Конкурентні переваги Інтернет-банку
Сьогодні неможливо собі уявити серйозну фінансово-кредитну організацію, яка не має сучасного Інтернет-банку для обслуговування клієнтів. У свою чергу інформаційна система, що претендує на роль "сучасного" Інтернет-банку, повинна володіти трьома конкурентними перевагами.
Простота використання
Послуга повинна бути технічно доступна будь-якому клієнту банку, незалежно від його рівня володіння комп'ютером. Чи не повинна відлякувати потенційного споживача своєї технічною складністю. Чи не повинна вимагати вивчення об'ємних технічних керівництв.
мобільність
Необхідною і достатньою умовою для використання Інтернет-банку має бути наявність під рукою у клієнта будь-якого комп'ютера, підключеного до Інтернет. Ця умова пред'являє жорсткі вимоги до роботи програмного забезпечення Інтернет-банку на різних операційних системах. Адже сьогодні комп'ютер клієнта - це зовсім не обов'язково Microsoft Windows. Набирають популярність різні "доброзичливі до користувача" версії Linux. Або ж можна потрапити в неприємну ситуацію, коли улюблений ноутбук клієнта виробництва фірми Apple виявиться несумісний з вашим Інтернет-банком.
Крім того, програмне забезпечення Інтернет-банку не повинно вимагати установки на комп'ютер клієнта з правами системного адміністратора.
Безпека
Необхідність захисту даних при використанні Інтернет-банку закріплена в російському законодавстві. Клієнт повинен бути впевнений, що при проведенні операцій через Інтернет-банк його гроші і персональні дані не будуть вкрадені третіми особами. Банк же в свою чергу повинен бути впевнений, що операції дійсно виробляються клієнтом і не зможуть бути їм згодом скасовані через суд.
У РФ гарантувати таку впевненість може тільки використання сертифікованих в ФСБ засобів криптографічного захисту інформації (СКЗИ).
Сучасні операційні системи не містять таких засобів, тому їх потрібно купувати окремо і інтегрувати в програмне забезпечення Інтернет-банку. Нерідко подібна інтеграція призводить до суттєвого ускладнення Інтернет-банку і до втрати мобільності, тобто позбавляє його двох перших конкурентних переваг. Чи можна домогтися того, щоб Інтернет-банк був одночасно простим у використанні, мобільним і безпечним? Спробуємо відповісти на це питання.
Безопаcность в сучасному Інтернет-банку
Інтернет-банк є розподіленою системою. У цій системі центральний сервер або ж група серверів обслуговують безліч клієнтів.
Очевидно, що сучасний Інтернет-банк повинен бути побудований на основі web-технологій: являти собою web-портал, доступ на який клієнт здійснює за допомогою браузера. Рішення, зроблені у вигляді окремих програм свідомо гірше з точки зору простоти використання і мобільності. Браузер звичний більшості людей і є в будь-якій операційній системі за замовчуванням, в той час як окремою програмою ще потрібно навчитися користуватися.
У кожного клієнта на сайті є свій "особистий кабінет", для доступу до якого клієнт деяким чином аутентифікує себе. Всі банківські операції проводяться через цей особистий кабінет.
Захист обміну даними
Протокол доступу до web-сайту (HTTP), за яким браузер взаємодіє з сайтом Інтернет-банку, не передбачає захисту даних і аутентифікації учасників обміну даними. Тому можлива ситуація, при якій ці дані можуть бути перехоплені зловмисником і підмінені ім. Крім того, зловмисник може проникнути в "особистий кабінет" клієнта і проводити операції від його імені.
Для вирішення подібних проблем існує протокол HTTPS. Протокол HTTPS забезпечує:
- сувору криптографічний аутентифікацію сайту Інтернет-банку;
- сувору криптографічний аутентифікацію клієнта для доступу в його "особистий кабінет";
- шифрування даних, якими обмінюються браузер і сайт.
