Аналитика и комментарии

25 сентября 2012

ОКБ САПР: 20 лет безопасности банков и клиентов

Наша работа с банками началась чуть более 20 лет назад с радикального решения: создать систему, которая бы позволила не носить бумажные платежки в банк, а передавать их туда с помощью модема. Возникла система «Клиент-Банк».

Идея системы «Клиент-Банк» даже нам самим казалась по тем временам революционной. Мы понимали, что все, кто разрабатывал АБС, немедленно начнут дописывать в своих системах эту функцию, и мы защитили торговую марку «Клиент-Банк».

Но защитой наших прав защита в системе «Клиент-Банк» не закончилась. Стало ясно, что передаваемые данные тоже нужно защищать, иначе вместо услуги клиенту мы создадим услугу для мошенников. Примерно в 1992 году мы приступили к созданию технических средств защиты информации. Именно в это время нами были сформулированы основные идеи аппаратной защиты - синдром Мюнхгаузена и принцип Архимеда.

Синдром Мюнхгаузена - это попытки убедиться в целостности программы, проверяя ее другой программой. Это можно сделать, но сначала надо убедиться в целостности той программы, которой мы собираемся проводить проверку, еще одной программой, конечно, целостность которой тоже сначала проверим... и так до бесконечности. Самого себя вытянуть за волосы из болота нельзя. А вот другого - можно, если сам стоишь рядом на кочке. Это и есть принцип Архимеда: «Дайте мне точку опоры, и я переверну мир». Такие вот простые правила, на основе которых построена концепция Резидентного Компонента Безопасности - независимого от ПК устройства, контролирующего старт системы. Кто первый встал - того и тапки.

А еще мы поняли, что эталонное значение контрольной суммы при контроле целостности должно быть отчуждено от самого компьютера, и лучшее место для его хранения - идентификатор Touch Memory. Сейчас это решение кажется тривиальным, но в те времена оно даже составило предмет изобретения. Получилось, как в патенте Зингера на швейную машинку: «Игла с отверстием для нити в остром конце». Что не делай, а швейную машинку иначе не создашь. Вот и у нас - или так, как в нашем патенте, или есть уязвимости.

Так было создано СЗИ НСД «Аккорд», и сегодня остающееся основным средством защиты банковской информации от НСД. Ну и, кроме этого, Touch Memory стали применяться, например, в качестве ключей к подъезду. Неожиданное последствие развития технологий банковской безопасности.

Убедившись, что «Аккорд» - действительно хороший продукт, ЦБ принял решение использовать его у себя, и, как мы и ожидали, это произвело впечатление на коммерческие банки, хотя в то время объемы поставок были мизерными - сотни штук. Это уже потом они стали измеряться сотнями тысяч.

Через несколько лет СЗИ НСД «Аккорд» применялся в банковской сфере страны уже достаточно широко. Стало понятно, что это не случайно, это новый, закономерный этап в обеспечении информационной безопасности - этап аппаратной защиты. Появились другие изделия, использовавшие основные идеи и решения «Аккорда», появилось множество решений по системам класса «Клиент-Банк». Мы продолжили заниматься вопросами технической защиты информации, в первую очередь, для кредитно-финансовой сферы, и по-прежнему лидируем по многим направлениям, ведь развивать собственные концепции проще, чем чужие.

По мере распространения новых технологий мы реализуем для них принцип Архимеда, делая их применение безопасным: банки начали применять терминальные системы - в линейке «Аккорд» появились комплексы «Аккорд TSE» (Terminal Server Edition); требования к защите терминальных систем расширились необходимостью применения в них криптографии (а это значит, требуется доверенная среда на терминале) - мы создали систему защищенной сетевой загрузки ОС на терминальные станции «Центр-Т» и терминальную версию ПСКЗИ ШИПКА, позволяющую выполнять все криптографические операции на терминале, не передавая ключи на сервер. Банки начали использовать виртуальные инфраструктуры - мы создали комплекс «Аккорд-В.», в котором корректно реализован правильный старт системы, несмотря на то, что старт системы виртуализации «разбросан» по совершенно разным инфраструктурным элементам. Для моноблоков, ноутбуков и серверов мы создали «Аккорд-GXMH» размером 2,5 на 2 см. По мере роста критичности проблем с защитой ДБО нами была предложена система обеспечения доверенного сеанса СОДС «МАРШ!». Для решения проблемы защищенной работы с флеш-носителями - служебные носители «Секрет». И так далее. Начало же было положено го лет назад при первой попытке приблизить банки к клиентам.

текст Светлана Конявская, ЗАО «ОКБ САПР»
Поделиться:
 

Возврат к списку