W w w. a l a d d i n. r u 2-я Международная конференция «Инфофорум–Болгария» 13-17 сентября 2010г. Решение некоторых актуальных вопросов информа

Содержание

Слайд 2

Служба ИБ в банке

Служба ИБ в банке

Слайд 3

Функционал системы ИБ банка

Управление запросами СКП и ключами
Управление ключевыми носителями

Функционал системы ИБ банка Управление запросами СКП и ключами Управление ключевыми носителями
Система защищенного доступа
Учет дистрибутивов ПО
Управление лицензиями СКЗИ
Интеграция с АБС
Система управления паролями и SSO
Система VPN на сертифицированном СКЗИ
Система учета внутренних АРМ
Система учета носителей информации
Система контроля действий пользователей
Автоматизация обновления ПО и смены СКП

Слайд 4

ТОП-5 наиболее актуальных задач ИБ

Противодействие атакам на системы дистанционного банковского обслуживания (ДБО);
Защита

ТОП-5 наиболее актуальных задач ИБ Противодействие атакам на системы дистанционного банковского обслуживания
от инсайдерских атак;
Фильтрация Web-трафика от вирусов, троянов и т.д.;
Защита от распределенных сетевых DDoS-атак на сайты банков;
Атаки на платежные карты, банкоматы и платежные терминалы.

По материалам 2-ой Международной межбанковской конференции по информационной безопасности
ДЦ «Юбилейный» г.Магнитогорск 15-20 февраля 2010г.

Слайд 5

Атаки на ДБО - появление новых «бизнесов»

Атаки на клиентов банков стали массовыми

Атаки на ДБО - появление новых «бизнесов» Атаки на клиентов банков стали
и адресными
«Разделение труда»
Сбор информации о клиентах, их счетах и суммах с целью перепродажи
Кража денег с выбранных счетов – проведение адресных атак
Причины
Кризис (обострение проблем)
Доступность инструментария для подготовки и проведения адресных атак
Используются уязвимости ПО и бот-сети
Стоимость менее $100
Перекладывание ответственности за безопасность на клиента (хотя он не может себя нормально защитить)

Слайд 6

Что происходит и почему?

Масштаб бедствия
Главные источники угроз
Уязвимости Web-приложений – «заряженные» сайты –

Что происходит и почему? Масштаб бедствия Главные источники угроз Уязвимости Web-приложений –
эксплойты
63% сайтов РФ имеют критические уязвимости*
Специализированные эксплойты и трояны - антивирусы против них не эффективны
Как мы получаем spyware
Переходя по ссылкам в спамерских письмах («грязный» спам)
Через поисковики (подозрительные сайты)
Фишинг (письма «от банка»)

Из 600 млн. компьютеров, подключенных к Интернет, 100-150 млн. уже являются частью бот-сетей.
Давос, январь 2007
Из доклада Виртона Серта

Positive Technologies, 2007

25%

Слайд 7

Инструментарий

Конструктор для подготовки и организации адресных атак
Создание эксплойта для сайта, скрытно устанавливающего

Инструментарий Конструктор для подготовки и организации адресных атак Создание эксплойта для сайта,
исполняемые программы на компьютере клиента

Слайд 8

Конструктор spyware - специализированных троянов

Конструктор spyware - специализированных троянов

Слайд 9

От защиты объекта к защите взаимодействия

Основные векторы угроз
Кража регистрационных данных клиентов (account’ов)
Кража

От защиты объекта к защите взаимодействия Основные векторы угроз Кража регистрационных данных
/ перехват ключей ЭЦП / кодов авторизации / одноразовых паролей (SMS)
Противодействие
Усиление аутентификации
Использование автономных устройств
OTP (One Time Password)- генераторов
Токенов для защищенного хранения криптографических ключей ЭЦП
Токенов с аппаратной ЭЦП (неизвлекаемый ключ ЭЦП)
Для «толстого клиента» основной проблемой остается вопрос доверенной среды
Большой интерес и новые разработки связаны с «тонким клиентом» (Web) ? основные вопросы обеспечения безопасной работы
Даже Токен с аппаратным ЭЦП проблем не снимает – требуется прорабатывать всю security-архитектуру решения

