Зеркало российского Интернет-банкинга

В банковской среде «Гута Банк» считается одним из пионером освоения информационных технологий. Такая репутация не появляется вдруг; она сложилась как результат целенаправленной деятельности по разработке современных банковских продуктов и решений.

В 1991 году «Гута Банк» начал с обслуживания предприятий, входящих в финансово-промышленную группу. В 1994 году на обслуживание в «Гута Банк» пришел крупнейший оператор рынка связи МГТС, а со временем клиентами банка стали и многие дочерние предприятия, входившие в его орбиту. Таким образом, обслуживание телекоммуникационных компаний стало одним из приоритетных направлений деятельности банка, что и послужило толчком к развитию в нем высоких технологий.

Но у таких клиентов весьма специфические требования к обслуживанию. В 1997 году МГТС впервые объявила о своих планах введения в Москве повременной оплаты за телефонные переговоры. Разработка технического решения, которое позволило бы не просто взимать фиксированную абонентскую плату, а проводить операции по оплате резко увеличившегося числа счетов за телефонные разговоры, была на тот момент практически завершена. Так возникла система «Телебанк», которую специалисты «Гута Банка» создавали совместно с МГТС.

Идея заключалась как раз в том, чтобы клиенты системы, используя тоновый набор телефона, в любое удобное для них время могли провести платежную операцию по оплате счета за телефонные услуги. Хотя МГТС пока так и не удалось ввести в столице повременную оплату, система «Телебанк» тем не менее не оказалась невостребованной. Спрос на ее услуги предъявили компании - операторы мобильной связи, которым нужна была такая система в связи со взрывным ростом числа клиентов. «Гута Банк» начал принимать платежи за пользование мобильной связью, а затем приступил к реализации проекта по доставке информации в систему «Телебанк» через Интернет, что позволило бы существенно расширить спектр подобного рода услуг. Но кризис 1998 года заметно затормозил дальнейшее продвижение проекта.

Профиль клиента

Компания: «Гута Банк» Местонахождение: Москва Руководители: Андрей Ванин, директор департамента дистанционного обслуживания Проблема: Создание системы дистанционного обслуживания клиентов банка через сеть Интернет, с обеспечением надлежащего уровня информационной безопасности

Профиль партнера

Компания: Step Up Местонахождение: Москва Руководитель: Кирилл Букатов, директор по развитию Задача: Реализация нового канала доставки информации (с созданием Web-сервера) и расширение выполняемых операций и услуг за счет возможностей Интернета

Профиль партнера

Компания: «Сигнал-Ком» Местонахождение: Москва Руководитель: Владимир Смирнов, генеральный директор Задача: Поставка системы обеспечения комплексной информационной безопасности, включающей сертификационный центр и собственную модификацию протокола SSL 128 бит

Смутное время 98-го

У банка есть разные пути развития бизнеса: либо обслуживать клиентов, либо придумывать какие-то схемы. До кризиса многие российские банки были ориентированы не на обслуживание клиентов, а как раз на то, чтобы взять у клиента деньги и прокрутить их по некоей схеме. Но после кризиса ситуация изменилась. Частные вкладчики, потерявшие свои сбережения, перестали верить в обещания сверхвысоких процентов по вкладам, зачастую отказавшись от банковских услуг вообще. В этих условиях уцелевшие после кризиса банки были вынуждены искать новые пути развития, делая упор на предоставление услуг и все более задумываясь о том, чтобы предложить новые механизмы обслуживания клиентов при помощи оригинальных банковских решений.

“Решение о дальнейшем развитии Интернет-направления было принято в 1998-1999 годах, - рассказывает Андрей Ванин, директор департамента дистанционного развития «Гута Банка». - Тогда многие банки пребывали в прострации: не знали, чем заниматься и куда двигаться. Об Интернете всерьез вообще мало кто задумывался. Это казалось скорее заморской диковинкой, а сфер полезного применения насчитывались единицы. Я считаю, что мы опередили многие банки на три года. Поэтому-то многие и считают нас лидерами”.

С одной стороны, Интернет-банкинг позволял расширить возможности системы, которую сковывали ограничения, свойственные телефонному набору. С другой стороны - проект был рискованным, прежде всего в том, что касается сроков окупаемости. К тому же вплоть до 1998 года «Гута Банк» не был розничным банком, а специализировался на обслуживании корпоративных клиентов. Поэтому требовалось найти такое техническое решение, которое позволяло бы начать продажу продукта клиентам, постепенно наращивая вложения и количество предлагаемых услуг.

Подсистема «Интернет-банкинг»

К моменту ввода в действие подсистемы «Интернет-банкинг» в «Гута Банке» успешно функционировала система «Телебанк». Аппаратно она строилась на индустриальных серверах Hewlett-Packard на базе процессоров Intel Pentium III Xeon (сервер базы данных и телефонный сервер), объединенных в сеть под управлением ОС Windows NT 4.0. Голосовая телефония обеспечивалась платами компании Pika Technologies и Dialogic. А в разработке программного обеспечения принимала участие российская компания Step Up.

“В 1996 году мы провели тендер и остановились на наиболее дешевом и масштабируемом решении, - вспоминает Андрей Ванин. - Помимо Step Up в тендере принимали участие компании ЛАНИТ и НКТ. Это были те три фирмы, которые поставляли тогда решения компьютерной телефонии. Спроса и предложения как таковых в этом секторе рынка в то время еще не было. Многие относились к компьютерной телефонии скорее как к игрушке”.

У ЛАНИТ было самое большое и серьезное решение. Но система ЛАНИТ стоила недешево, а кроме того, суть предложений компании сводилась к разработке системы с нуля, а не к внедрению готового решения. Фирма НКТ продвигала на российский рынок западное решение, и это осложняло его доработку под специфические требования «Гута Банка».

У компании Step Up к тому времени были свои наработки и опыт установки в ряде крупных банков, таких как «Российский кредит», «Менатеп», «Межкомбанк». Надо сказать, что до этого полностью интерактивных систем в данной сфере не существовало. Были попытки организовать обслуживание через call-центр, т. е. через оператора. Решение Step Up было полностью интерактивным и предполагало, что система будет доступна в любое время, независимо от того, есть на месте оператор или нет.

АО Step Up http://www.stepup.ru

Компания основана в феврале 1994 года, специализируется на корпоративных проектах в области компьютерной телефонии и Интернета. Основное направление деятельности Step Up - разработка систем удаленного банковского обслуживания; с 1994 года выполнено более 60 внедрений в различных банках. Дистрибьютор продуктов компании Pika Technologies (многоканальные карты для компьютерной телефонии) и реселлер компании ActivCard (средства обеспечения безопасности в Интернете).

“Когда мы принесли в «Гута Банк» нашу систему, то специалисты банка увидели в наших решениях как раз то, что им было нужно, - рассказывает Кирилл Букатов, директор развития бизнеса компании Step Up. - Наши поиски двигались в одном направлении. Потом совместно с банком мы стали совершенствовать и оптимизировать нашу технологию. В частности, регистрация новых клиентов строилась на специфической процедуре, о которой раньше мы и не знали. Под эти требования мы и оптимизировали нашу систему. Кроме того, ИТ-подразделение «Гута Банка» предъявляло ко всему ПО общие требования. Чтобы создать единое информационное пространство, необходимо обеспечить совместимость программных и аппаратных платформ. С этой точки зрения наше решение удовлетворяло требованиям и департамента передовых банковских технологий, и ИТ подразделения”.

Результатом совместной работы «Гута Банка» и компании Step Up в 1997 году стал промышленный запуск системы «Телебанк», которая позволяла зарегистрироваться, в том числе в качестве клиента, а затем по телефону оплачивать свои коммунальные платежи. Таким образом, когда встал вопрос о создании подсистемы «Интернет-банкинг», то выбор партнера был предопределен.

В новом проекте «Гута Банк» поставил задачу обеспечить иной канал доставки информации (включая создание Web сервера) и расширить выполняемые операции и услуги за счет тех возможностей, которые дает Интернет.

Ядро «Телебанка» с момента ввода в действие и по сегодняшний день менялось незначительно. Задача ядра - в реальном времени отрабатывать операции, которые стекаются в него из различных мест, через телефон и Интернет. Кроме того, к ядру можно добавлять все новые каналы доставки информации. Уже позже по договору с МТС в систему «Телебанк» был добавлен канал доставки WAP (Wireless Access Protocol), который обеспечивает доступ в Интернет пользователям сотовых телефонов. Таких телефонов пока немного, и в коммерческом плане эта услуга для банка не столь привлекательна, но, благодаря тому, что система изначально создавалась как хорошо масштабируемая, специалисты банка смогли найти решение, не потребовавшее больших затрат.

Тем не менее, поскольку система «Телебанк» работает круглосуточно и вся информация за любой период должна быть доступна клиенту в режиме online, в системе нет такого понятия, как архив. В процессе разработки подсистемы «Интернет-банкинг» необходимо было решить вопросы структурного наполнения сайта и того, как будет организована навигация, поиск и предоставление информации для клиента. Кирилл Букатов вспоминает: “Трудности в процессе разработки были связаны главным образом с тем, что все приходилось делать самим, аналогов практически не было и не у кого было спросить совета”.

