Устройство защиты банкомата «ЗУБ-Р»

Защита банкоматов является одним из ключевых параметров финансовой безопасности. Компания «КОМСЕТ-сервис» предлагает купить устройство для защиты банкомата от взлома.

Компания как разработчик продукта гарантирует высокий уровень безопасности для АТМ, гибкость системы в обслуживании и централизованном управлении. Продукт разработан по совершенно новым интеллектуальным технологиям. По вопросам сотрудничества, стоимости, сроках поставки оборудования и др. информации обращайтесь по телефону или e-mail.

Назначение

Устройство предназначено для защиты банкоматов от несанкционированного проникновения в технологический отсек и попыток подключения устройств к диспенсеру банкомата (атака «Прямой cash dispense» и «Black box»).

Устройство для защиты банкомата

Принцип действия ЗУБ-Р

Устройство ЗУБ-Р устанавливается внутри сейфа банкомата в разрыв информационного канала. Для этого стандартный разъём диспенсера подключается в ЗУБ-Р, а дополнительным кабелем осуществляется сопряжение ЗУБ-Р с системным блоком в технологическом отсеке ATM.

Порт Ethernet ЗУБ-Р подключается к имеющемуся в банкомате коммутатору для организации защищённого канала передачи данных (используются протоколы стека TCP/IP) с центральным сервером управления системы.

Устройство считывания ключей размещается внутри технологического отсека банкомата и подключается к ЗУБ-Р.

При включении электропитания банкомата, как первичном, так и после проведения технического обслуживания, информационный канал обмена системного блока банкомата и диспенсера по умолчанию разорван (состояние «по умолчанию» настраивается в конфигурации ЗУБ-Р). Для его восстановления необходима команда администратора центрального сервера системы либо идентификация ключа специалиста, обслуживающего банкомат.

При открывании технологического отсека банкомата происходит срабатывание концевых выключателей, в результате которого ЗУБ-Р переходит в режим фиксации. В этом режиме в течение 30 секунд (интервал времени настраивается в конфигурации ЗУБ-Р) необходимо приложить носитель идентификационного ключа к считывателю. Если этого не произошло, происходит разрыв информационного канала. Дальнейшее его восстановление возможно только по команде оператора центрального сервера системы. Если носитель приложен и ключ идентифицирован, канал не разрывается. При обратном закрытии технологического отсека происходит фиксация факта в журнале событий.

Кроме контроля срабатывания концевых выключателей ЗУБ-Р контролирует разрыв кабеля между системным блоком банкомата и самим устройством для исключения возможности подключения к кабелю, ведущему к диспенсеру, иного устройства в обход концевых выключателей (например, путём сверления отверстия в технологическом отсеке банкомата).

Все события, как то: открывание/закрытие технологического отсека, прикладывание носителя к считывателю, результат идентификации ключа, изменение состояния реле блокировки информационного канала, разрыв кабеля фиксируются в журнале событий с привязкой к точному времени и передаются на централизованный сервер управления.

Централизованное управление

Централизованный сервер управления поставляется в виде виртуального образа (Virtual Appliances), а также может быть инсталлирован на физическом оборудовании Заказчика специалистами «КОМСЕТ-сервис».

Функции централизованного сервера управления включают в себя:

мониторинг состояния устройств;
управление состоянием устройств (разрыв/восстановление соединения цепи);
заведение новых устройств и их разделение по группам;
управление ключами на устройствах;
централизованный сбор журналов регистрации событий с устройств.

Для выполнения указанных функций на сервере управления создаются учётные записи, которым присваивается одна из основных ролей доступа. Стандартная система защиты банкоматов играет 2 роли — «оператор» с правом просмотра событий и мониторинга устройств и «администратор» с правом управлять устройствами и ключами доступа. Количество ролей по желанию Заказчика может быть увеличено.

Все события, выполняемые пользователями, фиксируются во внутреннем журнале регистрации событий сервера, который так же как и журналы событий с устройств может быть отправлен системой на централизованный лог-сервер Заказчика или SIEM решение (например, HP Arcsight).