Слайд 10

4

3

2

1

Эволюция технологий

4 3 2 1 Эволюция технологий

Слайд 11

Общая архитектура eToken Java

Общая архитектура eToken Java

Слайд 12

Электронные ключи eToken Java

Содержат Java-карту, полностью соответствующую стандартной спецификации Java Card компании

Электронные ключи eToken Java Содержат Java-карту, полностью соответствующую стандартной спецификации Java Card
SUN (ныне Oracle) и спецификации Global Platform
Java Card Platform SpecificationJava Card Platform Specification 2.2Java Card Platform Specification 2.2.1 (http://java.sun.com/products/javacard/)
Global Platform 2.2 (http://www.globalplatform.org)
В карту загружен Java-апплет, реализующий функционал eToken PRO
Есть возможность загрузки дополнительных апплетов, созданных независимыми разработчиками

Слайд 13

Модели eToken
USB-ключ/смарт-карта eToken PRO (Java)
MobilePASS – программный OTP
Генератор одноразовых паролей eToken PASS
Комбинированный

Модели eToken USB-ключ/смарт-карта eToken PRO (Java) MobilePASS – программный OTP Генератор одноразовых
USB-ключ с генератором одноразовых паролей eToken NG-OTP (Java)
Комбинированный USB-ключ с дополнительным модулем flash-памяти eToken NG-FLASH (Java)
USB-ключ/смарт-карта eToken ГОСТ

Электронные ключи eToken

Слайд 14

1. Прямые потери клиентов
При атаке на одного клиента обычно похищается от 500,000

1. Прямые потери клиентов При атаке на одного клиента обычно похищается от
до 25,000,000 руб. При этом, в большинстве случаев одновременно атакуются несколько клиентов.
*Известны прецеденты, когда клиентам удавалось через суд взыскать с банка похищенные средства.
2. Репутационные потери Банка
«Продвинутые» пострадавшие публикуют информацию о хищениях на банковских ресурсах (www.banki.ru«Продвинутые» пострадавшие публикуют информацию о хищениях на банковских ресурсах (www.banki.ru, www.bankir.ru и т.д.), что вызывает отток клиентов и формирование негативного имиджа банка.
3. Затраченные ресурсы
Необходимо принимать во внимание расход на отвлеченный от работы департамент ИТ и Информационной безопасности

Финансово-экономическое обоснование проекта.
«Стоимость» риска

Слайд 15

Кроме того, после хищения обычно организуется DDoS-атака на сервис системы ДБО, в

Кроме того, после хищения обычно организуется DDoS-атака на сервис системы ДБО, в
результате чего он временно прекращает функционирование.
Можно посчитать убытки банка при атаке длительностью в 8 часов:
Недополученная прибыль:
Количество операций в ДБО. Цена одной операции в среднем 16 рублей.
  16 руб. – 5000 клиентов – 15 операций в день. = 1 200 000 руб.
Расходы на защиту от DDoS.
    оперативная защита 100 000 - 200 000 руб.
Если у ISP (провайдер) тарифицируется входящий трафик, то умножаем трафик в Гб на цену 1 Гб: 5 – 100 ГБ.
перерасход трафика. 5000 – 100 000 руб.
 Итого:
Не считая расследование (не входит в ущерб): от 1 305 000 до 1 500 000 руб.
* Расходы злоумышленника - 300 Евро.

Финансово-экономическое обоснование проекта
«Стоимость» риска (2)

Слайд 16

Финансово-экономическое обоснование проекта (3)

Как сделать информационную безопасность прибыльной?
Клиенты готовы платить за свою

Финансово-экономическое обоснование проекта (3) Как сделать информационную безопасность прибыльной? Клиенты готовы платить
безопасность
При правильной организации процесса, Банк имеет возможность дополнительно зарабатывать на услугах по обеспечению безопасности в своей системе ДБО.

Слайд 17

Финансово-экономическое обоснование проекта (4)

Содержание собственного Удостоверяющего центра

Исходные данные для расчёта:
- Стоимость ПО

Финансово-экономическое обоснование проекта (4) Содержание собственного Удостоверяющего центра Исходные данные для расчёта:
для УЦ на 5000 лицензий – 600,000 руб.
- Стоимость оборудования – 200,000 руб.
- Зарплата сотрудников в год (всего 3 человека) – 2,160,000 руб.
- Стоимость одного цифрового сертификата (коммерческий УЦ) –600 руб.

