Облачная электронная подпись. Проблемы безопасности и перспективы использования

Облачная электронная подпись. Проблемы безопасности и перспективы использования
Тенденция нескольких последних лет говорит о том, что многие сервисы переходят из традиционных десктопных инстилляций в облака. Не стало исключением и электронная подпись. Однако миграция ЭП в облака воспринимается сообществом пользователей и экспертов пока еще весьма неоднозначно. Среди несомненных преимуществ новых облачных решений особняком стоят вопросы обеспечения информационной безопасности. Однако, ни технологии ни законодательство не стоят на месте, и вскоре можно ожидать нового витка развития электронной подписи с участием облачных вычислений
свежего исследования «Облачные услуги в корпоративном секторе, Россия 2017». от компаний SAP и Forrester, облачные технологии в России будет расти быстрее, чем весь ИТ рынок взятый в целом: так при среднегодовом темпе в 21% рынок облаков вырастет в 3 раза по сравнению с показателями 2015 года.  В докладе сообщается, что крупный бизнес в настоящее время максимально готов к использованию облачных услуг: в этом сегменте свыше 90% опрошенных знают про облачные услуги, в малом бизнесе – свыше 70%. В крупном бизнесе 54,5% опрошенных пользуется одновременно облачными услугами из двух и более категорий, в среднем бизнесе – 50%, в малом – 43%.
А согласно «взорвет и перевернет рынок». Идея все та же, создать ЭП не требующую использования токена (носителя на флешке). Об этом рассказал директор по электронному правительству в «Ростелекоме» Михаил Бондаренко. «У меня есть данные от коллег с Лубянки о том что до конца года должно выйти некое решение, которое позволит делать доверенные ЭЦП облачными, — сказал он, не приведя каких-либо подробностей, но противопоставляя это решение распространенным сегодня электронным подписям на токенах. — На наш взгляд это взорвет и перевернет рынок доверенной авторизации и идентификации», — добавил он.  Но есть нюанс, по мимо использования «облаков» предполагается еще и задействовать биометрию, т.е. индивидуальные биометрические характеристики каждого человека как параметры для его уникальной аутентификации.

Как сообщает тот же источник со слов Бондаренко - «Предполагается, что «Ростелеком» станет оператором этой платформы и два года будет проводить пилотный эксперимент с банками, в точение этого времени услуги по биометрической идентификации будут предоставляться им бесплатно», отметив, что в уже стартовавшем пилоте участвует порядка десяти банков, включая Сбербанк, ВТБ и Газпромбанк.

При этом закончить создание платформы оператор намерен до конца 2017 г. К тому же только с 1 января 2018 г. предположительно вступят в силу поправки в 115 федеральный закон, разрешающие использовать биометрическую идентификацию в финансовом секторе — для открытия-закрытия счетов, размещения и снятия вкладов, переводов и т. д. Таким образом, по словам топ-менеджера, уже рассматривается идея создания на базе национальной биометрической платформы «национального банка идентификации и авторизации» жителей России.

Комментарии экспертов:
«По нашим оценкам, общее число пользователей электронной подписи в России превышает два миллиона. Технология «облачной» электронной подписи, появившаяся несколько лет назад, делает этот инструмент доступнее для бизнеса. Подтверждение этому – несколько десятков тысяч клиентов «СКБ Контур», сделавших выбор в ее пользу», рассказывает эксперт Казаков.

«Облачная» электронная подпись обладает всеми свойствами, что и обычная, только хранится не на флешке или компьютере, а в интернете – на специальном защищенном сервере, «в облаке», – рассказывает Игорь Чепкасов, основатель и президент Национального фонда развития криптова­лют.  - Там же происходит подписание и шифрование документа, потому такая ЭП не требует установки на компьютер специального ПО». Чепкасов отмечает , что одно из ключевых преимуществ «облачной» подписи – это возможность подписания документов и их отправки из любой точки мира и с любого устройства.

Антон Еликов (проект Мерката) отмечает, что электронная подпись «в облаке» – это то, чем многие из нас пользуются ежедневно, даже не замечая. «Самый яркий пример – это механизм авторизации в мобильных и интернет-банках, когда после ввода пароля вам присылают по СМС одноразовый пин-код. Такая двухуровневая авторизация по сути своей уже может быть электронной подписью», рассказывает эксперт.

Игорь Чепкасов рассказывает о возможностях использования ЭП в новых сервисах и услугах, к примеру, построенных на технологии Blockchain, а именно – умные контракты. «Децентрализация – фундаментальный принцип работы технологии – обеспечивает абсолютную защиту от компро­метации и несанкционированного доступа к любому документу и самой подписи, поскольку каждый такой элемент-блок (подпись, документ, архив и т. д.) находится в прочной цепочке пронумерованных блоков, защищенных сложнейшим криптографическим кодом», – рассказывает он. Так по мнению эксперта, внести изменения в уже введенный в обращение блок невозможно; умный контракт – это электронный алгоритм, описывающий набор условий, выполнение которых влечет за собой определенные события. «Его работа основывается на создании и применении так называемых протоколов с низким доверием, где алгоритм протокола использует только программные средства, а человеческий фактор из цепочки принятия решений максимально исключен – человек здесь выступает исключительно в роли одной из сторон, участву­ющей в реализации контракта. Например, при отправке платежей исполнение контракта невозможно без получения оговоренного в договоре числа электронных подписей», – отмечает он.

В настоящее время сертификаты ключей проверки электронной подписи (СКП) выпускаются на специальных носителях, рассказал замглавы Минкомсвязи Михаил Евраев. При этом средняя стоимость такого СКП составляет около 5 тыс. рублей. «Система облачной электронной подписи позволит создавать подпись без материального носителя, что значительно снизит стоимость ее использования и повысит безопасность применения», пояснил замминистра.

Ситуацию так же прокомментировал интернет-омбудсмен Дмитрий Мариничев, который уверен, что в технологиях ЭП произойдет настоящая революция, как это уже случилось несколько лет назад с накопителями информации. Например, еще в 90-х фильмы продавались на VHS-кассетах, в 2000-х они появились на CD, затем на DVD, и через десять лет в конце концов распространяются  на флеш-накопителях и в интернете.

Перспективы использования облачной ЭП для банковской отрасли

Электронная подпись задумывалось как универсальное средство подтверждения юридической силы совершаемых операций, и в виду этого имеет широкий спектр применения, от пользования порталом гос услуг до обеспечения электронного документооборота между организациями и государственными контролирующими органами. Для банковской отрасли ЭП физическими и юридическими лицами чаще всего используется для совершения финансовых операций через сервисы ДБО. Это включает в себя и онлайн доступ в личный кабинет посредством web-технологий и мобильный банк, т.е. управление счетом через социализированное приложение со смартфонов и планшетов.

К примеру, ЭП для физических лиц в крупнейшем федеральном банке - Сбербанке дает возможность банковской организации уменьшить оборот бумаги и увеличить скорость обслуживания посетителей. То есть во время открытия депозита вместо установки подписи на 4-х разных документах посетителю нужно будет 1 раз набрать свой ПИН (пароль к ЭП). Данный вид технологии сможет обеспечить проведение двойной клиентской идентификации с использованием паспорта и при помощи карточки с ПИН-кодом, который сможет знать лишь владелец. Благодаря этому можно также будет предотвратить вероятные факты мошенничества. Так по внутренним данным Сбербанка актуальных на 2014 год, в течении двенадцати месяцев после запуска такого сервиса, только жителями Москвы было совершено больше трёх миллионов операций с применением подписи в электронном виде.
Процедура получения соответствующего ключа электронной подписи банка России довольна проста, необходимо пройти онлайн-регистрацию на специализированном сайте «Сбер ключ». Так право на электронную подпись банк даёт любому его владельцу принимать участие в торгах и делать размещение на необходимых электронных ресурсах личные заявления.

Еще одним наглядным вариантом массового использования облачной ЭП может послужить облачный сервис E-invoicing , доступный в интернет-банке «Сбербанк Бизнес Онлайн», который стал официальным инструментом Сбербанка для электронного подписания многосторонних и двусторонних договоров между любыми юридическими лицами и индивидуальными предпринимателями (ИП) – так называемый межкорпоративный ЭДО.  Как пояснил источник , благодаря этой системе трудозатраты на обработку одного документа сокращаются с 2-3 минут до 10-15 секунд. Кроме того, отказавшись от бумажного документооборота, компания может значительно снизить расходы на канцелярские товары, аренду складских помещений, замену расходных материалов для офисного оборудования и т.п.
Проблемы безопасности облачной ЭП

Не смотря на все ощутимые плюсы от использования ЭП в облаках, данная концепция не нашла широкой поддержки у экспертов по информационной безопасности. Так, по мнению некоторых специалистов использование средств ЭП в мобильном телефоне тает в себе существенную угрозу безопасности. Не нужно быть специалистом, что бы разглядеть удручающую статистику роста числа мобильных вредоносных программ, перехватывающих СМС-сообщения пользователя, маскирующимся под официальные приложения мобильного банкинга и выполняющие другие несанкционированные действия без ведома пользователя.
В виду этого гарантировать информационную безопасность использования ЭП может только доверенная среда (изолированная), в которой пользователь и технические средства в момент взаимодействия защищены от посторонних вмешательств. Мобильный телефон такой доверенной средой назвать сложно — пользователь может устанавливать любые приложения на свое усмотрение.  Хуже ситуация, если только если операционная система устройства «рутована». Однако, выход есть – как уже описывалось ранее это использование специальной SIM-карты, интегрированной с ЭП.

При использовании сервисов ДБО злоумышленники нередко проводят атаку типа «человек в браузере », являющееся частной реализацией атаки «человек-по-середине», когда, подменяя реквизиты легального платежа, показывая пользователю правильные данные, а в банк отправляя свои, подмененные. С новой функцией безопасности такой трюк злоумышленника уже не пройдет — получив реквизиты, специальный апплет на сим-карте выведет их на экран телефона и запросит ПИН-код. Визуально проверив корректность реквизитов, пользователь для подтверждении вводит ПИН-код своей электронной подписи, подписывает их и  после отправляет обратно на шлюз, который передает информацию банку.

Сергей Груздев, генеральный директор компании-разработчика отечественных систем криптографической защиты «Аладдин Р. Д» выделяет еще один способ применения данной технологии - «Помимо аутентификации и подписания документов, разработанная система может использоваться для уведомления клиента банка об операциях с его счетом, что стало особенно актуальным в свете вступления в действие девятой статьи 163-ФЗ «О национальной платежной системе» . В отличие от самого популярного на данный момент способа — СМС-информирования, в этом случае гарантируется банковская тайна (никто не сможет прочитать уведомления, ни заразив смартфон вирусом, ни даже подменив базовую станцию), и исключена подмена сообщений злоумышленниками».
Остается другая проблема, когда например, в случае утери и умышленной кражи телефона и сохраненным ПИН-кодом в заметках или иной внутренней памяти телефона. В этом случае злоумышленник, сможет потратить все деньги как минимум с мобильного счета владельца, и, например, подписать обязывающие абонента документы, скажем, оплатить покупки в кредит на одном и популярных онлайн-магазинов. Однако, и эти риски достаточно уверенно предотвращаются примерно так же, как и с платежными и кредитными картами. Владелец счета (карты) может ограничить ежедневный объем и содержание сделок, допустимых с данной SIM-карты, так же использовать опцию отключения своей ЭП на временной период, пока он ею не пользуется.

Данный вопрос комментирует председатель правления ИРИ, Герман Клименко, утверждающий, что границы применения облачной подписи, определять использующие ее организации - «При оплате пластиковой картой в Сети пользователю приходит СМС с кодом подтверждения. Это один из способов защиты. Каждый банк сам определяет лимит суммы, которую пользователь может потратить при помощи кода подтверждения. У одного банка ограничение в 50 тысяч рублей, у другого — 100 тысяч».
Еще одно преимущество использования облачной ЭП в целях обеспечения безопасности связано с тем, что ЭП должна быть сгенерирована не в корпоративном сервере банка, а на устройстве клиента (т.е в нашем случае в «облаке») для предотвращения несанкционированного доступа третьих лиц. Как считает Владислав Понаморев, никому, в том числе и самому банку, где обслуживается клиент, не следует предоставлять техническую возможность копирования секретного ключа клиента, в противном случае он ставит себя в уязвимое положение. Генерация и хранение ЭП в месте не подконтрольном банку, т.е. в «облаке» позволит создать дополнительный слой защиты от случайной или преднамеренной компрометации закрытого ключа.

Рекомендации по безопасному использованию облачной ЭП
Хотя главная проблема безопасного использования ЭП в облаках все же пока больше опирается на техническую сторону вопроса, существует ряд организационных моментов и общих рекомендаций по эксплуатации мобильных гаджетов, способствующих улучшению уровня защищенности.

И так, вот несколько базовых рекомендаций:

1.     При использовании web-браузера в качестве интерфейса для осуществления доступа к сервису облачной ЭП обязательно отключите функции автоматического сохранения пароля и логина. По умолчанию эта опция она может быть включена во многих популярных браузерах, служит она для повышения удобства, однако в ущерб безопасности.  Конечно, даже в случае перехвата связки «логин-пароль» при многофакторной аутентификации злоумышленник не сможет войти в личный кабинет, но сам факт перехвата останется весьма неприятным.

2.     Конечно же не забывайте про антивирусное ПО, которое должно быть уставлено на каждой информационной системе, с которой выполняются какие-либо финансовые операции. Это одно и основных требований всех лучших практик и стандартов по информационной безопасности – PCI DSS, СТО БР ИББС, П-382 и т.д.  По мимо стандартного функционала защиты компьютера от вирусов, во многие современные антивирусные продукты встроены дополнительные фичи безопасности, как то модули анти-фишинга, контроля целостности настроек браузера, проверка защищенных соединений. Отдельно можно сказать о возможности вводить пароль используя виртуальную клавиатуру, которая появляется на странице авторизации к облачному сервису. Это обеспечивает защиту от кейлоггеров и троянов – программ, записывающих и отправляющих злоумышленнику данные введенные пользователям с клавиатуры.

3.     Убедитесь в том, что на страничке авторизации к облачному сервису используется защищенный протоколHTTPS, обеспечивающий шифрованную передачу данных от пользователя к серверу. Так же обращайте внимание на сертификат сайта, подтверждающий его легитимность, как правило это выглядит в виде небольшой иконки с изображением зеленого замочка рядом с URL-адресом открытой страницы, щелкнув по которому можно получить дополнительную информацию.

4.     При использовании смартфонов как средства доступа будьте уверены в том, что вы не используете «рутованную» версию прошивки Android или установленный Jailbreak для гаджетов от Apple. Модифицированные и не поддерживаемые официальном производителем прошивки для смартфонов могут содержать в себе закладки или недокументированные возможности, которые злоумышленник при определённых условиях с успехом сможет использовать. Не устанавливайте приложения из посторонних источников, а по возможности вообще минимизируйте список софта, который у вас будет установлен на телефоне.

5.     Ну и конечно же не при каких обстоятельствах никогда не сообщайте посторонним лицам, в том числе работникам банка или службе поддержке, никаких кодов, смс-сообщений, парольных и контрольных фраз. Все действия, предусмотренные услугой (сервисом), которые вы можете делать должны выполнять только лично вами без каких-либо посредников. Исключение составляет только первичная идентификация вас как клиента, к примеру по паспортным данным и ключевой фразе.
электронная подпись ЭП крипто шифрование документ ЭДО облака вычисления сервис удаленный доступ eIDAS
Alt text

Иван Пискунов

Персональный блог Ивана Пискунова о безопасности, реверс инжениринге и ИТ-менеджменте. Аналитика, новости, обзоры, события