Сьогодні всі браузери і всі web-сервера підтримують протокол HTTPS. Але використання вбудованого HTTPS не забезпечує достатнього рівня захисту з точки зору регуляторів (ФСБ, ФСТЕК). Для того щоб рішення влаштувало регуляторів, як "криптографічного ядра" протоколу HTTPS браузери і web-сервера зобов'язані використовувати сертифіковане ЗКЗІ, що реалізує алгоритми ГОСТ.
Організація робочого місця користувача
Користувач для доступу в Інтернет-банк використовує браузер. Додавання російської криптографії в браузер може бути здійснено двома способами.
Одним з рішень є використання криптопровайдерів CSP. Основними недоліками даної технології є наступні фактори:
- дана технологія "рідна" тільки для операційних систем Microsoft Windows.
- навіть на Microsoft Windows дана технологія дозволяє підтримати сертифікований HTTPS далеко не у всіх браузерах (зазвичай можна користуватися тільки Internet Explorer)
- потрібна установка на комп'ютер з обов'язковими правами системного адміністратора
- прив'язка до одного комп'ютера. Для установки на інший слід купувати ще один CSP
- CSP досить складний в установці і настройці
Звідси випливає, що при використанні криптопровайдерів CSP як ЗКЗІ Інтернет-банк програє в простоті використання і в мобільності. Тобто втрачає два з трьох конкурентних переваг.
Альтернативне рішення для підтримки сертифікованого HTTPS в браузерах реалізовано нами в продукті МагПро КріптоТуннель. Даний продукт:
- є кросплатформним, тому що не зав'язаний на специфіку операційної системи
- дозволяє використовувати будь-який браузер для доступу в Інтернет-банк
- не вимагає установки на комп'ютер користувача і прав адміністратора для роботи
- для того, щоб браузер почав підтримувати сертифікований HTTPS слід просто запустити МагПро КріптоТуннель, наприклад з флешки. Запуск проводиться одним кліком миші по іконці
- не має прив'язки до одного комп'ютера
Таким чином, використання даного ЗКЗІ в Інтернет-банку забезпечує безпеку при обміну даними, але при цьому не знижує його мобільність і не робить більш складним у використанні.
організація сервера
Електронний підпис
ЕП в інтернет-банку повинна проводитися під кожною операцією, яку клієнт проводить через інтернет-банк. Як організувати цю процедуру таким чином, щоб вона мала юридичну силу і при цьому була простою в технічному виконанні?
Кожна операція являє собою деякий набір даних, які клієнт вводить в спеціальну форму введення і відправляє на сервер. Факт прийняття цих даних на сервері запускає транзакцію, результатом якої є виконання операції. Для того щоб операція мала юридичну силу, введені клієнтом дані повинні бути перетворені в осмислений текст і цей текст повинен бути підписаний ЕП.
Наприклад, клієнт через Інтернет-банк оплачує послуги свого Інтернет-провайдера. Для цього на сторінці він вибирає провайдера зі списку і вводить суму до оплати. Введені дані після цього повинні бути перетворені в текст: "Я, Іван Іванов, доручаю банку ІнкомФінанс оплатити послуги інтернет-провайдера Телеком на суму 1000 рублів засобами з мого особистого рахунку №123232438". Цей текст повинен бути підписаний ЕП і відправлений на сервер.
МагПро КріптоТуннель виробляє дану операцію абсолютно прозоро для клієнта. При цьому відбувається ознайомлення клієнта з кінцевим текстом з проханням підписати цей текст перед відправкою на сервер. Крім того, МагПро КріптоТуннель дозволяє підписувати файл довільного формату при завантаженні його на сервер. Це може бути потрібно при подачі заявок, звітів, різних документів в електронному вигляді в банк.
Для впровадження ЕП на основі МагПро КріптоТуннель- не вимагається установки на комп'ютер клієнта CSP або будь-якого іншого програмного забезпечення
- не вимагається установки і використання на web-сторінці ніяких ActiveX
- що відповідає всім вимогам регуляторів
- яке не потребує установки
- працююче зі звичайною флешки
- працює на будь-якому комп'ютері, підключеному до Інтернет
- що працює з будь-яким браузером
- що дозволяє з легкістю виконувати ЕП під текстом і файлом.