Безопасность мобильных платежей

1/34 © Cisco, 2010. Все права защищены.

Мобильные платежи в контексте СТО БР ИББС и требований по ИБ в НПС

Алексей Лукацкий, бизнес-консультант по безопасности

© Cisco, 2010. Все права защищены. 2/34

СТО

Общие положения

1.0-2010

v4

Аудит ИБ 1.1-2007

v1

Методика оценки

соответствия 1.2-2010

v3

РС

Рекомендации по

документации в области ИБ

2.0-2007 v1

Руководство по самооценке соответствия

ИБ 2.1-2007

v1

Методика оценки рисков

2.2-2009 v1

Требования по ИБ ПДн 2.3-2010

v1

Отраслевая частная

модель угроз безопасности

ПДн 2.4-2010

v1

• СТО – стандарт организации

• РС – рекомендации по стандартизации


• Мобильные платежи – альтернативный метод оплаты, в котором в качестве средства совершения платежа (платежной карты, чека, наличных) выступает мобильное устройство

Регистрация (банк,

платежная система…)

Регистрация (банк,

платежная система…)

Запрос на перевод средств

Запрос на перевод средств

Авторизация платежа

Авторизация платежа

Подтверждение платежа

Подтверждение платежа

Отчет о платеже Отчет о платеже


• Mobile Peer-to-Peer платежи Неформализованные транзакции между двумя людьми

• Платежи на базе Premium SMS

• mCommerce

• Сканирование QR Code

Сканирование чеков

• Proximity IrDA

Bluetooth

NFC

• Mobile Acceptance Devices


• Покупатель отсылает платежное поручение через SMS или USSD на определенный короткий номер

Платежное поручение содержит в себе все необходимые для получения услуги/продукта данные

• SMS-сообщение оплачивается по специальному тарифу (привязанному к короткому номеру) при отправлении SMS

• После отправки с лицевого счета абонента (мобильного кошелька) списываются денежные средства

• Покупатель получает доступ к услуге или продукту


• К участникам схемы “Premium SMS” требования СТО БР ИББС неприменимы, т.к. ни один из них не является кредитной организацией

• Однако к участникам данной схемы применимы требования по защите НПС

Мобильное

устройство

Мобильный

оператор

Контент-

провайдер

Банк


• Возникают сложности обеспечения конфиденциальности SMS

• SMSC может не принадлежать оператору связи

• Иные средства защиты и методы контроля (ОКС7 и т.п.)

ESME SMSC HLRMSC/

BSVLR MS

1. Submit SM2. Получение

информации о

нахождении

3. Передача SMS

4. Получение

информации о

получателе

Аутентификация

5. Передача SMS

6. Отчет о доставке7. Возврат

статуса


• Покупатель используется специальные WAP-ссылки или загружаемые WAP/Java-приложения для осуществления платежей

• 3 распространенных сценария списания средств

Прямое списание у оператора (Direct operator billing)

Привязка к платежной карте

Онлайн-кошелек (PayPal, Яндекс.Деньги, WebMoney и т.д.)



• К участникам схемы “Mobile Web Payments” требования СТО БР ИББС неприменимы, т.к. ни один из них не является кредитной организацией

• Однако к участникам данной схемы применимы требования по защите НПС

Мобильное


Мобильный

оператор

Платежные

сервисы

Банк


• Пользователь осуществляет управление своим счетом

Контроль движения средств

Перевод между счетами

Оплата товаров и услуг

Открытие депозитов

И т.д.

• Шифрование и ЭЦП

Криптографические ключи хранятся в защищенном хранилище в ПО телефона или на SIM-карте


• Обеспечение широкого спектра платежных операций

Оплата товаров и услуг

Денежные переводы

• Различные сценарии перевода средств

Платежные карты

Банковские счета

Лицевые счета абонентов мобильной связи

Электронные деньги


• Различные механизмы защиты

Пароль на вход в приложение

Блокировка подбора пароля

Шифрование трафика до серверной части

Электронная подпись сообщений

Защищенное хранилище для ключей

• Различный транспорт

SMS и USSD

WAP

GPRS/3G


• WAP 1.0 шифрует трафик с помощью WTLS только от клиента до WAP-шлюза

• WAP 2.0 шифрует трафик с помощью TLS/SSL на всем протяжении

Web-сервер WAP-шлюз Клиент Банк HTTP HTTP WAP

WML

WML Script

Другое

WML

Encoder

WML Script

Encoder

Адаптеры

протоколов

CGI

Контент

WML

АБС


• QR Code – матричный штрихкод, который заменяет стандартные штрихкода, давая возможность закодировать больший объем информации

• Существует немало мобильных приложений для распознавания QR-кодов


• Покупатель используется устройства с поддержкой стандартов NFC для осуществления платежей

С поддержкой NFC

Устройства с contactless microSD card

NFC Bluetooth Dongle

• Распространенные сценарии списания средств

Банковские счета

Лицевые счета абонентов мобильной связи

Электронные деньги



• К участникам схемы NFC требования СТО БР ИББС неприменимы, т.к. ни один из них не является кредитной организацией

• Однако к некоторым участникам данной схемы применимы требования по защите НПС

Мобильное


Торгово-сервисное

предприятие

Банк

Платежные

системы


• К участникам схемы NFC требования СТО БР ИББС неприменимы, т.к. ни один из них не является кредитной организацией

• Однако к некоторым участникам данной схемы применимы требования по защите НПС

Мобильное


Банк

Платежные

системы

Мобильное



• Различные ридеры смарт-карт, сканеры чеков и т.д.

