'

W w w. a l a d d i n. r u 2-я Международная конференция «Инфофорум–Болгария» 13-17 сентября 2010г. Решение некоторых актуальных вопросов информационной.

Понравилась презентация – покажи это...





Слайд 0

2-я Международная конференция «Инфофорум–Болгария» 13-17 сентября 2010г. Решение некоторых актуальных вопросов информационной безопасности для банков А.Г.Сабанов, к.т.н., зам.ген.директора ЗАО «Аладдин Р.Д.» Эксперт по информационной безопасности APEC Electronic Commerce Steering Group


Слайд 1

Служба ИБ в банке 2


Слайд 2

Функционал системы ИБ банка 3 Управление запросами СКП и ключами Управление ключевыми носителями Система защищенного доступа Учет дистрибутивов ПО Управление лицензиями СКЗИ Интеграция с АБС Система управления паролями и SSO Система VPN на сертифицированном СКЗИ Система учета внутренних АРМ Система учета носителей информации Система контроля действий пользователей Автоматизация обновления ПО и смены СКП


Слайд 3

ТОП-5 наиболее актуальных задач ИБ Противодействие атакам на системы дистанционного банковского обслуживания (ДБО); Защита от инсайдерских атак; Фильтрация Web-трафика от вирусов, троянов и т.д.; Защита от распределенных сетевых DDoS-атак на сайты банков; Атаки на платежные карты, банкоматы и платежные терминалы. 4 По материалам 2-ой Международной межбанковской конференции по информационной безопасности ДЦ «Юбилейный» г.Магнитогорск 15-20 февраля 2010г.


Слайд 4

5 Атаки на ДБО - появление новых «бизнесов» Атаки на клиентов банков стали массовыми и адресными «Разделение труда» Сбор информации о клиентах, их счетах и суммах с целью перепродажи Кража денег с выбранных счетов – проведение адресных атак Причины Кризис (обострение проблем) Доступность инструментария для подготовки и проведения адресных атак Используются уязвимости ПО и бот-сети Стоимость менее $100 Перекладывание ответственности за безопасность на клиента (хотя он не может себя нормально защитить)


Слайд 5

6 Что происходит и почему? Масштаб бедствия Главные источники угроз Уязвимости Web-приложений – «заряженные» сайты – эксплойты 63% сайтов РФ имеют критические уязвимости* Специализированные эксплойты и трояны - антивирусы против них не эффективны Как мы получаем spyware Переходя по ссылкам в спамерских письмах («грязный» спам) Через поисковики (подозрительные сайты) Фишинг (письма «от банка») Из 600 млн. компьютеров, подключенных к Интернет, 100-150 млн. уже являются частью бот-сетей. Давос, январь 2007 Из доклада Виртона Серта Positive Technologies, 2007 25%


Слайд 6

7 Инструментарий Конструктор для подготовки и организации адресных атак Создание эксплойта для сайта, скрытно устанавливающего исполняемые программы на компьютере клиента


Слайд 7

8 Конструктор spyware - специализированных троянов


Слайд 8

9 От защиты объекта к защите взаимодействия Основные векторы угроз Кража регистрационных данных клиентов (account’ов) Кража / перехват ключей ЭЦП / кодов авторизации / одноразовых паролей (SMS) Противодействие Усиление аутентификации Использование автономных устройств OTP (One Time Password)- генераторов Токенов для защищенного хранения криптографических ключей ЭЦП Токенов с аппаратной ЭЦП (неизвлекаемый ключ ЭЦП) Для «толстого клиента» основной проблемой остается вопрос доверенной среды Большой интерес и новые разработки связаны с «тонким клиентом» (Web) ? основные вопросы обеспечения безопасной работы Даже Токен с аппаратным ЭЦП проблем не снимает – требуется прорабатывать всю security-архитектуру решения


