Система мобильных платежей должна соответствовать жестким критериям отказоустойчивости и защищенности, а также нормам PCI DSS (для платежей с пластиковых карт) и стандарта безопасности Центрального банка России (для платежей с использованием интернет-банка). Если же при платеже вводятся персональные данные, их необходимо шифровать с использованием отечественной системы криптографической защиты.
Платежная система Ecash (www.e-cash.ru), запущенная около года назад компанией «Юникор Финанс», позволяет выполнять платежи с любых видов банковских и небанковских счетов, осуществляя доступ к ним через мобильный телефон или Интернет. Сейчас система постепенно наращивает возможности — приглашаются к сотрудничеству банки-партнеры (на данный момент работа происходит только со счетами «Юникорбанка»), расширяется спектр платежей. Защита Ecash включает два межсетевых экрана, работающих в кластере (благодаря чему достигается требуемый уровень производительности и надежности), SSL-блок, обеспечивающий безопасный удаленный доступ для клиентов, и модуль IPS — системы предотвращения вторжений; конфигурация рассчитана на 100 одновременных подключений по защищенным каналам.
Платформа
Выбирая платформу для реализации своей системы защиты, специалисты «Юникор Финанс» реально рассматривали продукцию трех производителей — Cisco, Check Point и Stonesoft, — поскольку только она отвечала требованиям, предъявляемым к безопасности и надежности мобильных платежей. Решение Stonesoft было выбрано, во‑первых, по соображениям рентабельности — оно стоило как минимум вдвое меньше, чем приблизительно аналогичная конфигурация от Cisco или Check Point, — а во‑вторых, в связи с особенностями реализации криптографической защиты.
В настоящее время Ecash не работает с персональными данными, но в дальнейшем это вполне может понадобиться — например, для обслуживания платежей в пользу транспортных компаний (авиа- и железнодорожные билеты при продаже оформляются на определенное имя). Закон требует передачи таких данных в зашифрованном виде, причем с применением отечественных алгоритмов криптографической защиты. «Мы изучили ситуацию, — рассказывает исполнительный директор технологического департамента «Юникор Финанс» Павел Шабалин, — и у Check Point ничего подходящего для себя не нашли, хотя из сообщений прессы знали, что компания вела работы в этом направлении». В оборудовании Cisco поддержка российской системы шифрования реализована в виде аппаратного модуля, который должен приобретаться за отдельную плату и совместим лишь с дорогими моделями оборудования Cisco. Решение Stonesoft представляет собой программный плагин, подключаемый при необходимости. Очевидно, это был самый удобный вариант. «Может быть, — поясняет Павел Шабалин, — мы рассуждали бы иначе, если бы у нас уже стояло оборудование другого поставщика, но поскольку система строилась с нуля, выбор в пользу Stonesoft не вызвал сомнений».
Внедрение
Дополнительное удобство решения Stonesoft заключается в том, что хотя оно и реализовано на специализированной аппаратной платформе, его программную часть можно устанавливать, настраивать и тестировать еще до прибытия оборудования. Вместе с лицензией на те или иные компоненты заказчик получает диски с программным обеспечением, позволяющим установку не только на специализированные серверы Stonesoft, но и практически на любой сервер стандартной архитектуры. В данном случае, пожалуй, единственное ограничение с точки зрения производительности — выбор сетевых интерфейсов из списка рекомендуемых. Но и это, как правило, не представляет проблемы, поскольку многопортовые платы Intel недороги и повсеместно продаются в отечественных компьютерных магазинах.
В «Юникор финанс» решение было развернуто на двух серверах HP DL145 стандартной конфигурации с 2 Гбайт памяти и зеркальными дисками по 146 Гбайт. Приобретать дополнительное оборудование не потребовалось. Затем инженеры компании, настроив в соответствии со своими задачами политики безопасности и другие параметры, получили полностью функциональное решение, которое и было запущено. Потребовалось лишь немного изменить настройки IPS, чтобы обеспечить тестирование работы системы с одним из типов оконечного оборудования — устаревшими POS-терминалами, которые были закуплены несколько лет назад и поддерживают только протокол SSL2. Сейчас использование этого протокола почти прекратилось из‑за его недостаточной защищенности. Для нужд тестирования доступ по протоколу SSL2 был разрешен в системе предотвращения вторжений только с ограниченного числа известных адресов, а остальные адреса остались заблокированными. «Это, кажется, единственное, что мы добавили, — говорит Павел Шабалин. — И атаки по порту SSL2 действительно наблюдались, а система IPS их успешно отражала. Удивительно, что проблем с ложными срабатываниями также не было, — и это в стандартной конфигурации! Значит, технологически решение действительно способно интеллектуально контролировать потоки. Возможно, это заслуга и встроенной подсистемы корреляции событий».
Таким образом, система начала работать еще до прибытия аппаратуры. Получилось так, что она довольно долго функционировала в этом режиме: обычный срок поставки у Stonesoft составляет от четырех до восьми недель, но поскольку заказ был сделан в декабре и в рабочий цикл вмешались длительные каникулы, оборудование пришло в марте. После получения оборудования инженерам было достаточно лишь заменить одно устройство другим и выполнить подключение к единой системе управления. Никаких других сложных операций с копированием или перенастройкой не потребовалось. Осталось, как говорят, только «накатить бэкап», то есть восстановить систему с резервной копии. После этой процедуры, занявшей считаные минуты, оборудование заработало со всеми прежними настройками. Гораздо больше времени заняло физическое подключение и конфигурирование сетевой инфраструктуры (выполняемое через консоль коммутаторов, а следовательно, более трудоемкое), так что в общей сложности работы продолжались несколько часов.
Позднее, в 2009 году, стала доступна новая, значительно расширенная версия управляющего программного обеспечения StoneGate Management Center. В рамках договора технической поддержки лицензия ПО была бесплатно обновлена, и новую версию установили на сервер. «Это стало для нас приятным сюрпризом, а процедура установки нас особенно восхитила, — рассказывает Павел Шабалин. — Она заняла не более получаса и прошла полностью в автоматическом режиме, не потребовав ручного копирования/восстановления, подгрузки нужных модулей и т.п.». Теперь центр управления информационной безопасностью превратился в систему сбора и обработки событий ИБ. Все журналы событий с оборудования StoneGate, Cisco, других связанных систем через механизм syslog могут собираться в единую базу данных сервера сбора событий, где нормализуются и становятся доступны администратору для консолидированной обработки и отчетности. «Таким образом, — резюмирует Павел Шабалин, — мы получили передовые технологии, что еще более уверило нас в правильности сделанного выбора».
Сейчас завершен первый этап построения системы мобильных платежей; параллельно с расширением Ecash будут добавляться и защитные функции. На очереди — сертификация по стандарту PCI DSS, для чего потребуется реализовать защиту определенных стандартом конфиденциальных данных: номеров карточек, CVC2. Как уже говорилось, когда система начнет работать с персональными данными, они, согласно требованиям Закона о персональных данных, будут шифроваться с использованием отечественных систем криптографической защиты. Все дальнейшие работы, как и первоначальное развертывание решения Stonesoft, «Юникор Финанс» планирует выполнить самостоятельно, без помощи внешних подрядчиков.