Сетевое взаимодействие между устройствами и сервером реализовано на базе протоколов стека TCP/IP с двухсторонним взаимодействием и применением шифрования согласно протоколу SSL.

Преимущества устройства защиты банкомата ЗУБ-Р

Аналогичные решения в большинстве своём предполагают наличие программного агента, который устанавливается на банкомат, с помощью которого осуществляется управление средством защиты диспенсера, размещённым в сейфе, и взаимодействие с централизованным сервером управления. Таким образом, безопасность самого такого средства защиты не может быть выше, чем безопасность системного программного обеспечения ATM, размещённого на физически доступном для злоумышленника оборудовании (системный блок банкомата размещён в технологическом отсеке). Практика атак на банкоматы на территории России, начиная с 2014 года, демонстрирует опасность такой архитектуры и необходимость использования дополнительных наложенных средств для защиты аналогичных решений.

Решение ЗУБ-Р полностью самодостаточно и разработано с учётом требований безопасности международных платёжных систем по безопасности.

«КОМСЕТ-сервис» является непосредственным разработчиком решения и готов обеспечить быструю доработку программного и аппаратного обеспечения под требования Заказчика, а также реализовать любой дополнительный функционал.

Краткие характеристики

Характеристика	Значение
Архитектура и состав комплекса	В состав поставляемого аппаратно-программный комплекса входит: программное обеспечение для централизованного удалённого управления аппаратными устройствами блокировки обращений к диспенсеру банкомата; аппаратно-программные устройства, устанавливаемые в сейф банкомата для осуществления блокировок неавторизованных обращений к диспенсеру банкомата; ключи доступа, записанные на носитель информации, осуществляющие авторизацию персонала при открытии технического отсека банкомата (устройства авторизации); считыватель ключей доступа с индикацией состояния устройства; датчики открытия/закрытия/неавторизованного доступа для технического отсека банкомата; программное обеспечение, установленное на аппаратных устройствах, осуществляющих блокировку неавторизованных обращений к диспенсеру; соединительные кабели для аппаратных устройств считывания и блокировки обращений к диспенсеру.
Совместимость	Поддержка USB, miniUSB, COM, RS-232, RS-485 интерфейсов.
Электропитание	Питание от 220 В, 50 Гц ±10 %
Устройства авторизации и считыватели	Для авторизации при открытии технологического отсека банкомата в качестве ключей доступа используются ключи с технологией Touch Memory (iButton) или Proximity карты стандарта ISO 14443, или аналоги. Устройства авторизации имеют возможность загрузки в них до 10 ключей доступа.
Каналы связи	Взаимодействие компонентов системы между собой осуществляется по зашифрованному каналу с авторизацией сервера конечными устройствами по 443 порту (websocket, https).
Централизованное управление	Наличие централизованного управления состоянием устройств блокировки в банкоматах (разрыв/восстановление соединения цепи диспенсер-системный блок). Наличие централизованного управления ключами доступа. Наличие централизованного сбора журналов регистрации событий. Наличие подсистемы управления правами доступа на централизованном сервере (в стандартной поставке): 1 роль: мониторинг состояния устройств; 2 роль: администратор с правом осуществлять разрыв/восстановление соединение цепи диспенсер-системный блок для банкоматов, управление ключами доступа, управление группами банкоматов.
Журналы регистрации событий	Устройство осуществляет регистрацию следующих событий: открытие/закрытие технологического отсека; блокировку/разблокировку диспенсера; авторизацию; получение команды с централизованного сервера и результат её выполнения. Журналы регистрации событий содержат следующие обязательные поля: идентификатор пользователя/ID карты/ID ключа; дату и время события; тип события и его описание; результат события: успешное или неуспешное; идентификатор/адрес используемого устройства. Централизованный сервер журналов регистрации событий, входящий в поставку, может быть интегрирован с различными SIEM-системами, например, HP ArcSight.