руб.

лет

Точка окупаемости

Слайд 18

* По данным Group IB для систем дистанционного банковского обслуживания

Старт проекта.
Оценка

* По данным Group IB для систем дистанционного банковского обслуживания Старт проекта.
рисков и выбор технологии защиты

Слайд 19

Предоставление клиентам средств защиты должно быть приведено в соответствие с их потребностями

Предоставление клиентам средств защиты должно быть приведено в соответствие с их потребностями
и уровнем риска
Физические лица - OTP-токены
Юр. лица (SMB) - Защищенные ключевые носители
Корпоративные клиенты - OTP + Защищенные ключевые носители
VIP-клиенты – защищенная мобильная ОС на носителе

«Лесенка» решений для клиентов

400-700 р.

800 -1000 р.

1200 -1600 р.

8000 -15000 р.

eToken PASS

eToken ГОСТ
eToken PRO (Java)

eToken NG-OTP
eToken PASS
+
eToken ГОСТ

eToken NG-FLASH
+
Программное
обеспечение

Слайд 20

На что стоит обратить внимание:
Организация работы подразделений, участвующих в процессе
Обучение персонала,

На что стоит обратить внимание: Организация работы подразделений, участвующих в процессе Обучение
который непосредственно общается с клиентами
- операционисты должны уметь правильно объяснить клиенту, зачем ему нужны средства защиты
Должен существовать регламент реагирования службы безопасности на инциденты (хищения средств, DDoS и т.д.)
*возможна передача данных задач на аутсорсинг специализированным компаниям
2. Юридические вопросы
Корректность клиентских договоров на обслуживание по системе ДБО, актов, доверенностей на генерации и т.д.
*при судебном разбирательстве любое упущение в договоре может привести к тому, что банку придется возмещать ущерб
Наличие лицензий на распространение СКЗИ, в соответствии с требованиями регулирующих органов
*претензии проверяющих на наличие лицензий ФСБ могут привести к приостановке деятельности организации

«Подводные камни»

Слайд 21

Best practice (1)

1. Повышение уровня безопасности должно сопровождаться улучшением пользовательских характеристик системы

Безопасность

Удобство

2.

Best practice (1) 1. Повышение уровня безопасности должно сопровождаться улучшением пользовательских характеристик
Для бизнеса: дополнительные возможности для коммуникации с клиентами и донесения рекламной информации

Слайд 22

3. «Схема одного визита». В Банке:

Клиент

Менеджер филиала

УЦ Банка

Подготовка комплекта документов

Заявление на открытие

3. «Схема одного визита». В Банке: Клиент Менеджер филиала УЦ Банка Подготовка
счета + заявка на выпуск технологического сертификата

Проверка документов, идентификация клиента, приём заявки на выпуск технологического сертификата

Формирование запроса на сертификат

Проверка (опционально) сформированного запроса

Издание технологического сертификата и его передача в филиал

Печать договора и копии технологического сертификата на бумажном носителе. Их передача с ключевым носителем клиенту

Ознакомление клиента с договором и проверка им соответствия электронной версии и бумажной копии технологического СКП

Подпись клиентом договора и бумажных копий технологического сертификата

Передача Банку подписанного договора и бумажной копии технологического сертификата

Best practice (2)

Слайд 23

3. «Схема одного визита». Удаленно:

Клиент

Менеджер филиала

УЦ Банка

Формирование клиентом на своём рабочем месте

3. «Схема одного визита». Удаленно: Клиент Менеджер филиала УЦ Банка Формирование клиентом
запроса на сертификат (подписанного технологическим сертификатом)

Издание сертификата клиента

Регистрация клиентом своего сертификата в системе

Начало работы клиента в системе ДБО

Best practice (3)

Слайд 24

Итоги реализованных проектов

Повышение лояльности клиентов за счет увеличения защищенности сервиса ДБО.
Снижение репутационных

Итоги реализованных проектов Повышение лояльности клиентов за счет увеличения защищенности сервиса ДБО.
рисков, связанных с распространением в СМИ публикаций о краже средств со счетов клиентов.
Повышение удобства подключения и работы клиента в системе ДБО
Дополнительные доходы для Банка. Департамент информационной безопасности перестает быть затратным подразделением.