Кроме того, учитывая открытость сети Интернет, необходимо было провести ряд мероприятий, гарантирующих безопасность системы и исключающих несанкционированное проникновение в нее. С учетом этих требований аппаратная составляющая системы «Телебанк» пополнилась двумя индустриальными серверами Hewlett-Packard на Intel-платформе, на которых работали Internet Information Server и сервер электронно-цифровых сертификатов.

Информационная безопасность

При выборе средств информационной безопасности для Интернет-банкинга разработчики столкнулись с проблемой, связанной с ограничениями на экспорт криптографии. Несмотря на свою популярность, вплоть до декабря 1999 года протокол SSL имел крайне ограниченную сферу легального применения на территории России. Практически все существующие продукты, поддерживающие SSL, поступали на отечественный рынок с экспортными ограничениями на длину криптографических ключей. Это исключало их использование при построении надежных систем с приемлемым уровнем защиты. Правда, находились хитроумные обходные пути: например, расположить сайт в Соединенных Штатах, а от него делать различные ответвления. Но для «Гута Банка» это решение было абсолютно неприемлемо.

Кроме того, решение, обеспечивающее информационную безопасность системы «Телебанк», должно было удовлетворять еще нескольким критериям.

1. Решение должно быть основано на стандартах. Никакие самодельные решения не допускаются. В нем должен быть протокол шифрования и взаимная аутентификация.
2. Решение должно быть реализовано в соответствии с российскими криптографическими стандартами.
3. Решение должно быть комплексным, не оставляющим нигде открытого для входа незащищенного участка.

Именно таким критериям отвечало решение компании «Сигнал-Ком». “Для нас было крайне важно, что система основывается на стандартах, обеспечивает комплексную защиту, применяется сертификационный центр и цифровые сертификаты, - рассказывает Кирилл Букатов. - До сих пор большинство разработчиков российского Интернет-банкинга не применяют сертификационные центры. Это влияет на конечную стоимость клиентского места”.

Программный комплекс Inter-PRO, разработанный компанией «Сигнал-Ком», обеспечивает защиту Web-приложений на базе расширенного протокола SSL 128 бит. Благодаря собственной технологии защиты клиент-серверных Интернет-приложений используемые криптографические алгоритмы были свободны от экспортных ограничений на длину ключей. Протокол SSL был дополнен отечественными криптографическими алгоритмами, отвечавшими требованиям ГОСТа 28147-89. В программном комплексе реализована возможность формирования и проверки в режиме online цифровой подписи пользователя под электронной HTML-формой, заполняемой им в процессе обращения к Web-серверу.

Протокол SSL включает два этапа взаимодействия сторон защищаемого соединения. На первом этапе проводится аутентификация сервера и клиента. Стороны договариваются об используемых криптографических алгоритмах и формируют общий “секрет”. На основе этого “секрета” создаются общие сеансовые криптографические ключи для последующей защиты соединения. Этот этап называют процедурой “рукопожатия”.

На втором этапе осуществляется собственно защита потока данных, передаваемых по установленному SSL-соединению. При этом конфиденциальность информации обеспечивается путем шифрования потока данных на сформированном общем ключе с использованием симметричных криптографических алгоритмов, а для контроля целостности передаваемых блоков данных используются так называемые коды аутентификации сообщений MAC (Message Autentification Code), вычисляемые с помощью хэш-функций.

Комплекс Inter-PRO включает два программных модуля. Inter-PRO Server устанавливается на стороне Web-сервера и может располагаться как на той же машине, что и защищаемый Web-сервер, так и на отдельно стоящем компьютере. В последнем случае один модуль Inter-PRO Server может защищать сразу несколько Web-серверов.

Inter-PRO Client устанавливается на той же машине, что и Web-браузер, и обеспечивает взаимодействие с удаленным модулем Inter-PRO Server. В настройках клиентской части указывается, с какими Web-серверами должны устанавливаться защищенные соединения, а со всеми остальными ресурсами Inter-PRO Client будет работать в открытом режиме как ретранслятор, без преобразования информации.

Proxy-технология, реализованная в пакете Inter-PRO, обеспечивает его независимость от типов взаимодействующих между собой браузеров и Web-серверов. Единственное требование к ПО на стороне клиента - это возможность настройки Web-браузера на работу с HTTP Proxy.

Средства защиты Интернет-приложений, основанные на двухключевых асимметричных криптографических системах, требуют, чтобы у участников была пара ключей (открытый и секретный) и сертификат на открытый ключ. Однако получение сертификата в авторитетных зарубежных центрах сертификации, таких как Verisign, юридически сложно и неоправданно дорого, а национальных общедоступных центров в России пока не существует.

