Одно из важнейших требований безопасности при работе с пластиковыми карточками — обеспечение безопасности банкоматов.

В настоящее время на автоматические кассовые аппараты (АКА) возлагаются следующие задачи:

- идентификация и аутентификация клиента;

- выдача наличных денег;

- оповещение о состоянии счета клиента;

- перевод денег клиента с одного счета на другой;

- регистрация всех произведенных операций и выдача квитанций.

Основная задача АКА - выдача наличных денег клиенту. Так как внутри АКА кроме различных устройств находятся и наличные деньги, то должна быть предусмотрена его серьезная физическая защита.

По имеющимся данным [6, с.82] в Великобритании АКА установлены:

* 67 % - в виде, вмонтированном в стену;

* 21 % - внутри банков;

* 5 % - в вестибюлях банков;

* 7 % - отдельно стоящие банкоматы вне банков.

При рассмотрении дальнейшей защиты хранимой в АКА информации предполагается, что нарушение его внешней физической защиты маловероятно.

Автоматический кассовый аппарат может работать в одном из двух режимов:

1. Off-line (автономный режим). В автономном режиме АКА функционирует независимо от компьютеров банка. При этом запись информации о транзакциях производится на внутренний магнитный диск и выводится на встроенный принтер.

2. On-line (режим реального времени). Для работы в этом режиме АКА должен быть подсоединен (непосредственно, либо через телефонную сеть) к главному компьютеру банка. При этом регистрация транзакций осуществляется непосредственно на главном компьютере, хотя подтверждение о транзакции выдается на принтер АКА.

Как автономный режим работы АКА, так и режим реального времени обладают своими достоинствами и недостатками (см. табл. 17).

Преимуществами автономного режима АКА является его относительная дешевизна и независимость от качества линий связи. Это особенно следует отметить в отечественных условиях, когда качество телефонных линий, мягко говоря, не идеально. В то же время низкая стоимость установки напрямую обуславливает высокую стоимость эксплуатации этих аппаратов. Ведь для того, чтобы обновлять списки потерянных карточек, «черные списки» необходимо хотя бы раз в день специально выделенному человеку обновлять в месте расположения АКА. При значительном количестве таких устройств подобное обслуживание затруднительно. Отказ от ежедневного обновления списков может привести к большим потерям для банка в случае подделки карточки или при пользовании украденной карточкой.

Сложности возникают также и при идентификации (аутентификации) клиента. Для защиты информации, хранящейся на магнитной карточке применяется ее шифрование. Для того, чтобы АКА одного и того же банка воспринимали пластиковые карточки в них для шифрования/расшифрования должен быть использован один ключ. Компрометация его хотя бы на одном из АКА приведет к нарушению защиты на всех АКА.

Режим реального времени имеет большие преимущества по сравнению с автономным. Он позволяет клиенту не только получить наличные деньги, но и осуществлять манипуляции со своим счетом. Централизованная идентификация/аутентификация позволяет существенно повысить устойчивость системы к компрометации ключей шифрования. Централизованная проверка идентификатора пользователя делает возможным быстрое обновление списков запрещенных к использованию карточек, а также введение ограничений на количество наличных денег, которые может получить клиент в течение одного дня (для защиты от использования украденных карточек).

Однако этот режим работы возможен лишь при наличии надежных каналов связи между АКА и банком (банками), что делает его довольно дорогим.

Наличие канала связи порождает и другие угрозы безопасности по сравнению с автономным режимом работы. Это перехват информационного потока, анализ графика и имитация работы главного компьютера. При этом анализируются данные, передаваемые АКА главному компьютеру и получение на их основе информации о счетах, суммах, условиях платежей и т.д. Главный компьютер может быть имитирован компьютером злоумышленника и на запрос АКА о результатах идентификации/аутентификации выдавать положительный ответ.

В том случае, когда АКА работает в режиме реального времени для осуществления идентификации он обменивается с главным компьютером банка тремя сообщениями, каждое из которых должно соответствовать специальному алгоритму с использованием шифра, части которого находятся как в банкомате, так и в главном компьютере. Без серьезной математической подготовки и хорошего компьютерного оборудования злоумышленник не сможет осуществить перехват информации.

Для борьбы с подбором PIN применяется ограничение на его ввод — обычно трехкратное. Если три попытки ввода PIN оказались неудачными, то в платеже клиенту отказывается. Ранние системы после трех неудачных попыток не возвращали карточку, однако, такое решение проблемы, особенно с кредитными карточками, не вызвало восторга клиентов.

Для АКА, работающих в автономном режиме, возврат карточки в случае трехкратного неудачного ввода PIN является весьма опасным, так как позволяет дальше подбирать PIN.

Кроме одиночных АКА в настоящее время эксплуатируются и сети АКА, в которых участвуют несколько банков. Участники такой сети преследуют следующие цели:

- разделение затрат и риска при разработке новых видов услуг между участниками сети;

- уменьшение стоимости операций для участников;

- придание оказываемым услугам общенационального характера и, соответственно, повышение их субъективной ценности для потребителя;

- возможность для региональных банков, так же как и для банков, расположенных в финансовых центрах, немедленно получить выгоду от либерализации законодательства, регулирующего выход на рынки других стран;

- преодоление имеющихся географических ограничений, которых не существует для небанковских учреждений. В настоящее время в США насчитывается три общенациональных сети:

1. MasterCard/Cirrus;

2. Plus System;

3. Visa U.S.A.

При совместном использовании банками сети АКА появляется новая проблема - защита конфиденциальной информации банков друг от друга (ключи шифрования, списки номеров запрещенных к использованию карточек и т.д.). Для ее успешного решения была предложена схема централизованной проверки PIN каждым банком в своем центре связи с АКА. При этом также усложняется система распределения ключей между всеми участниками сети.

К эмитенту карточки предъявляются следующие требования:

- выпускаемые им карточки должны восприниматься всеми АКА сети;

- он должен обладать технологией проверки собственных обменных PIN (если в АКА используется встроенная проверка принадлежности транзакции, то главный компьютер должен эмулировать результаты проверки в таком же формате).

К банку, выдающему «чужие» карточки, в свою очередь, предъявляются другие требования:

- в АКА или главном компьютере банка должна быть реализована проверка принадлежности транзакции;

- если нет возможности проверить правильность чужого PIN, банк должен передать данные о транзакции на сетевой маршрутизатор.