До середині 2007 року найбільш очевидною проблемою банківських online-сервісів став перманентне зростання фішинг-атак і шахрайства з використанням методів соціальної інженерії, метою яких була крадіжка персональних даних і реквізитів користувачів. Ситуація істотно ускладнювалася відсутністю спеціальних знань в області інформаційної безпеки з боку клієнтів банків, а також недостатнім рівнем забезпечення захисту клієнтських даних з боку переважної більшості вітчизняних банків. Крім того, високий рівень латентності Web-шахрайств, пов'язаних з банківськими рахунками, негативно впливав на зацікавленість банківського ринку в активному впровадженні засобів захисту від різного роду погроз з боку глобальної мережі. На практиці це означало, що, не дивлячись на тривожні сигнали, прецедент тип реагування (поки не зафіксовано випадок атаки - посилювати системи захисту безглуздо) як і раніше переважав в середовищі фінансових організацій.
Одним з перших банків, які оцінили, перш за все, репутаційні ризики, які несуть з собою атаки з використанням інтернет, став Альфа-Банк, керівництво якого в березні 2007 року ухвалив рішення про посилення захисту власної системи електронного банкінгу.
Захист клієнта - це сфера відповідальності банку. В Альфа-Банку правильно оцінили нову загрозу і зробили важливі висновки з ситуації, що склалася - не можна перекладати відповідальність за забезпечення безпеки на плечі користувача. Однак, приймаючи рішення про посилення засобів захисту системи електронного банкінгу, Альфа-Банк зіткнувся з парадоксальною ситуацією: є очевидна загроза, але немає готового промислового рішення, здатного ефективно протистояти їй. «На той момент Альфа-Банк фактично був піонером в області забезпечення захисту своїх клієнтів від інтернет-загроз, в зв'язку з чим, всі етапи робіт доводилося робити з нуля, не маючи під рукою інших прикладів, методологій або промислових рішень для боротьби з такими видами шахрайства, - коментує Валерій Бутенко, Заступник начальника Служби економічної безпеки Альфа-Банку. - Саме тому ми з особливою ретельністю підійшли до вибору постачальника рішення для забезпечення безпеки наших клієнтів і збереження їх довіри до банку ».
Врізання
Заснований в 1990 році, Альфа-Банк є універсальним банком, що здійснює всі основні види банківських операцій, представлених на ринку фінансових послуг, включаючи обслуговування приватних і корпоративних клієнтів, інвестиційний банківський бізнес, торговельне фінансування та управління активами. В Альфа-Банку обслуговується понад 51,5 тис. Корпоративних клієнтів і понад 2,65 млн. Фізичних осіб.
Кредитування - один з найбільш важливих продуктів, пропонованих банком корпоративним клієнтам. Кредитна діяльність Альфа-Банку включає торгове кредитування, кредитування оборотного капіталу і капітальних вкладень, торгове і проектне фінансування. Серед клієнтів банку є великі підприємства, при цьому основні позичальники - підприємства середнього бізнесу. Альфа-Банк диверсифікує свій кредитний портфель, послідовно знижуючи його концентрацію. Альфа-Банк створив розгалужену філіальну мережу. У Москві, регіонах Росії та за кордоном відкрито 304 відділення і філії банку, в тому числі дочірні банки в Казахстані та Нідерландах і фінансова дочірня компанія в США.
Альфа-Банк - один з небагатьох російських банків, де проводиться міжнародна аудиторська перевірка з 1993 року (PriceWaterhouseCoopers). Довгострокові поточні рейтинги Альфа-Банку - Moody's ( «Ba1" зі стабільним прогнозом) і Standard & Poor's ( «BB» зі стабільним прогнозом).
Підхід Альфа-Банку до вибору рішення
Підвищення загального рівня інформаційної безпеки за допомогою превентивних заходів проти можливих загроз з боку глобальної мережі стало основним завданням майбутнього проекту. До створення системи, покликаної зміцнити довіру між банком і його клієнтами, в Альфа-Банку підійшли дуже ретельно: були розроблені критерії, до яких, зокрема, належали:
- Якість промислового рішення із застосуванням перевірених часом і ринком технологій;
- Можливість апаратного формування аналога власноручного підпису для максимального наближення процесу оформлення електронних документів до паперового документообігу;
- Легітимність, що передбачає наявність сертифіката Федеральної Cлужба у технічному і експертному контролю на обиране рішення;
- Забезпечення персоналізації дій, виконуваних з використанням ключа, «прив'язаного» до його власника, що дозволяє відстежити дії, вироблені цією особою в системі.
Серед інших критеріїв, висунутих Альфа-Банком до пристроїв для аутентифікації, були якісна реалізація програмного забезпечення проміжного шару, стійкість до злому і надійність самого пристрою. В результаті, тендер був виграний компанією Aladdin, перед якою постало завдання не тільки підготовки, але і організації дистрибуції рішення при максимальній оптимізації логістичних витрат. Крім того, важливим аспектом було забезпечення системи обліку і контролю поставляються комплектів. Іншими словами, мова йшла про створення принципово нового, повністю відчужується рішення промислового рівня для системи «Альфа-Клієнт On-line», ключовим елементом безпеки якої став eToken PRO від Aladdin.