Слайд 9

10 4 3 2 1 Эволюция технологий


Слайд 10

11 Общая архитектура eToken Java


Слайд 11

12 Электронные ключи eToken Java Содержат Java-карту, полностью соответствующую стандартной спецификации Java Card компании SUN (ныне Oracle) и спецификации Global Platform Java Card Platform Specification 2.2.1 (http://java.sun.com/products/javacard/) Global Platform 2.2 (http://www.globalplatform.org) В карту загружен Java-апплет, реализующий функционал eToken PRO Есть возможность загрузки дополнительных апплетов, созданных независимыми разработчиками


Слайд 12

13 Модели eToken USB-ключ/смарт-карта eToken PRO (Java) MobilePASS – программный OTP Генератор одноразовых паролей eToken PASS Комбинированный USB-ключ с генератором одноразовых паролей eToken NG-OTP (Java) Комбинированный USB-ключ с дополнительным модулем flash-памяти eToken NG-FLASH (Java) USB-ключ/смарт-карта eToken ГОСТ Электронные ключи eToken


Слайд 13

14 1. Прямые потери клиентов При атаке на одного клиента обычно похищается от 500,000 до 25,000,000 руб. При этом, в большинстве случаев одновременно атакуются несколько клиентов. *Известны прецеденты, когда клиентам удавалось через суд взыскать с банка похищенные средства. 2. Репутационные потери Банка «Продвинутые» пострадавшие публикуют информацию о хищениях на банковских ресурсах (www.banki.ru, www.bankir.ru и т.д.), что вызывает отток клиентов и формирование негативного имиджа банка. 3. Затраченные ресурсы Необходимо принимать во внимание расход на отвлеченный от работы департамент ИТ и Информационной безопасности Финансово-экономическое обоснование проекта. «Стоимость» риска


Слайд 14

15 Кроме того, после хищения обычно организуется DDoS-атака на сервис системы ДБО, в результате чего он временно прекращает функционирование. Можно посчитать убытки банка при атаке длительностью в 8 часов: Недополученная прибыль: Количество операций в ДБО. Цена одной операции в среднем 16 рублей.   16 руб. – 5000 клиентов – 15 операций в день. = 1 200 000 руб. Расходы на защиту от DDoS.     оперативная защита 100 000 - 200 000 руб. Если у ISP (провайдер) тарифицируется входящий трафик, то умножаем трафик в Гб на цену 1 Гб: 5 – 100 ГБ. перерасход трафика. 5000 – 100 000 руб.  Итого: Не считая расследование (не входит в ущерб): от 1 305 000 до 1 500 000 руб. * Расходы злоумышленника - 300 Евро. Финансово-экономическое обоснование проекта «Стоимость» риска (2)


Слайд 15

16 Финансово-экономическое обоснование проекта (3) Как сделать информационную безопасность прибыльной? Клиенты готовы платить за свою безопасность При правильной организации процесса, Банк имеет возможность дополнительно зарабатывать на услугах по обеспечению безопасности в своей системе ДБО.


Слайд 16

17 Финансово-экономическое обоснование проекта (4) Содержание собственного Удостоверяющего центра Исходные данные для расчёта: - Стоимость ПО для УЦ на 5000 лицензий – 600,000 руб. - Стоимость оборудования – 200,000 руб. - Зарплата сотрудников в год (всего 3 человека) – 2,160,000 руб. - Стоимость одного цифрового сертификата (коммерческий УЦ) –600 руб. руб. лет Точка окупаемости


Слайд 17

18 * По данным Group IB для систем дистанционного банковского обслуживания Старт проекта. Оценка рисков и выбор технологии защиты


Слайд 18

19 Предоставление клиентам средств защиты должно быть приведено в соответствие с их потребностями и уровнем риска Физические лица - OTP-токены Юр. лица (SMB) - Защищенные ключевые носители Корпоративные клиенты - OTP + Защищенные ключевые носители VIP-клиенты – защищенная мобильная ОС на носителе «Лесенка» решений для клиентов 400-700 р. 800 -1000 р. 1200 -1600 р. 8000 -15000 р. eToken PASS eToken ГОСТ eToken PRO (Java) eToken NG-OTP eToken PASS + eToken ГОСТ eToken NG-FLASH + Программное обеспечение


