на счет клиента. На этом вполне может быть основана очень опасная атака: допустим, клиент вносит 100 руб., а действиями закладки на его счет заносится значительно большая сумма, например 100 тыс. руб. Даже не ясно, можно ли будет этого клиента привлечь к ответственности (если поймают), – денег-то он не брал!

Сбор критичной информации пользователей.

Если вредоносная программа внедрена, то что может ей помешать запомнить все номера карт и PIN в один день и все запросы на выдачу денег повторить в другое время по внешней команде – например, по предъявлении какой-то конкретной карты? Или просто передать эту информацию злоумышленникам?

Представляется, что такое перечисление возможных атак уже содержит ответ на извечный вопрос: «Что делать?». Надо защитить каналы – как от процессингового центра к компьютеру, так и от компьютера к диспенсеру – и обеспечить целостность программно-аппаратной среды компьютера.

Нельзя сказать, что сегодня ничего из этого не делается. Конечно, некоторые меры принимаются. Как правило (не станем утверждать, что всегда), только для защиты канала между процессинговым центром и компьютером банкомата. И тех мер, что принимаются в большинстве случаев, явно недостаточно для удовлетворения требований к КИИ.

Фактически в части защиты сетевой коммуникации все специфичное в требованиях к КИИ сводится к тому, что при взаимодействии с использованием сетей общего доступа каждый узел должен быть защищен СКЗИ высокого класса. Все остальное – следствия из этого обстоятельства или детали сертификационных требований. О последних можно прочитать в справочном разделе в конце этой главы, а вот на следствиях из необходимости оборудовать каждый банкомат (и не только банкомат) СКЗИ, сертифицированным на высокий класс, стоит кратко остановиться здесь.

Неприемлемо использовать для этого установленный на компьютер в банкомате программный VPN[215]. Даже если для него создана и поддерживается СФК, это неприемлемо потому, что при обслуживании в ПО этого компьютера могут быть внесены изменения, нарушающие СФК, а проведение в каждом случае соответствующих проверок просто невозможно организационно: работа остановится. Более того, нет никаких гарантий, что непредсказуемые изменения – в частности, замена компьютера на свой, улучшенный, – не будут произведены, например, при работах вообще не с компьютером, а с диспенсером.

Ситуация выглядит несколько лучше при использовании аппаратного шлюза, однако посмотрим правде в глаза: отечественные сертифицированные устройства в этом качестве не используются. Причины этого, в общем, объективные. Они без слов понятны по рис. 59, на котором показано, как выглядят криптошлюзы для защиты сетевой коммуникации на класс КС3.

Рис. 59. Средства защиты сетевой коммуникации на КС3

Не то чтобы их нельзя было установить в каждый банкомат, но они дороги, избыточны по характеристикам, очень велики по размеру и подвержены множеству уже хорошо разработанных и постоянно появляющихся новых атак.

Использование же импортных устройств подходящего размера неприемлемо по причине их несоответствия требованиям регуляторов.

Еще одна задача, которая стоит перед производителем криптошлюза для объекта КИИ (в частности, банкомата), связана уже не с требованиями, а с техническими особенностями этих объектов: она заключается в том, чтобы поддержать множество разнообразных интерфейсов.

Примеров таких СЗИ для защиты сетевой коммуникации в инфраструктуре, включающей разнообразное оборудование, взаимодействующее разнообразным образом по различным каналам, на сегодняшний день немного, но они есть. Так, можно использовать криптошлюз fin-TrusT – российское решение на базе защищенной интеграционной платформы MK-И. MK-И – это микрокомпьютер Новой гарвардской архитектуры m-TrusT и интерфейсная плата для его коммутации с сетевой инфраструктурой, которая может включать в себя самые разные типы оборудования. Поэтому интерфейсные платы делаются различными, а сам микрокомпьютер m-TrusT универсальный, его формфактор не зависит от предполагаемого места установки.

Остановимся в двух словах на том, почему это важно, ведь, казалось бы, это касается только нюансов производства. Важно это потому, что изменения интерфейсной части не влияют на вычислительную часть компьютера, а это снимает основные сложности, вызываемые адаптацией серийного продукта: возможное внесение новых ошибок или дефектов, необходимость повторных проверок или сертификации и т. п.

