Технология защиты распределённой сети банкоматов

Распределённая по регионам сеть банкоматов, как правило, представляет собой самый уязвимый элемент в структуре крупного банка с точки зрения защиты информации. Поскольку банкоматы размещаются не только в густонаселенных городах, где достаточно различных средств для выхода в сеть, подключение их к центральному офису часто производится посредством альтернативных методов связи, таких как спутниковая, модемная, Wi-Fi. Применение подобных беспроводных каналов оставляет широкое поле для действий злоумышленника.


Стандартная схема подключения банкоматов
Стандартная схема подключения банкоматов
Как в этом случае избежать несанкционированного проникновения? Поскольку между банкоматом и центральным офисом непрерывно осуществляются транзакции, во время которых передается конфиденциальная информация (номер кредитной карточки, код, сумма денег на счету), в первую очередь необходимо обеспечить защиту самого канала. За это отвечают устройства, поддерживающие различные типы связи и реализующие требования Национального банка Украины, в том числе применение определенного протокола шифрования и соблюдение условий по формированию пакетов.

Кроме того, средства защиты требуются и для вычислительного модуля банкомата. Решение может быть реализовано как программно, так и в виде дополнительного физического устройства (аппаратный брандмауэр).

Ещё два года назад программные решения для обеспечения безопасности доминировали в этой области защиты благодаря своей простоте и относительно низкой стоимости. Однако время показало, что взломать систему, построенную исключительно при помощи программных средств, для злоумышленника не составляет большого труда.

Вычислительной мощности обрабатывающих модулей, установленных в большинстве банкоматов, недостаточно для эффективного шифрования данных; в них практически отсутствуют инструменты для мониторинга и управления системой. Повысить уровень безопасности можно лишь при условии устранения этих недочетов, но реализовывать это на программном уровне нецелесообразно. Таким образом, около двух лет назад в целом ряде отечественных банков назрела потребность в выработке принципиального подхода к защите сетей банкоматов.

Основа системы

Фундаментом подобной системы должны стать недорогие специализированные устройства, которые взяли бы функции защиты на себя — к такому выводу пришли специалисты компании «RRC EN Украина». Устройства должны отвечать за распространение политики безопасности из центрального офиса на банкоматы. Например, в случае выхода обновления для программного обеспечения, требуется синхронно установить его на всех банкоматах. При возникновении нового типа угрозы необходимо изменять настройки всех устройств в соответствии с новыми политиками безопасности. Чтобы обеспечить одновременный доступ и конфигурирование устройств, необходимо наличие в центральном офисе специального сервера, чья функция заключалась бы в управлении подобными действиями. Таким образом, решение задачи сводится к двум основным составляющим: конечное устройство (банкомат) и программное или аппаратное обеспечение в центральном офисе.


Схема подключения банкоматов через VPN-туннель
Схема подключения банкоматов через VPN-туннель
Согласно общей методологии защиты сетей банкоматов, в разработке которой принимали участие специалисты «RRC EN Украина», безопасность связи обеспечивается путём использования VPN-туннелей, организованных между центральным офисом и специализированным устройством в банкомате.

VPN-туннель поддерживает два типа шифрования: IPSec и SSL. Выбор метода шифрования часто зависит от того, решения какого вендора будут применяться. Наиболее популярны сегодня решения от Check Point. В комплекс входит лицензия для программ, которые устанавливаются на сервер в центральном офисе, и брандмауэры Check Point Edge, которыми оснащаются все банкоматы в сети. Решение Check Point полностью ориентировано на защиту сетей банкоматов: при подключении банкоматов с помощью альтернативных методов связи внедрение будет отличаться лишь конечными настройками.

При описанном способе защиты могут применяться также продукты Cisco Systems и Ranch Networks.

Построение защиты

Основой построения системы по предложенной методологии является установка в центральном офисе сервера для управления и мониторинга, на котором производятся базовые настройки. Для защиты от сбоев в центральном офисе устанавливается несколько идентичных серверов с программным обеспечением. Они работают в режиме балансировки нагрузки, при этом между ними непрерывно происходит синхронизация состояния и данных. Такой кластер шлюзов состоит минимум из двух серверов, и в случае отказа первого устройства второе автоматически возьмет нагрузку на себя незаметно для пользователей.

 Строго говоря, принципиальных отличий между реализацией определённых функций на аппаратном уровне и их эмулированием на сервере нет. Однако, выбирая аппаратные инструменты, не стоит забывать о том, что производительность каждого конкретного устройства фиксированна. В то же время ПО в случае необходимости можно обновлять. А стоимость обновления ПО всегда ниже покупки нового оборудования.

После того как сервер с центральным шлюзом развернут, необходимо установить брандмауэры во всех филиалах. Специалист подключает устройство в сетевой порт компьютера, который находится в банкомате, и осуществляет необходимые настройки. Этот процесс занимает несколько часов. Зато по завершении такой процедуры никакого физического вмешательства в банкомат (за исключением профилактических проверок, проводящихся раз в несколько лет) не требуется. Всё управление осуществляется из центрального офиса с помощью единой консоли управления. Установкой устройств в банкоматы может заниматься компания-интегратор, подрядчик или сам банк, если у него достаточно ресурсов для выполнения такой задачи. Приобретение, установка и поддержка одного подобного устройства обойдутся банку в 300—400 долл.

Поддержка со стороны вендора предполагает лицензию, гарантирующую обновление программного обеспечения, сервисную поддержку в течение одного года и возможность создавать так называемые «тикеты» для решения возникших проблем. Если банк сталкивается с проблемой, которую он не в состоянии решить своими силами, он обращается к партнеру, а если и партнер не находит решения, вопрос переходит к поставщику и лишь затем — к вендору. Таким образом, в вопросах поддержки участвуют три звена.

Применимость

Применение данного метода защиты целесообразно в случае, когда количество банкоматов составляет сотню и более. Основные затраты приходятся на ПО, которое будет обеспечивать управление. Кроме того, такое решение требует определённой квалификации персонала. Однако в целом, в том числе по соотношению цена/качество, предложенная компанией «RRC EN Украина» методология построения сети защиты банкоматов подходит практически любому украинскому банку.

Основное преимущество метода заключается в том, что по сравнению с применяемыми ранее программными решениями он даёт значительно больше гарантий безопасности. Решение, построенное по описанной методологии, легко масштабируется до 1000 устройств и позволяет банку развиваться в течение нескольких лет. Если количество банкоматов резко увеличивается, можно дополнительно установить еще один сервер, при этом не требуется приобретать новую лицензию на ПО.

Данная методология может быть распространена на любую филиальную структуру с централизованным управлением. Таким образом, решение окажется полезным не только банкам, но и тем компаниям, которые хотят защитить передачу своих данных по сети, однако не обладают достаточными ресурсами для обслуживания системы безопасности в каждом из офисов.