопасность компьютера банкомата

Взломщик, имеющий физический доступ к компьютеру банкомата, может вывести из строя все защитное ПО, установив собственный жесткий диск. Необходима физическая защита компьютера банкомата. Руководство рекомендует обеспечить зщиту аппаратных средств, на которых установлено ПО. Соответствие п. 11 говорит о том, что компания внедрила политику физической защиты компьютеров банкоматов, предотвращающей несанкционированный доступ.

12. Предотвращение декомпиляции ПО

Наилучший метод предотвращения взлома ПО с целью его декомпиляции – внедрение поставщиками ПО технологий для противодействия декомпиляции.

Соответствие п. 12 – использование компанией технологий, рекомендованных для предотвращения взлома с целью декомпиляции.

13. Интегрированная защита платежей

Необходимо обеспечивать стабильную защиту данных держателей карт в соответствии со стандартами безопасности PCI при расширении ассортимента платежных операций, поддерживаемых банкоматом (оплата счетов, размещение чеков, бесконтактные платежи и т. д.).

Соответствие п. 13 говорит о том, что компания обеспечивает защиту данных держателей карт, сверяясь со стандартами безопасности PCI при расширении спектра платежных возможностей своих банкоматов.

14. Система снижения риска внутреннего мошенничества

Помимо жестких требований к проверке персонала важнейшим элементом интегрированной стратегии предотвращения мошенничества со стороны сотрудников является политика информационной безопасности банка. В совокупности с корпоративной этикой и культурой предотвращения мошенничества эти элементы являются мощнейшими орудиями в борьбе с преступностью внутри организации. Соответствие п. 14 говорит о том, что компанией внедрена система снижения вероятности мошенничества со стороны сотрудников.

15. Передовые методы информирования о случаях мошенничества

Столкнувшись с мошенничеством, организации, занимающиеся развертыванием сетей банкоматов, должны немедленно уведомить о произошедшем местные правоохранительные органы и сохранить номер заявления (или эквивалентного документа). Это позволит местным и региональным органам правопорядка выявить сходные случаи в регионе и найти виновных. По возможности следует распространить эту информацию среди других организаций, управляющих сетями банкоматов, через Централизованную программу уведомления о мошенничествах либо иные средства. Это позволит снизить масштаб преступности. Соответствие п. 15 свидетельствует о том, что компания внедрила систему уведомления о случаях мошенничества.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube

Визитная карточка SafenSoft

(SafenSoft - российская компания-разработчик программных решений в сфере информационной безопасности. Выпускает решения для проактивной защиты банкоматов и платежных терминалов и для комплексной защиты конечных точек корпоративной сети. Принимает участие в работе международных организаций:

  • PCI Security Council - совет по разработке стандартов безопасности индустрии платежных карт;
  • ATMIA Security Best Practices Сommittee - комиссия рекомендаций по безопасности Ассоциации Индустрии Банкоматов (ATMIA).

Визитная карточка StarForce

Компания StarForce является экспертом в области защиты программного обеспечения и цифрового контента от копирования, взлома и несанкционированного распространения. Более 10 лет компания разрабатывает и внедряет ультрасовременные технологические решения по охране интеллектуальной собственности и авторских прав во всем мире. StarForce входит в тройку мировых лидеров рынка защиты интеллектуальной собственности и является ведущим поставщиком решений и услуг на российском рынке ПО для бизнеса, развлечений и цифрового контента. C 2011 г. StarForce принимает участие в работе ассоциации ATMIA. Деятельность компании StarForce лицензирована ФСБ России.