Защита информации – ключевая бизнес-задача

Защита информации в финансовом секторе – это ключевая бизнес-задача, и компании предъявляют жесточайшие требования в решениях в данной области. Какие технологии сегодня востребованы в обеспечении безопасности информации, как развивается этот рынок и каковы его особенности в России, рассказывает заместитель директора по продажам в финансовом секторе компании Computel Павел Есаков.

Павел, расскажите, пожалуйста,  как давно Computel занимается решениями безопасности для платежных систем?

Computel начал работу в этой области в 1996 году, когда начал сотрудничество с компанией Thales. Тогда мы одними из первых на российском рынке стали предлагать решения по защите платежных систем.

Нас привлекло то, что Thales работает на этом рынке уже более 50 лет и сотрудничает с правительственными организациями. Оборудование производства Thales соответствует не только требованиям платежной индустрии, но и требованиям более высокого уровня, которые предъявляют государственные учреждения и ведомства к защите информации. Сегодня Thales является безговорочным лидером в этой отрасли. Так, продажи платежных решений основного конкурента компании в России в прошлом году были равны нулю.

В каком формате сотрудничают компании?

Computel занимается реализацией оборудования производства Thales e-Security, подразделения Thales, занимающегося аппаратными решениями безопасности, и оказывает партнерам и клиентам техническую поддержку и консультационные услуги. Одно из главных направлений здесь – обучение работе с платежными модулями. Наше обучение носит не теоретический, а практический характер. Учиться на рабочей системе нельзя, поэтому люди работают с оборудованием, но совсем не представляют возможностей системы и часто не знают, как вести себя во внештатных ситуациях. Мы даем возможность на обучении побывать в условиях, приближенных к «боевым», понять, как действовать, если что-то пойдет не так.

Решения для защиты платежных систем – достаточно специфическая отрасль. С какими сложностями сталкиваются участники?

Главная особенность в том, что все платежные системы и системы для обработки транзакций по пластиковым картам требуют в обязательном порядке использования средств защиты, соответствующих специальным стандартам. Обязательным является соответствие FIPS140-2. Это сертификат выдает специальный государственный институт в США.

Есть еще один стандарт – PSI HSM. Это стандарт безопасности в платежной индустрии, созданный корпорациями Visa и MasterCard. Платежные компании стремятся оградить себя от рисков утечки информации и переложить ответственность за возможные кражи на продавцов, эквайеров и эмитентов. Пока данный стандарт не является обязательным, но это только вопрос времени. Сегодня только 2 компании в мире имеют сертификацию PCI HSM, одна из этих компаний – Thales.

Часто бывает, что решение нужно дорабатывать (например, поставить на модуль какое-либо ПО). Требует ли доработанная система повторной сертификации?

Безусловно. Когда производитель получает сертификат на свою разработку, в дополнение к нему он получает еще один документ – Security Policy. В документе содержится список ограничений по функционалу решения, т.е. прописано, какие операции на нем можно выполнять, а какие нет. Если вы, например, дописываете софт и загружаете его в модуль, то сертификация становится недействительной. Добавляя или изменяя сертифицированное решение или оборудование, вы будете должны сертифицировать его заново. Парадокс в том, что люди часто не читают этот документ и допускают эту ошибку.

Аппаратные модули защиты платежных систем используются в банках по всему миру. Какое еще оборудование для защиты данных востребовано банками?

В отличие от информации, деньги всегда имеют очевидную стоимость. Банки могут сразу оценить свои потери в результате того, что кто-то выдал себя за клиента. Одна из ключевых бизнес-задач в банковской сфере сегодня – защита бескарточных платежей (технология Card not present). Бескарточные платежи становятся все более популярными, и уровень угроз в их отношении постоянно растет. Весь бизнес карточных систем построен на правильной оценке рисков. Именно поэтому многие эквайеры берут больший процент за транзакцию без карты, чем за обычную транзакцию. Корпорации Visa и MasterCard предъявляют жесткие требования к банковским системам и требуют использования специальных защитных технологий. Одна из них – 3D-Secure , технология, позволяющая подтвердить подлинность всех действующих лиц транзакции: эмитента, эквайера и продавца. При этом все 3 звена должны поддерживать эту технологию.

У Thales есть разработки в этой области?

Thales предлагает использовать для этой цели платформу строгой аутентификации SafeSign. Основное отличие продукта от конкурентных – это очень гибкая платформа с высоким потенциалом масштабируемости. Кроме этого, SafeSign не привязан к конкретному устройству конкретного производителя и может быть интегрирован в любое оборудование. Еще одно немаловажное достоинство – доступная стоимость решения даже для очень крупных проектов.

SafeSign позволяет реализовывать в единой системе каналы аутентификации, которые работают независимо друг от друга в различных приложениях, с четким разграничением прав доступа для различных подразделений и отдельных лиц. Это очень актуально для больших организаций, имеющих разветвленную структуру (например, торговых корпораций, работающих и с оптом, и с розницей). Иными словами, с SafeSign вы можете создать центр аутентификации для всех приложений, в которых работает ваша компания либо несколько компаний в составе Группы компаний и т.д. Возможности для масштабирования практически неограничены. И при этом уровень безопасности будет по-настоящему высоким.

Часто конфиденциальные данные подвергаются компрометации на этапе передачи. Какие решения используются для ее защиты?

Передача данных – один из ключевых процессов в жизненном цикле информации, и он на самом деле очень уязвим. Для его защиты используются специальные сетевые шифраторы, например, Thales DataCryptor. Обеспечивая высокую скорость, они обеспечивают высочайший уровень защиты и в точке отправления, и в точке приема.

Аппаратная защита платежных систем – это уже устоявшийся факт. Сейчас появляются так называемые устройства защиты информации общего назначения. В каких сферах они применяются?

Действительно, аппаратная защита информации общего назначения начинает интересовать интеграторов и пользователей. Ведь сфер применения подобного оборудования достаточно много. Например, вы разработчик программного обеспечения и все свои программные разработки защищаете приватным ключом. Процесс подписания при помощи ключа должен быт защищен. А он защищен настолько, насколько безопасно хранятся ваши приватные ключи. Надежно защитить их можно при помощи аппаратных модулей безопасности, например, Thales nShield. В этом случае ключи подписываются внутри модуля и никогда не покидают их.

Еще одна сфера применения – работа с секретными данными. Обрабатывать их в компьютере небезопасно, т.к. есть риск копирования и использования. Аппаратные модули позволяют проводить обработку данных в защищенной среде. Аналогично модули применяются для защиты баз данных и архивов, содержащих зачастую очень чувствительную информацию.

Повторюсь, главный вопрос в защите данных состоит в том, где хранится ключ. Если его можно извлечь, шифрование данных не имеет смысла. Если же ключ неизвлекаем, как в случае использования модулей nShield, шифрование приобретает особую ценность.