В рамках пілотного етапу проекту для Альфа-Банку фахівцями Aladdin було підготовлено відчужуване коробкове рішення, що отримало назву Електронний ключ для системи «Альфа-Клієнт On-line» ВАТ «АЛЬФА-БАНК». Дане рішення в кількості 5 000 комплектів, що включають USB-ключ, програмне забезпечення та відповідну супровідну документацію по встановленню та налагодженню рішення, протягом двох тижнів, що є абсолютним рекордом для подібних проектів, було доставлено замовнику.
Клієнти Альфа-Банку з числа юридичних осіб оцінили не тільки прагнення банку до забезпечення їх безпеки при віддаленій роботі з рахунком, а й зручність, а також простоту роботи з ключем eToken. Фактично відразу після першої поставки керівництвом банку було прийнято рішення про закупівлю нової партії комплектів рішення в такому ж обсязі.
Електронний ключ для системи «Альфа-Клієнт On - line»
ВАТ «АЛЬФА-БАНК»
Система «Альфа-Клієнт On-line» забезпечує клієнту Альфа-Банку доступ до управління рахунками за допомогою мережі інтернет. Система надає клієнту банку такі можливості: підготовку, передачу, прийом, обробку електронних документів, надання інформації про рух коштів по рахунках клієнта, дозволяє обмінюватися інформаційними повідомленнями з банком, здійснювати обмін даними (імпорт / експорт) з бухгалтерськими системами. «Альфа-Клієнт On-line» забезпечує безпечне, надійне з'єднання, а також можливість роботи багатьох користувачів.
В системі «Альфа-Клієнт On-line» електронний ключ eToken PRO використовується для забезпечення безпечної роботи в мережі корпоративних користувачів і служить для:
- Ідентифікації користувача. Кожен ключ eToken PRO має унікальний серійний номер, записаний в захищеній пам'яті мікросхеми і надрукований на корпусі ключа.
- Суворої двофакторної аутентифікації користувачів при підключенні до системи. Дана процедура перевірки дозволяє достовірно переконатися в тому, що абонент, який пред'явив електронний ключ eToken, є його законним власником.
- Формування аналога власноручного підпису (АСП) документів, що підтверджує цілісність і незмінність підписаного електронного документа, неможливість відмови від факту підпису даного документа і авторства підписала (законного власника конкретного ключа eToken PRO, апаратно згенерувати цю АСП, після пред'явлення користувачем правильного PIN-коду ключа, відомого тільки йому, і зобов'язалася зберігати його в таємниці).
- Встановлення захищеного каналу зв'язку при підключенні користувачів до системи «Альфа-Клієнт On-line» сиспользованием технології SSL.
- Зберігання цифрових сертифікатів і секретних ключів в захищеній пам'яті eToken PRO, що забезпечує зручність, мобільність і, головне, безпеку роботи користувачів в системі
Рис.1 Промислове рішення Aladdin "Електронний ключ для системи« Альфа-Клієнт On - line »ВАТ« АЛЬФА-БАНК »"
результати проекту
В рамках проекту було підготовлено нове відчужуване промислове рішення «під замовника» Електронний ключ для системи «Альфа-Клієнт On-line» ВАТ «АЛЬФА-БАНК», реалізований максимально легкий і зручний введення в експлуатацію та при цьому забезпечений високий рівень захищеності, відповідний як політиці інформаційної безпеки, прийнятої в банку, так і галузевим банківським стандартам Росії. У складі рішення - апаратний USB-ключ eToken PRO в фірмовому корпусі червоного кольору з символікою Альфа-Банку, а також спеціально створена документація по встановленню та налагодженню електронного ключа при використанні в системі «Альфа-Клієнт On-line».
В результаті, в серпні 2007 року в системі «Альфа-Клієнт On-line» були введені в експлуатацію більше 16 000 електронних ключів. На даний момент, будь-якому клієнту банку - представнику юридичної особи, що володіє електронним ключем eToken - досить зайти на інтернет ресурс банку https://ibank.alfabank.ru/ , Підключити свій eToken і отримати доступ для управління своїм рахунком. Технічна підтримка системи «Альфа-Клієнт On-line» у повній мірі здійснюється фахівцями Альфа-Банку.
Впровадження електронного ключа для системи «Альфа-Клієнт On-line» було важливим і складним етапом для Альфа-Банку в 2007 році. Необхідно було в найкоротші терміни створити систему, яка дійсно могла б захистити банк і клієнтів від можливих атак. Команда, що складається з розробників, технологів, співробітників супроводу і фахівців Aladdin продемонструвала надзвичайну злагодженість в роботі. Протягом двох місяців більше п'яти тисяч клієнтів банку отримали і почали використовувати електронні ключі. «Для клієнтів і служби супроводу системи« Альфа-Клієнт On-line »це був важкий період, адже зворотною стороною безпеки є зручність використання для кінцевого користувача. Завдяки оперативній та всебічної допомоги служби супроводу клієнти отримали необхідні рекомендації по налаштуванню і використанню електронних ключів в системі, що дозволило провести міграцію в найкоротші терміни »- коментує Олександр Митрофанов, начальник Управління супроводу систем корпоративного бізнесу Альфа-Банку.
2008 рік для Альфа-Банку став роком активного просування системи «Альфа-Клієнт On-line» у регіони і централізації супроводу.