В зависимости от архитектуры сети в качестве ответной части решения может использоваться такое же устройство в стоечном исполнении (если требуется небольшое количество подключений и ресурсы сервера VPN избыточны) или обыкновенный сервер VPN, стоимость которого ощутимо выше.

Криптошлюз функционирует прозрачно для пользователя, не расширяя его привычный набор действий.

Каждый микрокомпьютер m-TrusT является точкой сбора информационных и (или) управляющих сигналов от ПКО, их шифрования для передачи по каналам связи, а также приема зашифрованных сигналов из каналов связи и их расшифровки.

Типовые характеристики микрокомпьютеров:

– габаритные размеры: 65 х 80 мм;

– процессор: Quad-core ARM Cortex-A17, up to 1.8 GHz;

– ОЗУ: 2 ГБ DDR3;

– ПЗУ: 16 ГБ NAND-flash;

– microUSB;

– microHDMI.

Общий вид микрокомпьютера m-TrusT представлен на рис. 60.

Микрокомпьютер не подключается напрямую ни к чему, кроме собственной интерфейсной платы, поэтому его состав несложен и постоянен. Интерфейсная плата же нужна как раз для того, чтобы корректно подключиться к тому или иному конкретному ПКО и каналообразующей аппаратуре различных типов.

Рис. 60. Микрокомпьютер m-TrusT

Наличие собственной ОС и вычислительных ресурсов позволяет обеспечить достаточную для защиты сетевого взаимодействия производительность (возможна защищенная передача видеосигнала с камер без ощутимого снижения качества изображения) и высокий уровень защищенности. Особенностями m-TrusT являются наличие датчика случайных чисел и размещение ПО в памяти с физически устанавливаемым доступом Read Only (только чтение), что исключает вредоносное воздействие на ПО и обеспечивает неизменность среды функционирования средств криптографической защиты информации. Ресурсы m-TrusT позволяют обеспечить СФК, позволяющую сертифицировать вариант исполнения СКЗИ на m-TrusT на класс КС3. Помимо Новой гарвардской архитектуры защищенность платформы обеспечивается РКБ и средством доверенной загрузки (СДЗ), сертифицированным ФСТЭК России.

Встроенное по умолчанию в fin-TrusT СКЗИ – DCrypt от компании ТСС – сертифицировано ФСБ России.

Итак, коммутировать микрокомпьютер m-TrusT в «разрыв» между ПКО различного назначения и каналом связи позволяет интерфейсная плата. Как уже упоминалось, разнообразие оборудования, взаимодействующего по сети (ПК, банкомат, информационный киоск, терминал оплаты и т. д.), является ключевой характеристикой инфраструктуры, поэтому интерфейсные платы должны быть разными, чтобы коммутировать одно и то же СЗИ (т. е. не совместимые, не похожие, а именно одинаковые СЗИ) с разными ПКО. Например, она может быть такой, как на рис. 61:

– габаритные размеры: 90 х 105 мм;

– соединитель типа розетка 87758-2016 MOLEX;

– разъем USB Type A;

– разъем Ethernet;

– разъем питания от источника постоянного напряжения 5 вольт.

Рис. 61. Интерфейсная плата с подключенным m-TrusT

Интерфейсная плата № 2:

– габаритные размеры 90 х 110 мм;

– соединитель типа розетка 87758-2016 MOLEX;

– USB-хаб;

– разъем USB Type A;

– два разъема Ethernet;

– разъем RS-232, подключенный через преобразователь USB-RS-232;

– разъем RS-485, подключенный через преобразователь USB-RS-485;

– разъем для microSD-карты;

– разъем питания от источника постоянного напряжения 5 вольт.

На рис. 62 изображен m-TrusT, подключенный к интерфейсной плате.

Рис. 62. Интерфейсная плата другого типа с подключенным m-TrusT

На рис. 63 показан другой вариант интерфейсной платы с меньшим количеством интерфейсных разъемов:

– габаритные размеры: 90 х 105 мм;

– соединитель типа розетка 87758-2016 MOLEX;

– разъем USB Type A;

– разъем Ethernet;

– разъем питания