W w w. a l a d d i n. r u Методы снижения рисков при осуществлении финансовых транзакций в сети Интернет Денис Калемберг, Менеджер по работе с корпоративными.

Презентация:



Advertisements
Похожие презентации
1 Сергей Груздев, Ген. директор, Aladdin Инфофорум Использование Интернет: уровень выявленных угроз и текущая эффективность средств и методов защиты.
Advertisements

Аутентификация в системах Интернет-банкинга Анализ типичных ошибок Сергей Гордейчик Positive Technologies.
ПАО «КБ» ФИНАНСОВЫЙ ПАРТНЕР» предлагает НОВУЮ УСЛУГУ: Функция подтверждения платежей с помощью устройств «ОТР токен» в системах дистанционного банковского.
Состояние дел с мошенничествами Объемы мошенничества в Интернете за год выросли более чем в два раза и достигли в 2009 году 560 млн долларов. Таковы новые.
Хищения по системам ДБО. Прямые угрозы и скрытые риски. iBank 2 Key на страже безопасности ДБО: практика и перспективы Москва 2010 X международный форум.
W w w. a l a d d i n. r u С.А. Белов, руководитель стратегических проектов, Aladdin Москва, 11 декабря 2008 Использование токенов с аппаратной реализацией.
W w w. a l a d d i n. r u А.Г. Сабанов, зам.ген.директора, ЗАО «Аладдин Р.Д.» Инфофорум, 27 апреля 2009 Об одной проблеме применения ЭЦП как сервиса безопасности.
Горелов Дмитрий, компания «Актив» февраля 2012 г. IV Межбанковская конференция «Уральский Форум: Информационная Безопасность Банков» Технические.
ОКБ САПР Персональное средство криптографической защиты информации «ШИПКА»
W w w. a l a d d i n. r u Руководитель направления контент- безопасности Владимир Бычек Киев, 22 апреля 2010 года Средства строгой.
1 Брелок eToken. 2 Это первый полнофункциональный аналог смарт-карты, выполненный в виде брелока, архитектурно реализован как USB карт-ридер с встроенной.
ПЕРСОНАЛЬНОЕ СКЗИ ШИПКА ОКБ САПР Москва, 2007.
W w w. a l a d d i n. r u 2-я Международная конференция «Инфофорум–Болгария» сентября 2010г. Решение некоторых актуальных вопросов информационной.
Москва 2010 Баланс удобства и защищенности электронного банкинга Профили безопасности частных клиентов в iBank 2 - сплав технологий и бизнеса X международный.
Александр Федоров Начальник управления информационной безопасности ЗАО Банковские информационные системы (БИС) ЗАЩИТА ДАННЫХ В СИСТЕМЕ ДБО Защита данных.
W w w. a l a d d i n. r u eToken PRO Anywhere 1 Безопасный удаленный доступ с любого компьютера!
БЕЗОПАСНОСТЬ ИНИСТ БАНК-КЛИЕНТ. Введение Основным назначением системы «ИНИСТ Банк- Клиент» является предоставление клиентам банков возможности удаленного.
Александр Федоров Начальник управления информационной безопасности ЗАО Банковские информационные системы (БИС) ЗАЩИТА ДАННЫХ В СИСТЕМЕ ДБО Защита данных.
Опыт применения комплекса средств защиты информации ViPNet в банковском секторе Алексей Уривский менеджер по продуктам Тел.: (495)
Системы дистанционного банковского обслуживания в Уральском банке Сбербанка России.
Транксрипт:

w w w. a l a d d i n. r u Методы снижения рисков при осуществлении финансовых транзакций в сети Интернет Денис Калемберг, Менеджер по работе с корпоративными заказчиками ЗАО «Аладдин Р.Д.» РИФ, 2010г.

w w w. a l a d d i n. r u 2 Проблема - Появление новых «бизнесов» 1. Атаки на клиентов банков стали массовыми и адресными 2. «Разделение труда» –Сбор информации о клиентах, их счетах и суммах с целью перепродажи –Кража денег с выбранных счетов – проведение адресных атак Причины Кризис (обострение проблем) Доступность инструментария для подготовки и проведения адресных атак –Используются уязвимости ПО и бот-сети –Стоимость менее $100 Перекладывание ответственности за безопасность на клиента (хотя он не является экспертом в этом вопросе)

w w w. a l a d d i n. r u 3 Что происходит и почему? Масштаб бедствия Главные источники угроз Уязвимости Web-приложений – «заряженные» сайты – эксплойты 63% сайтов РФ имеют критические уязвимости * Специализированные эксплойты и трояны - антивирусы против них малоэффективны Как мы получаем spyware Переходя по ссылкам в спамерских письмах («грязный» спам) Через поисковики (подозрительные сайты) Фишинг (письма «от банка») Из 600 млн. компьютеров, подключенных к Интернет, млн. уже являются частью бот-сетей. Давос, январь 2007 Из доклада Виртона Серта Positive Technologies, %

w w w. a l a d d i n. r u 4 Конструктор spyware - специализированных троянов

w w w. a l a d d i n. r u 5 От защиты объекта к защите взаимодействия Основные векторы угроз Кража регистрационных данных клиентов (accountов) Кража / перехват ключей ЭЦП / кодов авторизации / одноразовых паролей (SMS) Противодействие Усиление аутентификации Использование лицензионного антивирусного ПО Использование автономных устройств OTP (One Time Password)- генераторов Токенов для защищенного хранения криптографических ключей ЭЦП Токенов с аппаратной ЭЦП (неизвлекаемый ключ ЭЦП) Для «толстого клиента» основной проблемой остается вопрос доверенной среды Большой интерес и новые разработки связаны с «тонким клиентом» (Web) вопрос к мобильности решения

w w w. a l a d d i n. r u 6 USB-токены для защищенного хранения ключей ЭЦП 6 Основные характеристики Резко снижает вероятность компрометации закрытого ключа ЭЦП Высокая защищенность чипа Двухфакторная аутентификация клиента

w w w. a l a d d i n. r u 7 USB-токены с «криптографией на борту» Решает проблемы Компрометации закрытого ключа ЭЦП Несанкционированного использования ключа ЭЦП Двухфакторной аутентификации клиента (на уровне приложения)

w w w. a l a d d i n. r u 8 Генераторы одноразовых паролей Решает проблемы Кражи регистрационных данных клиента Перехвата SMS с одноразовым паролем Мобильности клиента (ПК, телефон)

w w w. a l a d d i n. r u 9 Комбинированные USB-ключи Смартфон Карманный ПК Ноутбук Персональный компьютер Функционал смарт-карты ЭЦП, шифрование SSL Одноразовый пароль для КПК и компьютеров без USB-портов Терминал PDA Перевести $ Иванову Ивану Ивановичу ЭЦП -(контроль целостности и авторства) OTP -(собственноручное подтверждение)

w w w. a l a d d i n. r u 10 Комплексный подход к безопасности в системах ДБО Методы защиты: - Использование защищенных носителей ключей ЭЦП - Подтверждение совершенных операций при помощи одноразовых паролей -Использование персонального межсетевого экрана на рабочей станции -Использование лицензионного антивирусного ПО на рабочей станции *По данным Group IB с по Комплексный подход позволит свести к минимуму риски, возникающие в системах дистанционного банковского обслуживания.

w w w. a l a d d i n. r u Спасибо за внимание!