Криптошлюз что это такое

Опыт внедрения криптошлюзов ViPNet в ЕРИС

Коротко о ЕРИС

ЕРИС (Единый Радиологический Информационный Сервис) представляет собой информационную систему, объединяющую высокотехнологичную медицинскую технику, рабочие места рентгенологов и единый архив диагностических изображений. В настоящее время ЕРИС объединяет магнитно-резонансные, цифровые аппараты классического рентгена, аппараты для проведения флюорографии и компьютерные томографы в 64 поликлиниках города Москвы, включая амбулаторные учреждения Зеленограда.

Основные задачи ЕРИС — повысить эффективность лучевой диагностики в Москве, создать единую сеть, объединяющую диагностическую аппаратуру, обеспечить современную и надежную систему хранения получаемых в результате исследований изображений, описаний и заключений.

Необходимость применения криптошлюзов

Так как в информационной системе ЕРИС обрабатываются персональные данные пациентов, то необходимо выполнять требования ФЗ-152 «О персональных данных» и подзаконных актов, связанных с этим законом. Одним из требований по защите персональных данных является организация защищенных каналов связи с помощью средств криптографической защиты информации (СКЗИ). В соответствии с этим требованием мы приступили к проектированию системы защиты персональных данных в целом и СКЗИ в частности.

Критерии выбора, схема тестирования, пилот, финальный выбор

Нашей компании Элефус Заказчик в лице компании Лаваль выдвинул ряд требований, которым должны были соответствовать СКЗИ, среди них основные:

задержки в канале (это был самый важный критерий, потому что медицинский персонал с помощью клиентского приложения на рабочем месте подключается к серверной части в ЦОДе, и задержки в канале сильно влияют на производительность системы и скорость работы с пациентом);
наличие сертификата ФСБ России на криптосредства (требование нормативных документов, касающихся защиты персональных данных (Приказ ФСБ №378 от 10 июля 2014 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»));
масштабируемость решения (предполагается расширение системы на дополнительные объекты, поэтому мы изначально должны были заложить оборудование с запасом и возможность масштабирования как горизонтального, так и вертикального);
отказоустойчивость (если вы были в московских поликлиниках, то прекрасно знаете, что очередь в радиологические кабинеты всегда присутствует, поэтому немаловажным фактором было обеспечение отказоустойчивости решения);
достаточная производительность (в радиологические кабинеты необходимо было установить оборудование небольшой производительности, но достаточное, чтобы обеспечить хороший канал связи до ЦОД, нашим ориентиром была полоса пропускания в 20 мб/с);
мониторинг (так как инфраструктура распределена по всей Москве, необходимо обеспечить постоянный мониторинг оборудования и отслеживать нагрузки на сеть);
простота обслуживания (выезд на объекты осуществляют инженеры широкого профиля, которые, не обладая глубокими познаниями в ViPNet (потому что это не является их основной задачей), должны решить проблему на месте по инструкции).

Тестировались четыре продукта:

ViPNet Coordinator;
АПКШ «Континент»;
КриптоПро IPsec;
МагПро КриптоПакет исполнение «OpenVPN-ГОСТ»

Мы выбрали самые популярные и хорошо себя зарекомендовывавшие программно-аппаратные решения (Континент и ViPNet) и чисто программные решения (КриптоПро и МагПро). Не предполагалась установка дополнительного ПО на компьютеры радиологического кабинета, потому что зачастую для взаимодействия с радиологическим оборудованием требуются очень специфические и старые версии операционных систем и специального программного обеспечения. Поэтому защиту канала связи необходимо было разместить на пограничном сетевом оборудовании. Рассматривались две схемы установки СКЗИ: установка на периметре программно-аппаратного оборудования (Континент и ViPNet), либо установка компьютера, выступающего шлюзом для радиологического кабинета, на который будет установлено СКЗИ (КриптоПро и МагПро). С точки зрения затрат, эти варианты оказались сопоставимы, так что изначально ПАКи были предпочтительнее, потому что более просты в обслуживании.

Схема тестирования была следующая:

Рисунок 1 — Схема тестирования

В ходе тестирования передавались снимки трех типов: КТ, ММГ, ПЭТКТ (они отличаются размерами файлов, частотой взаимодействия клиент-сервер), различные варианты снимков позволили смоделировать различные типы нагрузок на криптошлюзы. Замеры задержек и скорость в канале производились программами WinMTR и iperf3.

По результатам тестирования Континент и ViPNet оказались в лидерах, их результаты были сопоставимы, КриптоПро отставал незначительно, а МагПро сильно влиял как на скорость, так и на задержки в канале.