Слайд 19

20 На что стоит обратить внимание: Организация работы подразделений, участвующих в процессе Обучение персонала, который непосредственно общается с клиентами - операционисты должны уметь правильно объяснить клиенту, зачем ему нужны средства защиты Должен существовать регламент реагирования службы безопасности на инциденты (хищения средств, DDoS и т.д.) *возможна передача данных задач на аутсорсинг специализированным компаниям 2. Юридические вопросы Корректность клиентских договоров на обслуживание по системе ДБО, актов, доверенностей на генерации и т.д. *при судебном разбирательстве любое упущение в договоре может привести к тому, что банку придется возмещать ущерб Наличие лицензий на распространение СКЗИ, в соответствии с требованиями регулирующих органов *претензии проверяющих на наличие лицензий ФСБ могут привести к приостановке деятельности организации «Подводные камни»


Слайд 20

21 Best practice (1) 1. Повышение уровня безопасности должно сопровождаться улучшением пользовательских характеристик системы Безопасность Удобство 2. Для бизнеса: дополнительные возможности для коммуникации с клиентами и донесения рекламной информации


Слайд 21

22 3. «Схема одного визита». В Банке: Клиент Менеджер филиала УЦ Банка Подготовка комплекта документов Заявление на открытие счета + заявка на выпуск технологического сертификата Проверка документов, идентификация клиента, приём заявки на выпуск технологического сертификата Формирование запроса на сертификат Проверка (опционально) сформированного запроса Издание технологического сертификата и его передача в филиал Печать договора и копии технологического сертификата на бумажном носителе. Их передача с ключевым носителем клиенту Ознакомление клиента с договором и проверка им соответствия электронной версии и бумажной копии технологического СКП Подпись клиентом договора и бумажных копий технологического сертификата Передача Банку подписанного договора и бумажной копии технологического сертификата Best practice (2)


Слайд 22

23 3. «Схема одного визита». Удаленно: Клиент Менеджер филиала УЦ Банка Формирование клиентом на своём рабочем месте запроса на сертификат (подписанного технологическим сертификатом) Издание сертификата клиента Регистрация клиентом своего сертификата в системе Начало работы клиента в системе ДБО Best practice (3)


Слайд 23

24 Итоги реализованных проектов Повышение лояльности клиентов за счет увеличения защищенности сервиса ДБО. Снижение репутационных рисков, связанных с распространением в СМИ публикаций о краже средств со счетов клиентов. Повышение удобства подключения и работы клиента в системе ДБО Дополнительные доходы для Банка. Департамент информационной безопасности перестает быть затратным подразделением.


Слайд 24

25 В России: Альфа-банк Банк Возрождение Газпромбанк КМБ-Банк Коммерцбанк-Евразия Метробанк Уралпромбанк Интерпрогрессбанк и многие другие … eToken в системах ДБО: В мире: Bankernes EDB Central (BEC) Banco Central do Brasil Bank Hapoalim Postbank Commerzbank International S.A. Israel Securities Authority Hypovereinsbank (HVB) Deutscher Ring Israel Discount Bank Ltd. NH-Bank и многие другие…


Слайд 25

Спасибо за внимание! asabanov@aladdin.ru www.aladdin.ru 26


Слайд 26

27 «Аладдин Р.Д.» – визитная карточка 15 лет на рынке Более 90 чел. (Московский офис) Офисы: Казахстан Украина Лицензии: ФСБ (включая лицензии на гос.тайну и разработку шифросредств) ФСТЭК России Минэкономразвития (на экспорт/импорт шифросредств) . Основные направления: Обеспечение безопасного доступа к информационным ресурсам (аутентификация) eToken Content Security для крупных корпоративных сетей и интернет-провайдеров eSafe Шифрование дисков, защита БД и перс. Данных Крипто БД Secret Disk Защита ПО HASP


Слайд 27

28 Сертифицированные по требованиям ФСТЭК решения eToken Pro 32К eToken PRO SmartCard Secret Disk NG 3.1 eToken Windows Logon eToken PRO 64K eToken NG-OTP Secret Disk Server NG 3.2 eToken Java eSafe 6 TMS Secret Disk 4.0


×

HTML:





Ссылка: