Москва 2010 Баланс удобства и защищенности электронного банкинга Профили безопасности частных клиентов в iBank 2 - сплав технологий и бизнеса X международный форум iFin-2010
Противостояние: Удобства и Безопасности
1. Защита от автоматизированного подбора пароля 2. Защита от фишинга и вредоносных программ 3. Многофакторная аутентификация клиента 4. Обеспечение аутентичности документов Электронный банкинг для частных клиентов Безопасность
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) – механизм различения человека и компьютера с помощью изображения текста с добавлением «шума» 1. Защита от автоматизированной регистрации и подбора логинов/паролей – CAPTCHA iBank 2 для частных клиентов Безопасность
2.1. Защита от фишинга Справка
Более 90% фишинговых атак направлено на банки Статистика $ – оценка прямых потерь клиентов банков США в 2007 году от фишинга Количество уникальных атак – до в месяц Фишинг в финансовом секторе 2.1. Защита от фишинга
Статистика II кв 2008 Число сайтов, распространяющих вредоносное ПО, выросло на 47% по сравнению с 1-м кварталом и на 258% по сравнению с 2007 г. Фишинг в финансовом секторе 2.1. Защита от фишинга Август 2009 г - Уникальных фишинговых сайтов (рекорд) - Количество атакуемых брендов выросло на 10% - 80% атак приходится на финансовые и платежные сервисы AntiPhishing Working Group (antiphishing.org) III.2009
Персональный интерфейс для аутентификации банковского сайта клиентом Включает: - личное обращение - индивидуальная картинка - цвет фона и рамки виртуальной клавиатуры 2.1. Защита от фишинга iBank 2 для частных клиентов Безопасность
Пример персонального интерфейса 2.1. Защита от фишинга iBank 2 для частных клиентов Безопасность
2.1. Защита от фишинга iBank 2 для частных клиентов Специальная антифишинговая процедура при работе с недоверенного компьютера - аутентификация по независимому каналу - проверка подлинности URL сайта банка Безопасность
Виртуальная клавиатура позволяет защититься от специализированного ПО, перехватывающего пароли (кейлогеры, скринскрейперы,..) 2.2. Защита от вредоносных программ iBank 2 для частных клиентов Безопасность
Группы факторов - то, «что клиент знает» (долговременный пароль) - то, «что клиент имеет» (источник одноразовых паролей) - то, «кем является клиент» (DeviceID) Сочетание двух и более факторов качественно усложняет получение злоумышленником доступа к ресурсам клиента 3. Многофакторная аутентификация iBank 2 для частных клиентов Безопасность
Сценарии двухфакторной аутентификации - Полный (расширенный): одноразовый пароль + долговременный пароль - Упрощенный: DeviceID + долговременный пароль 3. Многофакторная аутентификация iBank 2 для частных клиентов Безопасность
Источники одноразовых паролей: - SMS-сообщение на мобильный телефон - OTP- токены и MAC-токены - скретч-карты - голосовая аутентификация в Call-центре 3. Многофакторная аутентификация iBank 2 для частных клиентов Безопасность
Механизмы подтверждения электронных распоряжений клиента: - код подтверждения (OTP) - аналог собственноручной подписи (АСП) - электронная цифровая подпись (ЭЦП) 4. Обеспечение аутентичности документов iBank 2 для частных клиентов Безопасность
4.1 Код подтверждения (OTP) 4.2. Аналог собственноручной подписи (АСП) 4. Обеспечение аутентичности документов iBank 2 для частных клиентов Безопасность
4.3. Электронная цифровая подпись 4. Обеспечение аутентичности документов iBank 2 для частных клиентов iBank 2 Key Безопасность
4.3. Электронная цифровая подпись 4. Обеспечение аутентичности документов iBank 2 для частных клиентов iBank 2 Key Безопасность
Профили безопасности частных клиентов в iBank 2
Профили безопасности iBank 2 для частных клиентов 1. Категория: новый / информационный / полнофункциональный 2. Многофакторная аутентификация: да / нет 3. Способы получения OTP: SMS, токен, карта, Call-центр… 4. Виртуальная клавиатура: да / нет 5. DeviceID: да / нет 6. CAPTCHA: да / нет 7. Лимиты операций и способы подтверждения
iBank 2 для частных клиентов Профили безопасности
iBank 2 для частных клиентов Профили безопасности
Проанализировав аудиторию частных клиентов, Банк выделил следующие категории: - «информационные» - «экономные» - «продвинутые» - «VIP» Пример использования банком iBank 2 для частных клиентов Профили безопасности
«Информационные» (клиенты зарплатных проектов): - Услуги – информационные - Финансовые риски – отсутствуют - Дополнительное условие – максимальная простота Профиль безопасности: - однофакторная аутентификация - только долговременный пароль - никаких дополнительных механизмов Пример использования банком iBank 2 для частных клиентов Профили безопасности
«Экономные»: - Услуги – переводы по своим счетам и платежи - Финансовые риски – невысокие - Дополнительные условия – максимальная экономия Профиль безопасности: - многофакторная аутентификация (с DeviceID) - защита от фишинга - одноразовый пароль по SMS - подтверждение документов кодом подтверждения - лимиты по суммам операций Пример использования банком iBank 2 для частных клиентов Профили безопасности
«Продвинутые»: - Услуги – переводы по произвольным реквизитам - Финансовые риски – повышенные - Дополнительные условия – повышенная защищенность, за которую готовы платить Профиль безопасности: - многофакторная аутентификация, защита от фишинга - одноразовый пароль с MAC-токена - подтверждение документов АСП с MAC-токена - лимиты по суммам операций Пример использования банком iBank 2 для частных клиентов Профили безопасности
«VIP»: - Услуги – максимальный набор - Финансовые риски – высокие (крупные суммы) - Дополнительные условия – максимум безопасности, минимум ограничений Профиль безопасности: - многофакторная аутентификация, защита от фишинга - одноразовый пароль для входа - подтверждение документов ЭЦП (без ограничений по сумме) Пример использования банком iBank 2 для частных клиентов Профили безопасности
iBank 2 для частных клиентов Управление правами на услуги
iBank 2 для частных клиентов Вместо вывода Профили безопасности позволяют 1.Не подстраиваться под систему – подстроить систему под себя, под клиента 2.Гибко оперировать технологиями безопасности зависимости от изменения характера клиентской базы, масштабов проекта, финансовых условий 3.Быть готовым к возникновению новых угроз, оперативно реагировать на изменения в условиях обслуживания
Мустафаев Рустам X международный форум iFin-2010 Баланс удобства и защищенности электронного банкинга Профили безопасности частных клиентов в iBank 2 - сплав технологий и бизнеса
Мустафаев Рустам X международный форум iFin-2010 Баланс удобства и защищенности электронного банкинга Профили безопасности частных клиентов в iBank 2 - сплав технологий и бизнеса