Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

Нам представляется правильным именно такой подход, аналогичный тому, когда инструменты для производственных задач (станки и прочее специализированное оборудование) предприятие в общем случае покупает готовыми, а не создает само из каких-то универсальных блоков. Банкиры, врачи, атомщики и транспортники должны быть профессионалами в своем деле, а не в деле настройки персональных компьютеров под задачи организации.

Поскольку цена самого экономичного из микрокомпьютеров Новой гарвардской архитектуры – MKT – в 10–15 раз ниже цены традиционного компьютера на базе x86, понятно, что это и есть современное решение для потенциальных клиентов ДБО [80], для которых исключено (если здраво смотреть на вещи) применение «тяжелых» средств защиты с учетом как стоимости, так и сложности настройки и применения.

Если MKT будет позиционироваться аналогично банковской карте – как собственность банка, предоставляемая клиенту на тех или иных условиях для получения услуги, ситуация будет выглядеть крайне привлекательно как для клиента, так и для банка. Клиент банка получает ненастраиваемое устройство, которое обеспечивает загрузку неизменяемой проверенной операционной системы, устанавливает защищенное с использованием криптографических алгоритмов соединение с защищенным центром обработки данных, в котором установлено программное обеспечение (клиент ДБО) для доступа к банковской автоматизированной системе (БАС) банка. Риски клиентов и банка сведены к минимуму. Притом для клиента это еще и эффектный бизнес-аксессуар (рис. 57).

Рис. 57. Микрокомпьютер MKT

Клиент ДБО (программное обеспечение) размещается в ЦОД, отвечающем всем требованиям по защите информации, соответственно доступ к БАС выполняется из одной, достоверно известной, точки – из ЦОД, по защищенному каналу.

Технология доверенного сеанса связи гарантирует безопасность доступа клиента банка к своему клиенту ДБО (и соответственно к банку) из любой точки мира.

То есть клиент банка (человек) с помощью защищенного микрокомпьютера MKT из любого гостиничного номера, где есть телевизор, защищенно соединяется с клиентом ДБО (программным обеспечением), размещенным в защищенном ЦОД и по защищенному каналу взаимодействующим с защищенной БАС банка. Данные клиента обрабатываются в защищенной вычислительной среде, а хранятся на устройстве.

Конечно, заставить всех клиентов всех банков покупать (или даже арендовать) такое изделие нельзя, но целесообразно рекомендовать сделать это, поскольку с такой защитой при сегодняшнем уровне техники успешные хакерские атаки на компьютер клиента невозможны. Такой уровень защищенности вполне позволяет банку предложить программу страхования от кибермошенничества.

Чтобы обеспечить принятие клиентом правильного решения, нужно предоставить в клиентском договоре обоснованный выбор: либо управление счетом с использованием защищенного компьютера – и тогда все риски покрывает банк (или ЦОД, или страховая компания), либо любые другие механизмы – и тогда все риски на клиенте. Так банк и обезопасит себя, и обеспечит высокий уровень защищенности клиента.

Самому же банку целесообразно рассмотреть возможность использования в качестве рабочих мест защищенных компьютеров MKT-card long. Пример приведен в следующем подразделе.

Сегодня не кажется чем-то из ряда вон выходящим необходимость делать несколько дел сразу. Мало кто из имеющих основания считать себя эффективными и ценными сотрудниками имеет возможность (да, откровенно говоря, и желание) не переключаться в течение дня между совершенно разными со всех точек зрения задачами. И дело тут не только в том, что работодатель предпочтет сотрудников, которые могут и готовы совмещать несколько задач, но и в том, что совершенствование орудий труда и самосовершенствование объективно позволяют человеку быть эффективнее и от этого счастливее.

Компьютеры как никто другой могут делать несколько дел сразу. Однако из соображений безопасности выполнение разных задач часто должно быть разнесено по разным вычислительным средам.

Чтобы безопасность не мешала сотруднику становиться счастливым, на сегодняшний день существует уже целый ряд защищенных решений, позволяющих выполнять задачи в разных контурах защищенности на одном рабочем месте.

Задачу работы в двух контурах защиты с использованием микрокомпьютеров Новой гарвардской архитектуры можно решить несколькими способами. Опишем те из них, которые не требуют использования никаких дополнительных инфраструктурных решений типа «брокеров» или аналогичных.

Очевидно, что основа у этих способов общая: работа в разных контурах будет изолирована в том случае, если соединение с серверной частью производится из разных – изолированных одна от другой – ОС.