Слайд 25

В России:
Альфа-банк
Банк Возрождение
Газпромбанк
КМБ-Банк
Коммерцбанк-Евразия
Метробанк
Уралпромбанк
Интерпрогрессбанк
и многие другие …

eToken в системах ДБО:

В мире:
Bankernes EDB

В России: Альфа-банк Банк Возрождение Газпромбанк КМБ-Банк Коммерцбанк-Евразия Метробанк Уралпромбанк Интерпрогрессбанк и
Central (BEC)
Banco Central do Brasil
Bank Hapoalim
Postbank
Commerzbank International S.A.
Israel Securities Authority
Hypovereinsbank (HVB)
Deutscher Ring
Israel Discount Bank Ltd.
NH-Bank
и многие другие…

Слайд 26


Спасибо за внимание!
asabanov@aladdin.ru
www.aladdin.ru

Спасибо за внимание! asabanov@aladdin.ru www.aladdin.ru

Слайд 27

«Аладдин Р.Д.» – визитная карточка

15 лет на рынке
Более 90 чел. (Московский офис)
Офисы:

«Аладдин Р.Д.» – визитная карточка 15 лет на рынке Более 90 чел.

Казахстан
Украина
Лицензии:
ФСБ (включая лицензии на гос.тайну и разработку шифросредств)
ФСТЭК России
Минэкономразвития (на экспорт/импорт шифросредств)
.

Основные направления:
Обеспечение безопасного доступа к информационным ресурсам (аутентификация)
eToken
Content Security для крупных корпоративных сетей и интернет-провайдеров
eSafe
Шифрование дисков, защита БД и перс. Данных
Крипто БД
Secret Disk
Защита ПО
HASP

Имя файла: W-w-w.-a-l-a-d-d-i-n.-r-u-2-я-Международная-конференция-«Инфофорум–Болгария»-13-17-сентября-2010г.-Решение-некоторых-актуальных-вопросов-информа.pptx
Количество просмотров: 105
Количество скачиваний: 0
- Предыдущая
Мульти-проект Енисейская Августовская ярмарка. Идеи и разработчики: Администрация города Енисейска, Дирекция Августовской ярмарк
Следующая -
РЕФОРМИРОВАНИЕ ГОСУДАРСТВЕННОЙ ГРАЖДАНСКОЙ СЛУЖБЫ В ПОСТСОВЕТСКОЙ РОССИИ: ИНСТИТУЦИОНАЛЬНЫЕ ТРАЕКТОРИИ И ИНСТИТУЦИОНАЛЬНЫЕ ЛОВ

Похожие презентации

Ошибки при выборе профессии
“Вектор СС". Комплексное решение для синхронизации шкал времени с Единой Государственной шкалой времени РФ через СРНС ГЛОНАСС в о
Вооружение российской армии
Оформление блюд, правила их подачи к столу
Типы организационных теорий и их принципы. (Тема 2)
Презентация.
Привлечение инвестиций
Расы и народы Земли
Институт фундаментальных проблем биологии РАН
Прохождение военной службы по контракту
«Психологическое сопровождение введения ФГОС НОО как один из инструментов оценки достижения планируемых результатов освоения Ос
Война за независимость. Создание США
Гуттаперча
Массивы
Я толерантный (фотографии)
Паспорт безопасности
Дворцы классицизматест
Нефтехимическая промышленность Ярославля
Выделительная система
Функции и задачи современных Вооружённых Сил России. Вооруженные Силы России в борьбе с терроризмом. 11 класс
Волга
Кодификация. Черты, принципы, типология, юридико-технические правила
Пользоваться технологиями – быть в плюсе. Ростелеком Бизнес
Основной функционал
Определение элементов, параметров, объемов, производительности и срока службы карьера
Художник Николай Васильевич Кузьмин
Проект Русский национальный костюм
Исследования, касающиеся выбора ПК среди однокурсников
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть