Защита банкоматов и критичных систем

Построение комплексной системы обеспечения целостности ПО и контроля приложений банкоматов, платежных терминалов и других критичных систем

Количество банкоматов и платежных терминалов увеличивается с каждым годом. В России темпы роста одни из самых высоких в мире – 20 – 30% в год. Это связано с тем, что наличные деньги в России пользуются большей популярностью, чем на Западе. Согласно обзору Банка России операции по получению наличны денежных средств составляют по объему 92,8% от всех операций с использованием карт. Также увеличении числа банкоматов обусловлено тем, что постоянно растет количество предоставляемых ими автоматизированных услуг. Благодаря этому владельцы банкоматов получают дополнительные комиссионные доходы и минимизируют расходы за счет автоматизации банковских услуг.

Эта динамика не остается без внимания любителей легких денег, которые переносят фокус атак с обыкновенных ПК на объекты инфраструктуры по обслуживанию платежных карт, что делает задачу обеспечения информационной безопасности банкоматных сетей одной из наиболее актуальных.

Количество банкоматов и платежных терминалов увеличивается с каждым годом. В России темпы роста одни из самых высоких в мире – 20 – 30% в год. Это связано с тем, что наличные деньги в России пользуются большей популярностью, чем на Западе. Согласно обзору Банка России операции по получению наличных денежных средств составляют по объему 92,8% от всех операций с использованием карт. Также увеличение числа банкоматов обусловлено тем, что постоянно растет количество предоставляемых ими автоматизированных услуг. Благодаря этому владельцы банкоматов получают дополнительные комиссионные доходы и минимизируют расходы за счет автоматизации банковских услуг.

Предложение LETA по защите банкоматов

Компания LETA предлагает построение комплексной системы защиты банкоматных сетей за счет контроля целостности ПО и контроля за приложениями банкоматов на основе единого решения McAfee Integrity Control.

Решение обеспечивает:

защиту от zero-day угроз без обновления сигнатур;
запуск только санкционированных приложений;
контроль целостности прикладного и системного ПО;
контроль соответствия эталонным конфигурациям прикладного и системного ПО;
контроль политик изменений в прикладном и системном ПО;
протоколирование событий;
регламентирование процедур обеспечения безопасности банкоматов.

Какие средства защиты информации обычно установлены в банкомате?

Для обеспечения ИБ банкоматных сетей, как правило, применяются следующие средства защиты:

антивирусы и контроль USB;
криптографические средства (организация VPN) и защита периметра (firewall).

Актуальные проблемы

При наличии стандартного набора средств защиты информации остаются актуальными следующие проблемы:
риски, связанные с подменой имодификацией операционной среды;
уязвимые устаревшие и неподдерживаемые системы (Windows NT/2000);
сложность управления и контроля за большой разрозненной инфраструктурой;
сложность контроля за обновлением ПО (большинство банкоматов подключены к сети Интернет через медленный и дорогой GPRS-канал, даже антивирусное ПО часто не обновляется).

Решение компании LETA по построению системы защиты банкоматных сетей и платежных терминалов

Охват инфраструктуры

McAfee Integrity Control блокирует несанкционированные приложения и изменения на инфраструктурах с фиксированными функциями в пунктах обслуживания, включая банкоматы, POS-системы (системы приема платежей) и информационные терминалы (киоски). Сочетая лучшие в отрасли списки доверенных приложений (whitelisting) и технологию управления изменениями, Integrity Control предотвращает выполнение изменений, не соответствующих политике, в то же время разрешая обновления из доверенных источников. Такой контроль повышает уровень управления политиками изменений и обеспечивает эффективную защиту устройств с помощью действенного решения централизованного управления.

Реализация комплексной политики управления изменениями

McAfee предоставляет возможность непрерывного обнаружения изменений, а также раннего упреждения несанкционированных попыток изменений, не соответствующих политике. Integrity Control соединяет защиту непосредственно с политикой и выполняет проверку источника и временного интервала изменения или уведомления о разрешении изменения. Изменения, не соответствующие политике, блокируются, что значительно сокращает перебои в работе, вызванные изменениями, и снижает процент нарушений соответствия требованиям.

Устойчивая защита для устройств с фиксированными функциями

Integrity Control обеспечивает уникальное расширение защиты для устройств с фиксированным центральным процессором или объемом памяти, включая POS-терминалы, банкоматы и медицинские системы диагностической визуализации, выполняющие критически важные функции и зачастую хранящие конфиденциальную информацию. Не требующий значительных затрат цифровой отпечаток не нарушает производительность системы и одинаково эффективен в автономном режиме без доступа к сети.

Особенности продукта:

почти нулевые потребности в производительности (10 Mb оперативной памяти);
малый размер (25 Mb на жестком диске);
широкий спектр поддерживаемых операционных систем (MS Windows, Linux, Solaris).

Проект LETA по построению системы защиты банкоматных сетей и платежных терминалов

Этап I «Анализ и проектирование» включает в себя следующие работы:

сбор информации о банкоматной сети Заказчика (технические средства, персонал, организационные меры и т.п.);
уточнение требований к системе;
разработка проектной документации для построения системы (ТП, ПМИ, Регламент управления системой);
подготовка комплекта эксплуатационной документации.

Этап II «Внедрение технических средств» включает в себя:

инсталляцию и настройку модулей;
проведение опытной эксплуатации и испытаний системы; обучение персонала Заказчика.

Этап III «Подготовка отчетной документации» включает разработку итогового отчета по проекту и передачу системы в промышленную эксплуатацию.

Этап IV «Сопровождение системы» включает услуги по технической поддержке:

первая линия технической поддержки – ответы на запросы и консультации специалиста компании LETA в режиме «горячей линии» (телефон, e-mail) по рабочим дням с 10:00 до 18:00 московского времени;
расширенная техническая поддержка – определяется индивидуально под каждого Заказчика, может включать как профилактические, так и аварийные выезды к Заказчику.

Результаты проекта

В результате выполненного проекта будет построена комплексная система обеспечения целостности ПО и контроля приложений банкоматов на основе решения McAfee Integrity Control, а также будут реализованы полноценно функционирующие процессы обеспечения ИБ банкоматной сети:

обеспечение защиты от несанкционированных действий сервисных служащих и атак со стороны внешних злоумышленников;
выстроение процесса управления конфигурациями банкоматов и платежных терминалов;
обеспечение соответствия требованиям стандартов и внутренних политик ИБ;
защита уязвимых устаревших и неподдерживаемых систем.

Выгоды

Что же на самом деле кроется за внедрением данной комплексной системы? Что по факту получает компания при качественно проведенном построении системы? Компания получает несколько простых, но очень важных вещей:

снижение трудозатрат и стоимости контроля за соответствием банкоматной сети эталонным конфигурациям прикладного и системного ПО;
снижение расходов на обновление программного обеспечения;
повышение уровня информационной безопасности в целом и, как следствие, повышение доверия клиентов и партнеров.

Кроме того, необходимо отметить общее снижение нагрузки и повышение эффективности работы подразделений ИТ и ИБ при обслуживании сети банкоматов и платежных терминалов.