• Mobile Acceptance Devices

PayPal HERE Mobile Credit Card Reader, Square или CardEase Mobile

• А есть ли к ним требования по ИБ?


• В рамках СТО БР ИББС «главным» всегда является банк, как основной участник перевода денежных средств

• В модели мобильных платежей роль банка уже не так очевидна и СТО БР ИББС применим не во всех случаях

Оператор

• Независимо от банков

Оператор

• Независимо от банков

Банк

• Оператор дает только транспорт

Банк

• Оператор дает только транспорт

«Дружба»

• Необходима доверенная сторона

«Дружба»

• Необходима доверенная сторона

P2P

• Провайдер услуг работает напрямую с покупателем

P2P

• Провайдер услуг работает напрямую с покупателем


• Оператор платежной системы

• Мобильный оператор

• Банки

Получатель, плательщик, межбанк

• Клиенты

• Клиентское приложение

• Разработчик клиентского приложения

• Продавец товаров и услуг

• Аутентификационный посредник (TSM)


• + Органы по оценке соответствия

• + Регуляторы и органы по стандартизации

• + Производители средств защиты

• + Производители оборудования

Источник: “Mobile Payment. 2nd edition”, EPC492-09


• Традиционные риски включают в себя отказ в обслуживании, кражу сервисов, потерю доходов, ущерб репутации и отток клиентов. В мобильных платежах возникают новые риски, например, отмывание средств, полученных незаконным путем или финансирование терроризма

Мобильные платежи: риски, безопасность и вопросы доверия, ISACA, ноябрь 2011

• ISACA выделяет 5 новых «пользовательских» риска и 4 риска для сервис-провайдеров

Перехват трафика, кража идентификационных данных с помощью мобильного приложения, подмена пользователя, сложность конфигурирования мобильного устройства, вредоносный код на мобильном устройстве, подмена сообщений в канале…


• Банк России уже провел первичную оценку рисков и разработал набор защитных мер в СТО 1.0

• Под специфику конкретного банка можно провести свою оценку рисков и разработать свои защитные меры

ISO ISO

27001

27005

СТО СТО

СТО 1.0. Глава 8. СМИБ

РС 2.2. Оценка рисков

РС 2.4. Модель угроз ПДн


Частота

использования

Безопасность

транзакций

Макро-платежи

Микро-платежи

Мобильный кошелек


Аутентификация

Безопасность транспорта

Управление рисками

Поведение клиента

Соответствие требованиям


Есть

• Аутентификация пользователей банка

• Шифрование по требованиям ФСБ

• Управление рисками

Нет

• Аутентификации клиентов и мобильных устройств

• Шифрования в мобильном мире

• Возможности принять некоторые риски

• Системы антифрода


Есть

• Аутентификация пользователей участников НПС

• Шифрование по требованиям ФСБ

• Управление рисками

• Системы антифрода

Нет

• Аутентификации клиентов и мобильных устройств

• Шифрования в мобильном мире


• Оператор платежной системы?

• Операционный центр?

• Клиринговый центр?

Терминал

TSM

Мобильное устройство

Secure Element


СТО

• Банки

НПС 1.0


• Мобильный оператор (как платежный агент)

• Банки

НПС х.0


• Мобильный оператор

• Банки

• Разработчик клиентского приложения

• Продавец товаров и услуг

• Аутентификационный посредник


• Разработать сначала модель мобильных платежей, а потом выстраивать ее защиту (а не наоборот)

• Дифференцировать требования по защите, беря во внимание размер платежа

При микроплатежах проще принять риски, чем снижать их, внедряя дорогостоящие защитные меры

В проекте ITU-T 2/INF/17-E предусмотрено 4 нарастающих уровня безопасности

• Разработать требования по ИБ для клиентской части

SIM-карты в качестве мобильного кошелька

• Учесть специфику обеспечения безопасности мобильного оператора связи


Защита сетевых устройств: Auto Secure

Control Plane Policing

CPU/Memory Thresholds

Role based Command Line Interface Views

Reactive Access Control Lists

Routing Protocol Authentication

Защита сетевых устройств: Auto Secure

Control Plane Policing

CPU/Memory Thresholds

Role based Command Line Interface Views

Reactive Access Control Lists


Защита каналов связи: Committed Access Rate

Traffic Shaping

Hierarchical QoS

Защита каналов связи: Committed Access Rate

Traffic Shaping

Hierarchical QoS

Предотвращение атак: Network Telemetry

Unicast Reverse-Path Forwarding

Ingress / Egress Access Control Lists

IP Source Tracker

IP Service Level Agreement Monitor

Remotely-Triggered Black Holes


Предотвращение атак: Network Telemetry

Unicast Reverse-Path Forwarding

Ingress / Egress Access Control Lists

IP Source Tracker

IP Service Level Agreement Monitor

Remotely-Triggered Black Holes




• Учесть проект рекомендаций ITU-T Y.2740 “Security Requirements for Mobile Remote Financial Transactions in the Next Generation Networks (NGN)”

• Учесть проект рекомендаций ITU-T 2/INF/17-E “Toolkit for creating ICT-based services using mobile communications for e-government services”

• Учесть рекомендации PCI SSC относительно требований стандарта PA DSS для мобильных приложений

• Учесть рекомендации 3-D Secure от Visa/MasterCard

Спасибо

за внимание!

[email protected]

Technology

Безопасность мобильных платежей