Тем не менее сертификационный центр «Гута Банка», реализованный на приложении Notary-PRO компании «Сигнал-Ком», дает возможность самостоятельно формировать необходимое количество клиентских сертификатов. При этом клиентам не приходится обращаться к стороннему сертификационному центру; вся информация о сертификатах хранится в «Гута Банке» и недоступна третьим лицам.

Владимир Смирнов, генеральный директор компании «Сигнал-Ком», рассказывает: “В настоящее время компания завершила в ФАПСИ сертификацию криптографической библиотеки “Крипто-КОМ 3.0”, которая в ближайшее время будет встроена в новые версии Сертификационного центра Notary-PRO и Inter-PRO. Это позволит применить в подсистемах безопасности «Гута Банка», построенных на базе Inter-PRO, расширенную версию протокола SSL, в рамках которой будет обеспечиваться шифрование трафика и формирование цифровой подписи под электронными формами в соответствии с сертифицированными реализациями российских криптографических алгоритмов”.

Однако средства безопасности должны быть адекватны потребностям клиента и уровню риска. “К задаче информационной безопасности мы подходим комплексно и многоуровнево. Как нет смысла ездить в бакалейную лавку на танке, так нет и смысла защищать доспехами или танком платежи по квартплате, - поясняет Андрей Ванин. - В системе «Телебанк», если у клиента нет потребности платить каждый раз по новому адресу (например, он платит за квартиру по типовому шаблону), он может сделать этот платеж, подтвердив его своим переменным кодом. Этого достаточно, чтобы обеспечить безопасность таких операций”.

Пессимисты могут отдыхать

Сейчас как курьез вспоминается, что банковские системы первого поколения были разновалютными: в них был модуль рублей и модуль валюты. Максимум, что могли дать системы класса банк-клиент, - это достаточно высокие функциональные возможности для клиентов. Программное обеспечение устанавливалось на стороне клиента и позволяло выполнять ограниченное количество операций. Ничего нового оно делать не могло.

В последних версиях дистанционных банковских систем пользователь не ограничен в возможностях. В любой момент он может обновить свою версию ПО. Есть много примеров, когда система позиционировалась в первую очередь как Интернет-решение, но все равно была малофункциональна. А в системе «Телебанк» от рублевого документа можно проследить все связи к валютным документам.

Поначалу казалось, что проект развития Интернет-банка рожден не ко времени и не к месту. Но несмотря на предостережения пессимистов, он оказался успешным. Люди до сих пор не столь охотно идут в банк, но все более активно покупают массовые услуги (мобильные телефоны, доступ в Интернет) и платят за них. Только за минувший год число клиентов системы «Телебанк» увеличилось на 30%, превысив 3000 человек. А обороты в системе растут еще более высокими темпами. Если в начале прошлого года оборот составлял 300 тыс. долл. в месяц, то год спустя он достиг 1 млн. долл. Это говорит о том, что люди активнее пользуются сервисом «Телебанка» и больше доверяют этой системе.

В планах «Гута Банка», помимо развития новых средств доставки информации - таких, как обслуживание при помощи службы коротких сообщений (SMS), через спутниковое или интерактивное кабельное телевидение, - еще привлечение к работе других банков и развитие в системе «Телебанк» Интернет-коммерции.

Есть специальный проект “Интернет Эквайринг”, ориентированный на работу с Интернет-магазинами. Эта система позволяет оплачивать покупки в Интернете, списывая деньги с пластиковых карт или через систему «Телебанк».

Очевидно, что крупным компаниям, а тем более таким монстрам, как «Газпром», системы типа “клиент-банк” не слишком интересны - они могут позволить себе иметь собственные банковские структуры. Другое дело мелкие и средние компании. Во многих из них работают 2-3 человека плюс бухгалтер, он же ИТ-специалист. Несмотря на то, что таких клиентов очень много, ими занимаются, как правило, мелкие банки, неспособные предоставить качественный сервис. Вот этой категории корпоративных клиентов и адресована система “Клиент-Банк” «Гута Банка». Это продукт, построенный на архитектуре клиент-банк, но через Интернет. Его преимущества в том, что вся база хранится централизованно в банке, а клиент через Интернет обращается к серверу и проводит платежи в удобное для него время. Плюс данной системы - тесная связь с многими бухгалтерскими программами. Автоматизация этого направления позволяет эффективно работать с большим количеством мелких и средних клиентов.

“Задача интерактивного обслуживания состоит в том, чтобы освободить людей от рутинных дел, - объясняет Андрей Ванин. - Большую часть вопросов: например, узнать остаток на счете, сделать платеж, поместить вклад, получить выписку, - можно решать дистанционно. На эти операции приходится 80% обращений клиентов в банк. Так вот, эти операции переводятся на дистанционное обслуживание, а для решения более сложных вопросов задействуется персонал банка”.