Внедрение мобильного токена в систему аутентификации банка ВТБ 24

r
ВТБ 24

ВТБ 24 (ПАО) — один из крупнейших участников российского рынка банковских услуг. Банк входит в международную финансовую группу ВТБ и специализируется на обслуживании физических лиц, индивидуальных предпринимателей и предприятий малого бизнеса. Сеть банка формируют 1062 офиса в 72 регионах страны. В числе предоставляемых услуг: выпуск банковских карт, ипотечное и потребительское кредитование, автокредитование, услуги дистанционного управления счетами, кредитные карты с льготным периодом, срочные вклады, аренда сейфовых ячеек, денежные переводы. Часть услуг доступна в круглосуточном режиме, для чего используются современные телекоммуникационные технологии.

Предпосылки проекта

В 2005 году банк ВТБ 24 начал совершенствование системы безопасности интернет-банка «Телебанк» для розничных клиентов. В качестве базовой технологии  аутентификации клиентов и транзакций была выбрана технология EMV CAP, разработанная платежной системой MasterCard в сентябре 2004 года.

Для внедрения технологии на стороне клиента необходимо было использовать платежную карту стандарта EMV и автономный (неподключаемый) кардридер EMV CAP.  Кардридер позволял клиенту сгенерировать одноразовый пароль в двух режимах, один из которых был предназначен для входа в Телебанк, а второй использовался для подтверждения транзакций. Данная технология существенно повысила безопасность проведения операций в онлайн-сервисах банка.

Для проверки генерируемых на клиентском устройстве одноразовых паролей банк принял решение внедрить аутентификационный центр, основой для которого послужил сервер аутентификации Identikey Server компании VASCO Data Security. Внедрение этого решения  значительно повысило безопасность проведения операций в онлайн-сервисах банка.

В связи с ростом клиентской базы банка возникла необходимость предоставления новых систем аутентификации для клиентов, которые позволили бы получать пользователям одноразовые пароли как без SMS-паролей, так и  без использования кардридера и карты. Банк был заинтересован в создании такого решения, которое предоставило бы клиентам возможность получать в свое распоряжение средство аутентификации без визита в офис банка. Также необходимо было решить задачу сокращения логистических издержек при доставке средств аутентификации в офисы банка.

Для решения данных задач банк выбрал мобильный токен, разработанный компанией Gemalto – Ezio Mobile Protector. Такой подход позволил существенно снизить затраты банка на средства аутентификации, обеспечил клиентам банка возможность получить средство аутентификации «не вставая с дивана» и существенно повысил удобство для пользователей интернет-банка, использующих мобильные устройства. Дополнительным преимуществом решения было использование в мобильном токене Gemalto технологии EMV CAP, что минимизировало модернизацию аутентификационного центра банка. 

Задачи проекта

  • Внедрение мобильного токена Gemalto в систему «ВТБ24-Онлайн» с минимальными модификациями онлайн-сервисов розничного банка.
  • Проверка концепции и подготовка к внедрению мобильного токена в систему «Банк-клиент Онлайн» корпоративного блока.
  • Создание резервного механизма аутентификации в случае атаки на систему SMS- паролей.

Продукты, используемые при построении решения

Для реализации проекта специалисты CSM инсталлировали в инфраструктуру банка компонент Enrollment & Provisioning Server (разработчик – Gemalto), который обеспечивает регистрацию  мобильных токенов и безопасную передачу на смартфон клиента криптографического ключа, используемого для генерации одноразовых паролей на мобильном устройстве клиента. Для обеспечения безопасности в процессе шифрования ключа используется криптографический модуль payShield 9000 компании Thales e-Security.

Описание решения

Аутентификационный сервер Identikey обеспечивает аутентификацию клиентов и проверку валидности транзакций, получая от системы интернет-банкинга «ВТБ24-Онлайн» информацию о предоставленных пользователем одноразовых паролях и цифровых подписях транзакций, обеспечивая проверку подлинности последних. В случае, если проверка пароля/цифровой подписи прошла нормально, сервер передает соответствующее сообщение в систему «ВТБ24-Онлайн». Для обеспечения требуемого уровня защищенности, хранение криптографических ключей клиентов в базе данных сервера защищено аппаратным криптографическим модулем.

Модуль EPS обеспечивает поддержку жизненного цикла мобильного токена, предоставляя клиенту банка информацию для установки аутентификационного приложения на мобильный телефон и последующего процесса активации приложения, после завершения которого клиент может использовать приложение для целей аутентификации.

Для разбора конфликтных ситуаций обеспечивается ведение защищенных журналов, дающих возможность убедиться в том, имело ли место мошенничество и если да, то сделать выводы о возможном виновнике.

Результаты

  • Увеличены лимиты на проведение операций в системах дистанционного обслуживания, что создает дополнительную привлекательность каналов ДБО для клиентов банка.
  • Создан резервный  канал аутентификации, позволяющий оперативно распространить средства аутентификации среди клиентов банка в случае компрометации системы SMS-паролей.
  • Банк получает возможность снизить операционные издержки за счет уменьшения затрат на рассылку SMS-паролей.

Перспективы развития

  • Планируется внедрение механизма аутентификации EMV CAP для клиентов корпоративного интернет-банка «Банк-клиент Онлайн».
  • Банк может проводить эффективную сегментацию своих клиентов, предоставляя каждому сегменту наиболее подходящее для него средство аутентификации.