Электронная подпись перенесена из АРМ КБР в АБС. Пора подключать!

Банк России переводит кредитные учреждения на новую технологическую схему обработки платежей, при которой электронные сообщения должны будут подписываться не в Автоматизированном рабочем месте клиента Банка России (АРМ КБР), как это было ранее, а непосредственно в АБС или специально для этого предназначенной выделенной системе. В связи с этим разработчики банковского ПО выполнили в своих продуктах необходимые изменения, связанные с настройкой криптографии. Наша компания пошла дальше: мы не только перенесли функциональность АРМ КБР по наложению цифровой подписи в модули «Межбанковские расчеты» (RS-Bank V.6), «Ведение корсчетов» (RS-Bank v. 5.5) и систему автоматизации межфилиальных и межбанковских платежей RS-Payments, но и создали криптобиблиотеку, которая может работать с АБС любого производителя. Но обо всем подробнее.

Что представляет собой решение?

В ходе работы Центробанк обменивается с кредитными учреждениями разными документами — платежками, запросами, письмами в свободной форме и т.д. Принцип обработки этих документов одинаковый — все они подвергаются подписанию и шифрованию. Но если ранее этим ведало АРМ КБР, то теперь по указанию регулятора ответственность за целостность и неизменность передаваемых данных возлагается на автоматизированные системы банков.

В своей АБС мы реализовали функциональность для сотрудника, ответственного за отправку документов в ЦБ (для удобства будем называть ее АРМ). Принцип ее работы, как правило, такой: операционист готовит в АБС документ, формирует для него ЭП — защитный код (ЗК), и направляет ответственному за электронное взаимодействие с Банком России сотруднику. Тот, после проверки ЗК, визуально и/или с помощью функции сверки проверяет документ, подписывает его ЭП — кодом аутентификации (КА), далее документ передаётся в АРМ КБР-Н для сжатия, шифрования и отправки в ЦБ.

Если же говорить о документах, пришедших из Центробанка, то с ними еще проще. Они, конечно же, тоже попадают в наш АРМ, где проверяется их подпись, после чего они расшифровываются, но делается это полностью автоматически, так что сотрудник банка при желании может контролировать этот процесс.

Следуя требованиям Положения ЦБ № 552-П, с целью обеспечения безопасности мы реализовали АРМ так, чтобы банк мог применять его в отдельном контуре с ограниченным доступом, работать с ним сотрудник банка может в выделенном помещении.

Если у вас другая АБС

Пользователям АБС семейства RS-Bank начать работать с новой функциональностью можно уже сейчас — достаточно обратиться к нам в компанию за лицензией.

А как быть банкам, использующим для автоматизации своей деятельности АБС других производителей? Таким кредитным учреждениям наша компания предлагает два варианта решения.

Первый — приобрести криптобиблиотеку, которая, как я уже заметил, способна функционировать с любой АБС. Криптобиблиотека обеспечит взаимодействие со СКАД «Сигнатура», а также подписание документов. Она формирует ЗК и КА электронных сообщений и пакетов сообщений УФЭБС. Все факты создания защитных кодов и кодов аутентификации будут отражаться в log-файле.

Для использования криптобиблиотеки необходимо, чтобы на рабочем месте пользователя была инсталлирована СКАД «Сигнатура» (к ней криптобиблиотека обращается за криптографическими преобразованиями). Кроме того, библиотеку следует зарегистрировать в ОС Windows, тогда она станет доступна из сторонних приложений как COM-объект.

Второй вариант — рассмотреть возможность приобретения еще одного продукта компании — системы автоматизации межфилиальных и межбанковских платежей RS-Payments, где необходимая функциональность также реализована. В этом случае банк сможет обеспечить передачу документов из собственной АБС в систему RS-Payments, в которой реализовано рабочее место пользователя, участвующего в подготовке ЭС УФЭБС, передаваемых в ЦБ. В нем банковский специалист будет выполнять ввод электронных сообщений, генерировать для них защитные коды, осуществлять контроль ЭС с формированием для них кодов аутентификации.

О криптобиблиотеке

Созданная R-Style Softlab криптобиблиотека заслуживает отдельного внимания, так как именно она является ключевым элементом функциональности, реализованной компанией для поддержки требований Положения Банка России № 552-П.
Криптобиблиотека не только реализует логику обработки электронной подписи (ЭП), но и обеспечивает интерфейс между экспортируемыми функциями и функциями, предоставляемыми криптосредством.
Функции криптосистемы реализует СКАД «Сигнатура». Она осуществляет обработку XML, формирует ЭП, осуществляет ее проверку, а также отвечает за поддержку ключевых носителей и работу с сертификатами ключей.

Есть у криптобиблиотеки еще одна роль — служебная. Она обеспечивает поддержку локальных настроек, диагностирует ошибки и ведет журнал операций.

О безопасности начистоту

Ни для кого не секрет, что основной причиной преобразований в регламенте электронного взаимодействия между банком и регулятором стала недостаточная защищенность документов. Прежняя схема не лишена была лазеек, которыми охотно пользовались злоумышленники.

Вся функциональность по защите ЭС находилась в АРМ КБР, внутри которого была сосредоточена вся функциональность по наложению ЭП, а документы на подпись поставлялись в виде текстовых файлов. Злоумышленник мог во входной каталог положить свой текстовый файл, АРМ КБР его подписывал, деньги в ЦБ с корсчета банка списывались... По данным FinCERT, за период с октября 2015 г. по март 2016 г. по этой схеме хакерам удалось похитить из российских коммерческих банков 1,27 млрд руб.
Теперь ситуация изменилась: в новый АРМ КБР-Н Банка России электронные документы поступают уже с электронной подписью, которая гарантирует неизменность и целостность документа.
 Однако на стороне банка лазейки для злоумышленника все-таки остались. Поэтому правильнее было обеспечить весь жизненный цикл документа с ЭП — от момента его ввода оператором или получения из внешней системы до выгрузки в ЦБ. Разумеется, в случае передачи документов из системы в систему таких подписей может быть собрано несколько. Зато банк сможет быть уверен, что безопасности документов ничто не угрожает. В большинстве кредитно-финансовых учреждений на текущий момент такая схема работы с документами не внедрена, поэтому сама по себе угроза не исчезла полностью, хотя нужно отметить, что безопасность стала несколько выше. 

В заключение я хотел бы призвать наших клиентов не откладывать подключение новой функциональности на последний момент, а сделать это уже сейчас – без спешки и нервов. Запланируйте работу для своих ИТ-специалистов или обратитесь к нам в компанию, активируйте новый сервис, протестируйте его, и тогда к наступлению времени «X» вы будете полностью готовы взаимодействовать с регулятором по новым правилам. И еще одно. Не будет лишним напомнить, что в нашем современном и динамично развивающемся мире технологии, используемые хакерами, тоже совершенствуются, и, чтобы обезопасить себя от чуть более изощренного варианта увода денег с корсчета, необходимо использовать ЭП на протяжении всего жизненного цикла документов.