Дальше после взаимодействия с вендорами Заказчиком было принято финальное решение в пользу ViPNet. Оставим финальный выбор за скобками данной статьи, с технической точки зрения Континент и ViPNet практически одинаковые.

ИнфоТеКС (производитель ViPNet) предоставил для пилотного тестирования следующее оборудование:

HW50 – 2 шт. для радиологических кабинетов
HW1000 – 1 шт. для ЦОД

Оборудование тестировалось месяц в боевых условиях. Испытания показали, что наши расчеты оказались верными, а тесты достаточно точными. Оборудование работало в штатном режиме, не оказывая существенных ограничений на работу медицинских работников. В итоге в финальной спецификации оказалось как раз это оборудование, HW50 устанавливался в радиологические кабинеты, кластер из двух криптошлюзов HW1000 обновленной модели с увеличенной пропускной способностью – в ЦОД).

Как внедряли? Схема, сложности, преднастройка

К внедрению нам необходимо было подойти с особой тщательностью. Как я говорил выше, медицинские работники радиологических кабинетов постоянно загружены, поэтому на внедрение СКЗИ на объекте нам отводилось 15 минут. Внедрение мы проводили совместно с инженерами Лаваль, которые хорошо знали местное оборудование.

Внедрение состояло из следующих этапов:

Преднастройка (оборудование было преднастроено нашими инженерами (выпуск и установка dst-на ПАК, настройка сетевых интерфейсов, настройка snmp-агента, заведение ПАК в ViPNet Administrator);
Установка криптошлюзов в ЦОД (настройка альтернативного канала для того, чтобы не прерывать работы ЕРИС);
Установка криптошлюзов в поликлиники (в 15минутный интервал инженеру необходимо было переткнуть оборудование и убедиться, что туннель в ЦОД поднят. Естественно, в идеальных случаях все происходило за минуты, но всегда есть какое-то время на то, чтобы скорректировать возникающие проблемы. В целом, 15-ти минут хватает на то, чтобы выполнить работы);
Подключение криптошлюзов к системе мониторинга (на этом этапе выявили баг системы, о котором сообщили вендору, периодически snmp агент самопроизвольно отваливался, его приходится перезапускать. Так как мы знаем, что ViPNet работает на базе ОС Linux (Debian), мы написали скрипт, который автоматически перезапускал процесс. В новой версии ИнфоТеКС исправил этот момент).

Мониторинг. Нагрузка на процессор, оперативную память, сеть

Дальше мы покажем скриншоты из системы мониторинга, где можно посмотреть нагрузки на оборудование отдельно за полгода и отдельно за один рабочий день (ЦП, ОЗУ, сеть). Названия сетевых устройств скрыты, с точки зрения смысловой нагрузки это ни на что не влияет.

Нагрузка на ЦП

Рисунок 2 — Загрузка ЦП за полгода HW1000

Рисунок 3 — Загрузка ЦП за 1 день HW1000

Рисунок 4 — Загрузка ЦП за полгода HW50

Рисунок 5 — Загрузка ЦП за 1 день HW50

Нагрузка на оперативную память

Рисунок 6 — Загрузка ОЗУ за полгода HW1000

Рисунок 7 — Загрузка ОЗУ за 1 день HW1000

Рисунок 8 — Загрузка ОЗУ за полгода HW50

Рисунок 9 — Загрузка ОЗУ за 1день HW50

Нагрузки на сеть

Рисунок 10 — Загрузка сеть за полгода HW1000

Рисунок 11 — Загрузка сеть за 1 день HW1000

Рисунок 12 — Загрузка сеть за полгода HW50

Рисунок 13 — Загрузка сеть за 1 день HW50

(Российские криптошлюзы)++

Про сертифицированные ФСТЭК межсетевые экраны (МЭ) писал уже много раз (полный список обзоров доступен на отдельной странице ). Теперь же появился повод Pвзглянуть на этот класс решений под немного иным углом — с точки зрения применения в них криптографии.

Традиция добавлять к межсетевому экрану (FW) функциональность VPN-сервера зародилась довольно давно и является настолько удачной и логичной (некоторые так и пишут — FW/VPN), что найти периметровый (шлюзовой) межсетевой экран (особенно в аппаратном исполнении) без поддержки VPN не так и просто. Возможно, что они есть, но мне такие что-то сходу не припоминаются. Поправьте в комментариях, если ошибаюсь.

Естественно, что при построении VPN (виртуальных частных сетей) хочется получить канал действительно надёжно защищённый, что предполагает использование сильной криптографии (high encryption). А в России, как известно, область сильной криптографии не менее сильно регулируется, ведь VPN-сервер по сути своей является ни чем иным, как криптошлюзом.

Можно утверждать, что сертифицированный в соответствии с российским законодательством VPN-сервер обязательно должен иметь поддержку алгоритма ГОСТ и сертификат ФСБ, коль скоро именно данное ведомство курирует у нас вопросы шифрования.

Даже при сертификации во ФСТЭК в качестве межсетевого экрана в продуктах класса FW/VPN рекомендуется отключать сильную криптографию, оставляя только алгоритм DES с длиной ключа 56 бит. Другое дело, что не все это делают, а если и делают, то, как вариант, могут продать (подарить) ключ активации сильной криптографии, отправив его просто по электронной почте. Впрочем, сейчас не об этом.

Сертификация в ФСБ имеет, конечно, что-то схожее с аналогичной процедурой во ФСТЭК, но она точно гораздо сложнее — косвенно это можно оценить, например, по тому факту, что в реестре сертифицированных средств ФСТЭК значитсяPболее 2000 позиций, а в аналогичном Перечне от ФСБ – в пять раз меньше.

Сам перечень средств, сертифицированных ФСБ, конечно, не радует в плане своего оформления, представляя собой таблицу, вставленную в doc-документ. Попытка скопировать эту таблицу в Excel не сильно помогает — некоторые ячейки получаются произвольно-хаотично объединены странными группами, а некоторые (например, изготовитель, название продукта и его описание) наоборот разбиты на произвольное число строк от 2 до 6, даты начала и окончания действия сертификата расположены в соседних по вертикали(!) ячейках и т.д. Наверное, работать можно привыкнуть и с таким представлением информации, но для своего удобства я сделал Перечень в более приятном глазу и автоматическому фильтру Excel виде (доступен по этой ссылке: Перечень средств защиты информации, сертифицированных ФСБ России ).

Читать еще: Сетелем коллекторское агентство

Однако, если с формой ещё можно что-то сделать, то разобраться в содержании под силу только глубоко разбирающемуся в теме специалисту. Какой-либо классификации продуктов особо не предусмотрено, да ещё и каждый разработчик называет изделие по своему усмотрению. Немного спасают более-менее сходные описания выполняемых функций, но разобраться в них удалось не сразу.

После вдумчивого изучения представленных в Перечне продуктов пришёл к (надеюсь, оправдавшему себя) предположению, что интересующие нас сегодня криптошлюзы — это те изделия, в описании функций которых упоминается протокол IP и криптографическая защита. Таких сертификатов оказалось целых 80, но реально продуктов гораздо меньше, так как присутствуют отдельные сертификаты на разные версии продуктов или даже их модули, а в некоторых случаях на каждое исполнение выписан отдельный сертификат с отдельным номером.

Итак, отфильтровав строки в Excel, давайте посмотрим, чем же нам можно пользоваться для шифрования IP-трафика.

Из уже встречавшихся в обзорах сертифицированных ФСТЭК межсетевых экранов имеют сертификаты ФСБ такие продукты:

ViPNet (разработчик ИнфоТеКС)
Континент (разработчик Информзащита, Код Безопасности)
CSP VPN (разработчик С-Терра СиЭсПи)
ЗАСТАВА (разработчик ЭЛВИС-ПЛЮС)
StoneGate SSL VPN (разработчик Новые технологии безопасности)
DioNIS (разработчик Фактор-ТС)
АТЛИКС-VPN (разработчик НТЦ Атлас)
Туннель (разработчик АМИКОН, ИнфоКрипт -P ПАК на основе ФПСУ-IP)

Дополнительно присутствуют два узкоспециальных изделия и два (если я правильно понял) криптографических провайдера:

МодульPHSM (разработчик НТЦ Атлас, описание )
М-448-1.4P(разработчик ГУ спецпрограмм Президента РФ, РЦЗИ ФОРТ, описание )
Барьер IPSec (разработчик Валидата)
КриптоПро CSP/IPSec (разработчикP КРИПТО-ПРО)

Как видно, число межсетевых экранов, сертифицированных не только во ФСТЭК, но и в ФСБ крайне мало — фактически можно говорить лишь о семи игроках. Такое малое количество вендоров позволяет сильным — чувствовать себя в относительной безопасности, а остальным — достаточно комфортно находится в своей узкой нише. Любое изменение устоявшегося равновесия не на руку никому из них, ну, лидерам рынка так уж точно.

Второе наблюдение, которое можно сделать — почти все продукты изначально российского производства. Да, компания-разработчик сертифицированного ФСБ СКЗИ может быть только российским юридическим лицом, но и сами продукты в большинстве своём представляют собой отечественные продукты, положа руку на сердце, разрабатываемые исключительно для выполнения требований регуляторов. Каких-либо серьёзных успехов за пределами России (кроме, понятно, сопредельных дружеских государств) никто из представленных отечественных вендоров со своими разработками пока не добился.

Ситуация серьёзно изменилась в прошлом году, когда произошло знаковоеP(но, быть может, тогда ещё не такое значительное) событие: доработанный до требований российских реалий продукт StoneGate SSL был сертифицирован ФСБ . Изначально разрабатываемый для открытого коммерческого мирового рынка продукт получил сертификат ФСБ — есть ли в Перечне ещё такие примеры?

Но, всё же, это был не классический IPSec криптошлюз, а SSL-решение со всеми вытекающими нюансами, к которым рынку ещё нужно было привыкнуть. Примерно в то же время, что и для StoneGate SSL, была анонсирована сертификация StoneGate FW/VPN.

Мы можем догадываться и предполагать, с какими трудностями пришлось столкнуться команде, занимавшейся этой сертификации, но все они были успешно преодолены и в октябре StoneGate FW/VPN получил сертификат ФСБ СФ/124-2027 от 04.10.2013 (пока в Перечне от 07.10.2013 почему-то отсутствует). Вот теперь уже можно говорить, что на рынке криптошлюзов появилась прямая угроза для действующих игроков. При этом, если вспомнить, что StoneGate — это коммерчески успешный в мире продукт, настолько успешный, что компания Stonesoft даже стала лакомым кусочком для McAfee Pи своим продуктовым портфелем расширила линейку решений данного вендора, то становится ясно — угроза эта более, чем просто немного опасная.

Понятно, что этот рынок достаточно инертен и не стоит ждать резких изменений уже завтра. В конце концов, есть выстроенные каналы сбыта, определённая инсталляционная база, которую вот так единоразово не обновишь, да и какие-то личные человеческие отношения и договорённости, как это водится, наверняка, имеют место быть. Вместе с тем, событие это, без сомнения, важное для всего рынка и теперь у российских заказчиков и интераторов, реализующих проекты, есть отличная альтернатива привычному прежнему набору сертифицированных решений для построения шифрованных каналов передачи данных с использованием российской криптографии.

(Российские криптошлюзы)++

Итак, отфильтровав строки в Excel, давайте посмотрим, чем же нам можно пользоваться для шифрования IP-трафика.

ViPNet (разработчик ИнфоТеКС)
Континент (разработчик Информзащита, Код Безопасности)
CSP VPN (разработчик С-Терра СиЭсПи)
ЗАСТАВА (разработчик ЭЛВИС-ПЛЮС)
StoneGate SSL VPN (разработчик Новые технологии безопасности)
DioNIS (разработчик Фактор-ТС)
АТЛИКС-VPN (разработчик НТЦ Атлас)
Туннель (разработчик АМИКОН, ИнфоКрипт -P ПАК на основе ФПСУ-IP)

МодульPHSM (разработчик НТЦ Атлас, описание )
М-448-1.4P(разработчик ГУ спецпрограмм Президента РФ, РЦЗИ ФОРТ, описание )
Барьер IPSec (разработчик Валидата)
КриптоПро CSP/IPSec (разработчикP КРИПТО-ПРО)

Читать еще: Как на ВебМани перевести деньги на ВебМани

Российские криптографические шлюзы

АНДРЕЙ БИРЮКОВ, ведущий эксперт по информационной безопасности, abiryukov@samag.ru

Российские криптографические шлюзы

Виртуальные частные сети являются необходимым элементом инфраструктуры любой географически распределенной компании. Поговорим о том, какие решения предлагают российские разработчики

Проблема перехвата передаваемой по сети информации существует практически с момента создания сети Интернет. Перехватить и просмотреть передаваемые по сети пакеты можно с помощью штатных средств практически любой операционной системы семейства *nix. Да и в Windows для перехвата достаточно установить бесплатную программу Wireshark. Такая уязвимость к перехватам обусловлена самой архитектурой сети Ethernet и стека протоколов TCP/IP.

Дело в том, что изначально в стеке весь трафик передавался в открытом виде, шифрование не было предусмотрено. А кроме того, использовавшиеся долгие годы в сетях Ethernet концентраторы позволяли «видеть» весь трафик других узлов, подключенных к этому же концентратору. Замена концентраторов на коммутаторы ненамного улучшила ситуацию, так как многие коммутаторы из-за некорректной настройки уязвимы к различным атакам, позволяющим прослушать трафик других пользователей, подключенных к этому же устройству.

И хотя в последнее время ситуация стала несколько улучшаться благодаря массовому внедрению прикладных протоколов со встроенным шифрованием (HTTPS, SSH и других), в целом проблема перехвата передаваемого по сети трафика остается по-прежнему актуальной.

В локальных сетях для борьбы с прослушиванием трафика, как правило, используются грамотная сегментация сети, использование сетевых средств защиты, а также организационные меры, такие как лишение пользователей прав, необходимых для установки стороннего программного обеспечения и перевода сетевой карты в смешанный режим, нужный для прослушивания трафика.

При передаче трафика через интернет единственным эффективным средством защиты от перехвата трафика является использование виртуальных частных сетей (VPN), в которых применяется шифрование. При этом могут использоваться различные алгоритмы шифрования (DES, 3DES, AES и другие).

В России «законодателем мод» в области информационной безопасности традиционно являются регуляторы ФСТЭК и ФСБ. Федеральный закон № 152 «О персональных данных» и его поднормативные акты обязывают при передаче персональных данных через незащищенные каналы связи использовать сертифицированные криптографические средства защиты.

Сертификацией средств криптографичеcкой защиты в России занимается Федеральная служба безопасности. Для получения сертификата необходимо выполнение ряда требований, однако, пожалуй, основным является использование алгоритма криптографического преобразования ГОСТ 28147-89.

В России на сегодняшний день существует несколько разработчиков средств криптографической защиты каналов связи. В своей статье я рассмотрю продукцию трех наиболее распространенных российских вендоров: «Кода Безопасности», «Инфотекса» и «С-Терры».

Статью целиком читайте в журнале «Системный администратор», №10 за 2017 г. на страницах 34-38.

PDF-версию данного номера можно приобрести в нашем магазине.

Интерфейс управления криптошлюзом Ideco МагПро

Внимание! Поставка данного продукта временно приостановлена. Новая версия криптографического ПО будет доступна позже.

Всем пользователям Ideco ICS доступна возможность применения Программно-аппаратного комплекса “Ideco МагПро ГОСТ-VPN” на базе сертифицированного СКЗИ “МагПро КриптоПакет” для построения безопасных каналов связи между филиалами корпоративной сети и передачи персональных данных.

Решение функционирует на уровне отдельного программно-аппаратного устройства “Ideco МагПро ГОСТ-VPN”, выполненного на базе СКЗИ “МагПро КриптоПакет”, которое работает под управлением операционной системы Debian.

Настройка «Ideco МагПро ГОСТ-VPN» может быть в полной мере осуществлена через веб-интерфейс Ideco ICS, что позволяет внедрить решение в кратчайшие сроки и с минимальными усилиями.

Программно-аппаратный комплекс “Ideco МагПро ГОСТ-VPN” это комплект из двух и более программно-аппаратных устройств, которые могут администрироваться через интерфейс интернет-шлюза Ideco ICS.

Преимущества Ideco МагПро

Простота внедрения и поддержки – удобный графический интерфейс делает непростой процесс настройки криптографической защиты понятным и быстрым.
Соответствие нормативным требованиям – средство криптографической защиты информации «МагПро Криптопакет», лежащее в основе продукта, соответствует ГОСТ 28147-89, ГОСТ Р 34.10 2001, ГОСТ Р 34.10-94 и требованиям ФСБ России к СКЗИ по классам КС1 и КС2. Сертификат ФСБ N СФ/124-2767 от 05 февраля 2016г.
Высокая масштабируемость – в любой момент времени и в короткие сроки вы можете осуществить подключение дополнительного удаленного офиса. Не требуется приобретение дополнительных пользовательских лицензий.
Прозрачность для пользователей – защищенный VPN-туннель создаётся и функционирует абсолютно прозрачно для конечных пользователей.

Условия поставки

В комплект поставки входят:

аппаратные комплексы “Ideco МагПро” (по количеству приобретенных, минимум 2);
USB-накопители с программным обеспечением “Ideco МагПро ГОСТ-VPN” (по количеству приобретенных, минимум 2);
2 формуляра: на “МагПро OpenVPN-ГОСТ” и на СКЗИ “МагПро Криптопакет”.

