Насколько надежна защита ПО банкоматов

ЗАЩИТА ДАННЫХ

Сегодня банкоматы пользуются безоговорочным доверием основной массы потребителей банковских услуг. С их помощью совершается до 80% всех банковских операций в мире, и цифра эта будет только увеличиваться с переводом большинства операций в режим самообслуживания. Однако с тех пор как компьютеры стали частью банкоматов (а это произошло более 10 лет назад), главным вопросом на повестке дня остается безопасность программного обеспечения. Хотя сегодня банкоматы достаточно надежно защищены, неизвестно, что нас ждет в будущем.

Диагностика болезни, а не устранение симптомов

При изучении проблем защиты банкоматов от еще не существующих видов угроз становится очевидно, что основная опасность исходит не от червей и вирусов как таковых. Они - лишь симптомы главной "болезни", которая заключается в возможности выполнения в системе непредусмотренного программного кода. Разработанные к сегодняшнему дню многочисленные специализированные приложения (антивирусы, брандмауэры, средства профилактики и борьбы с вредоносным программным обеспечением) успешно справляются с симптомами, но ни одно из них не позволяет исключить вероятность запуска несанкционированного кода в банкоматах.

Управление безопасностью программного обеспечения пока, как правило, представляет собой реактивный процесс. Исправления необходимо вносить практически в реальном времени. Причем дело не ограничивается лишь установкой новейших обновлений. Все компоненты нуждаются в лабораторном тестировании: обновления не должны стать причиной нарушения работоспособности систем. Поскольку к банковским приложениям предъявляются строжайшие требования, на тестирование обновлений уходит много времени, и если для таких испытаний банкомат должен быть отключен, то это, безусловно, приведет к снижению количества транзакций и прямым убыткам.

Впереди - ужесточение норм

Между тем самые сложные задачи для руководителей управлений информационных технологий будут лежать отнюдь не в плоскости технологий, а в плоскости соответствия стандартам и выполнения предписаний контролирующих органов. Многие эксперты считают, что сети банкоматов неизбежно будут подлежать аудиторским проверкам. Кроме того, уже сейчас рождаются новые требования к банкоматам. Ассоциация платежных карт (PCI), в состав которой входят VISA и MasterCard, планирует формализовать требования к информационным технологиям, применяемым в банкоматах, в рамках своего стандарта защиты данных DSS. К аналогичной работе приступили и другие банковские ассоциации по всему миру.

Многие разработчики технологий заявляют о том, что их системы соответствуют тем или иным стандартам, однако следует помнить, что предписания контролирующих органов по своей жесткости значительно превосходят обычные стандарты, которые не всегда затрагивают внутренние правила и бизнес-процессы банков. Организациям, эксплуатирующим банкоматы, нужно будет отчитываться о системах защиты и состоянии всех этих устройств, чтобы при необходимости можно было проконтролировать, повторить или заблокировать любые изменения. А для этого разработчикам потребуется простой и удобный способ сбора статистической информации обо всех изменениях в конфигурации банкоматов в реальном времени.

Пути решения проблемы

Традиционный подход к управлению инфраструктурой заключается в исчерпывающей формализации процессов и правил работы с системами. Хотя такой подход до сих пор можно считать приемлемым, с утверждением формальных требований контролирующих органов он станет очень нерациональным, неэффективным и подверженным ошибкам. Если владелец банкоматов попытается таким образом нейтрализовать возможные риски, связанные как с внешними, так и с внутренними угрозами (если это вообще возможно), ему потребуются на это огромные средства и очень много времени. К тому же любые ошибки в управлении банкоматами могут подорвать репутацию организации, вынудить ее компенсировать ущерб третьим лицам и послужить причиной сокращения доходов.

Свой подход к решению проблемы обеспечения безопасности банкоматов, функционирующих под управлением Windows, выработала компания NCR, взявшая на вооружение новую технологию фирмы Solidcore (разработчика систем управления информационными технологиями) и адаптировавшая ее для банкоматов и сред самообслуживания. Ее подход реализован в виде технологии защиты программного обеспечения ARTPA, базирующейся на платформе NCR APTRA Security Foundations, и направлен на устранение первопричины возникновения проблем с безопасностью. Интегрированная технология Solidcore for APTRA исключает возможность выполнения несанкционированного кода (он просто не загружается в память банкомата, даже если записать его на жесткий диск системы) и тем самым защищает санкционированный код от подмены, подделки или перехвата управления, позволяя нейтрализовать все четыре категории потенциальных угроз: традиционные угрозы, новые угрозы, риски для бизнеса и внутренние угрозы. Фактически банкомат становится неуязвимым.

Данная технология применима не только к банкоматам, она подойдет, например, и для обеспечения безопасности инфраструктуры отделения банка. При этом она позволят сравнительно просто продемонстрировать надежность средств защиты аудиторам.

"Оздоровление" программного обеспечения банкоматов компания NCR реализует в два этапа. Первый этап заключается в жестком контроле процесса разработки ПО, что гарантирует его безопасность еще до того, как оно будет выпущено. Тем самым устраняется базовая причина возникновения проблем и необходимость постоянной спешной установки исправлений. Кроме того, на первом этапе формируется база для второго этапа, предполагающего соблюдение требований стандартов и контролирующих органов.