Интерфейс управления криптошлюзами Ideco МагПро ГОСТ-VPN доступен пользователям версии Ideco ICS 5.3 и старше.

Поставка программных продуктов для криптографической защиты соединения в комплектации, установленной нормативными требованиями, выполняется со стороны производителя СКЗИ – компанией «Криптоком».

На уровне Интернет-шлюза Ideco ICS встраивания криптографического ПО и криптографических вычислений не происходит. Все программные компоненты СКЗИ «МагПро КриптоПакет» базируются на отдельном аппаратном сервере, под управлением собственной встроенной ОС.

Рубрика: Безопасность / Сделано в России

Лицензия	Аппаратный сервер
Лицензия А1 (до 30 Мбит/сек)	Atom D510/1Gb/GigEth
Лицензия А3 (до 60 Мбит/сек)	Intel Celeron Dual-Core E3400 2.60/SATA 250GB/1Gb/GigEth/DVD/mATX
Лицензия А9 (до 90 Мбит/сек)	Intel G860 Dual-core 3.00GHz,3MB/SATA 250Gb/4Gb/2xGigEth/DVD

Стоимость

Итоговая стоимость зависит от количества соединяемых офисов (минимум 2) и скорости передачи данных.

Количество офисов	Лицензия А1 (до 30 Мбит/сек)	Лицензия А3 (до 60 Мбит/сек)	Лицензия А9 (до 90 Мбит/сек)
2	Запросить предложение	Запросить предложение	Запросить предложение
3	Запросить предложение	Запросить предложение	Запросить предложение
4	Запросить предложение	Запросить предложение	Запросить предложение
5	Запросить предложение	Запросить предложение	Запросить предложение
Более 5	Запросить предложение	Запросить предложение	Запросить предложение

Сценарии применения

Необходимость применения сертифицированных средств криптографической защиты возникает в следующих случаях:

защита персональных данных в организации;
защита информации конфиденциального характера, подлежащей защите в соответствии с законодательство РФ – к примеру, если речь идет о коммерческой или профессиональной тайне, сведений о застрахованных лицах и т.д.;
защита информации в органах исполнительной власти РФ;
защита информации в коммерческих организациях при выполнении ими заказов на поставку товаров или оказание услуг в рамках государственной деятельности;
защита информации, обладателем которой являются государственные органы или организации, выполняющие государственные заказы.

Архитектура

В головном офисе программно-аппаратный комплекс Ideco МагПро ГОСТ-VPN подключается к выделенному сетевому интерфейсу интернет-шлюза Ideco ICS и настраивается в режиме сервера.

В дочерних подразделениях комплекс настраивается в режиме клиента. Между сервером и клиентами создаются VPN-туннели, по которым передается трафик, зашифрованный с применением криптографических алгоритмов, соответствующих ГОСТ.

Криптошлюз fin-TrusT

Курс повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры по программе, согласованной с ФСТЭК России

Довольно быстро исчезли сомнения в том, что финансовые организации в большинстве своем попадают в зону действия нормативной базы, касающейся критических информационных инфраструктур. Краткий обзор, который может служить своего рода путеводителем по наиболее важным документам в этой области, можно прочитать здесь.

В подавляющем большинстве КИИ, не только финансовых организаций, непременной частью системы защиты сетевого взаимодействия являются средства криптографической защиты информации (СКЗИ), поскольку объекты КИИ в основном взаимодействуют по сетям общего доступа, причем с использованием стандартных цифровых каналов типа WiFi, BlueTooth и LTE. Изменение порядка взаимодействия с построением выделенных защищенных каналов не всегда возможно в принципе, а когда и возможно – то влечет за собой весьма продолжительные и дорогостоящие работы, несопоставимые с внедрением СКЗИ (откровенно говоря, даже не смешно представить себе такую постановку задачи для стоящего «в чистом поле» банкомата). Со стороны СКЗИ же, в свою очередь, предъявляются требования к СФК, условиям хранения и применения ключей и т. п., об этом уже говорилось не мало.

Применение СКЗИ высоких классов явно предписано нормативными методическими документами финансовой сферы: согласно Положению Банка России № 683-П, системно значимые кредитные организации, а также кредитные организации, значимые на рынке платежных услуг должны реализовывать усиленный уровень защиты информации[1] по ГОСТ Р 57580.1-2017[2]. В данном ГОСТе для усиленного уровня защиты информации предписывается использование СКЗИ, имеющих класс не ниже КС2. Эти требования в первую очередь касаются именно контуров банковской инфраструктуры, предназначенных для работы банкоматов.

В банкомате все устроено на первый взгляд довольно просто. В его составе есть диспенсер (в нем лежат деньги и из него деньги выдаются), компьютер и периферийное оборудование. Компьютер взаимодействует с процессинговым центром (например, по IP-протоколу), и USB-кабелями соединен с диспенсером и другим периферийным оборудованием.

Подробнее про банкоматы

При работе с банкоматом с пластиковой карты считывается ее номер, с клавиатуры – PIN, все это передается в процессинговый центр, где и выполняется авторизация. Если все в порядке – проверяется запрашиваемая сумма. Затем компьютером банкомата формируется команда на выдачу денег, которая передается в диспенсер. Из защитных механизмов здесь используется только один – диспенсер размещен в сейфе.

Такого очень упрощенного описания уже достаточно, чтобы рассмотреть возможные атаки и методы защиты от них.

Атака на канал взаимодействия с процессинговым центром

Атака может быть реализована примерно так – вставляется любая карточка, вводится любой PIN, из процессингового центра приходит сигнал отказа в авторизации, но вот он и подменяется сигналом успешной авторизации. При этом злоумышленнику достаточно иметь возможность вмешаться в работу канала, изменять логику работы банкомата необходимости нет.

Атака имитацией сигнала на выдачу денег

Обращаем внимание на абзац, где условно описана работа банкомата, а именно на ту часть, где говорится, что команда на выдачу денег, которую исполняет диспенсер, формируется компьютером банкомата. А почему бы тогда злоумышленнику не использовать другой компьютер? Например, принести с собой ноутбук, отключить USB-кабель диспенсера от компьютера банкомата, подключить его к принесенному ноутбуку и подавать команды вида «дай 5000 рублей»? Естественно, диспенсер выполнит команду, если ее подать в нужном формате. Но это, конечно, дело техники, и никакого труда не представляет.

Эта же атака может быть реализована и по-другому. Так, злоумышленник может внедрить закладку в компьютер банкомата (это несложно сделать, например, при выполнении профилактических работ). Логика работы вредоносной программы может быть любой, например, при предъявлении определенной легальной карты может запрашиваться подтверждение на выдачу 100 рублей, а выдаваться вполне может значительно больше.

Казалось бы, разные атаки, но они отличаются только нюансами реализации. Суть одна – на диспенсер подается команда, сформированная нештатными программными средствами.

Атака имитацией сигнала на прием денег

Современные банкоматы не только выдают деньги, но и принимают их. Подсчитывают купюры, размещенные в приемнике купюр, вычисляют сумму, эта информация передается в процессинговый центр и зачисляется на счет клиента. На этом вполне может быть основана очень опасная атака – например, клиент вносит 100 рублей, а действиями закладки на его счет заносится значительно большая сумма – например, 100 000. Даже не ясно, можно ли будет этого клиента привлечь к ответственности (если поймают) – денег-то он не брал!?

Сбор критичной информации пользователей

Если вредоносная программа внедрена, то что может помешать ей запомнить все номера карт и PIN в один день, и все запросы на выдачу денег повторить в другое время по внешней команде – например, по предъявлению какой-то конкретной карты? Или просто передать эту информацию злоумышленникам, и кто знает, как они ею распорядятся?

Представляется, что такое перечисление возможных атак уже содержит ответ на извечный вопрос: «Что делать?».

Надо защитить каналы – как от процессингового центра к компьютеру, так и от компьютера к диспенсеру, и обеспечить целостность программно-аппаратной среды компьютера.

Нельзя сказать, что сегодня ничего из этого совершенно не делается. Конечно, некоторые меры принимаются. Как правило (не станем утверждать, что всегда), только для защиты канала между процессинговым центром и компьютером банкомата. И тех мер, что принимаются в большинстве случаев, явно не достаточно для удовлетворения требований к КИИ.

Фактически, в части защиты сетевой коммуникации все специфичное в требованиях к КИИ сводится к тому, что при взаимодействии с использованием сетей общего доступа каждый узел должен быть защищен СКЗИ высокого класса. Все остальное – следствия из этого обстоятельства или детали сертификационных требований. О последних можно прочитать в справочном разделе в конце этой главы, а вот на следствиях из необходимости оборудовать каждый банкомат (и не только их) СКЗИ, сертифицированным на высокий класс, в двух словах стоит остановиться здесь.

Неприемлемо использовать для этого установленный на компьютер в банкомате программный VPN. Даже в случае, если для него создана и поддерживается СФК, это неприемлемо потому, что при обслуживании в ПО этого компьютера могут быть внесены изменения, нарушающие СФК, а проведение в каждом случае соответствующих проверок – просто невозможно организационно, работа остановится. Более того, нет никаких гарантий, что непредсказуемые изменения – например, замена компьютера на свой, улучшенный – не будут произведены, например, при работах вообще не с компьютером, а с диспенсером.

Ситуация выглядит несколько лучше при использовании аппаратного шлюза, однако, если смотреть правде в глаза, отечественные сертифицированные устройства в этом качестве не используются. Причины на это, в общем, объективные. Они без слов понятны по рисунку, на котором показано, как выглядят криптошлюзы для защиты сетевой коммуникации на класс КС3.

Средства защиты сетевой коммуникации на КС3, внешний вид

Не то что бы их нельзя было установить в каждый банкомат, но они дороги, избыточны по своим характеристикам, очень велики по размеру и подвержены множеству уже хорошо разработанных и постоянно появляющихся новых атак.

Использование же импортных устройств подходящего размера неприемлемо по причине их несоответствия требованиям регуляторов.

Еще одна задача, которая стоит перед производителем криптошлюза для объекта КИИ (в частности, банкомата), связана уже не с требованиями, а с техническими особенностями этих объектов – она заключается в том, чтобы поддержать множество разнообразных интерфейсов.

Примеров таких СЗИ для защиты сетевой коммуникации в инфраструктуре, включающей разнообразное оборудование, взаимодействующее разнообразным образом по различным каналам, на сегодняшний день не много, но они есть. Так, можно использовать криптошлюз fin-TrusT. Это российское решение на базе микрокомпьютера Новой гарвардской архитектуры m-TrusT.

Fin-TrusT – это линейка криптошлюзов для финансовых организаций:

«fin-TrusT банкомат» – криптошлюз в технологическом корпусе для установки в банкоматы с возможностью поддержки 2 и более операторов мобильного Интернета.
«fin-TrusT офис» – криптошлюз в корпусе одноюнитового сервера для установки в бэк- или фронт-офис до 50 абонентских устройств.
«fin-TrusT центр» – сервер VPN для установки в ЦОД или серверную стойку головного отделения.

«Fin-TrusT банкомат» поддерживает одновременную работу нескольких независимых каналов связи. К примеру, могут быть подключены 2 Ethernet от различных провайдеров и/или 2 LTE-модема различных операторов связи. Это позволяет продолжить работу даже при отказе одного из каналов, что повышает отказоустойчивость и является актуальной задачей именно для банкоматов.

В зависимости от архитектуры сети в качестве ответной части решения может использоваться такое же устройство в исполнении в стойку (если требуется небольшое количество подключений и ресурсы сервера VPN избыточны) или обыкновенный сервер VPN, стоимость которого ощутимо выше.

Криптошлюз функционирует прозрачно для пользователя, не добавляя никаких действий в его привычный набор действий.

Каждый микрокомпьютер «m-TrusT» является точкой сбора информационных и/или управляющих сигналов от ПКО, их шифрования для передачи по каналам связи, а также приема зашифрованных сигналов из каналов связи и их расшифровкой.

Типовые характеристики микрокомпьютеров и интерфейсный плат приведены на родительской страничке.

Наличие собственной ОС и вычислительных ресурсов позволяет обеспечить достаточную для защиты сетевого взаимодействия производительность (возможна защищенная передача видеосигнала с камер без ощутимого снижения качества изображения) и высокий уровень защищенности. Особенностями m-TrusT является наличие датчика случайных чисел и размещение ПО в памяти с физически устанавливаемым доступом read only (только чтение), что исключает вредоносное воздействие на ПО и обеспечивает неизменность среды функционирования средств криптографической защиты информации. Ресурсы m-TrusT позволяют обеспечить СФК, позволяющую сертифицировать вариант исполнения СКЗИ на m-TrusT на класс КС3. Помимо Новой гарвардской архитектуры защищенность платформы обеспечивается РКБ и СДЗ, сертифицированным ФСТЭК России.

Встроенное по умолчанию в fin-TrusT СКЗИ – DCrypt от компании ТСС – сертифицировано ФСБ России России в исполнениях на m-TrusT на классы КС2 и КС3.

[1] п. 3.1 Положения Банка России от 17 апреля 2019 г. № 683-п «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»,

[2] ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. ЗАЩИТА ИНФОРМАЦИИ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ. Базовый состав организационных и технических мер».

Читать еще: Автоплатеж в Яндекс.Деньги: как отключить

Оценка статьи:

Загрузка...

Оставить комментарий