Хищения по системам ДБО. Прямые угрозы и скрытые риски. iBank 2 Key на страже безопасности ДБО: практика и перспективы Москва 2010 X международный форум.

Презентация:



Advertisements
Похожие презентации
Москва 2010 Баланс удобства и защищенности электронного банкинга Профили безопасности частных клиентов в iBank 2 - сплав технологий и бизнеса X международный.
Advertisements

W w w. a l a d d i n. r u Методы снижения рисков при осуществлении финансовых транзакций в сети Интернет Денис Калемберг, Менеджер по работе с корпоративными.
Горелов Дмитрий, компания «Актив» февраля 2012 г. IV Межбанковская конференция «Уральский Форум: Информационная Безопасность Банков» Технические.
Модуль «iBank 2 для 1С:Бухгалтерии». Новые возможности обслуживания корпоративных клиентов Компания « БИФИТ » МОСКВА, 2013 XIII Международный Форум iFin-2013.
Состояние дел с мошенничествами Объемы мошенничества в Интернете за год выросли более чем в два раза и достигли в 2009 году 560 млн долларов. Таковы новые.
БЕЗОПАСНОСТЬ ИНИСТ БАНК-КЛИЕНТ. Введение Основным назначением системы «ИНИСТ Банк- Клиент» является предоставление клиентам банков возможности удаленного.
Предотвращение мошенничества при проведении банковских транзакций докладчик: Павел Ложкин.
РЕШЕНИЯ КОМПАНИИ «АКТИВ» ДЛЯ СИСТЕМ ДБО Сухов Евгений, компания «Актив» 7-8 февраля 2012 г. XII Международный Форум iFin-2012 «Электронные финансовые услуги.
РАЗРАБОТКА КРИПТОГРАФИЧЕСКОГО МОДУЛЯ, ПРЕДОСТАВЛЯЮЩЕГО УСЛУГИ ШИФРОВАНИЯ С ИСПОЛЬЗОВАНИЕМ ФУНКЦИОНАЛА SIM КАРТЫ МОБИЛЬНОГО ТЕЛЕФОНА. Автор проекта: Карпов.
Горбенко Ю.И.(АО « ИИТ), Козлов Ю.Н.(ГУО), Горбенко И.Д.(ХНУРЭ), Оноприенко В.В.(АОИИТ) Актуальные вопросы развития национальной инфраструктуры открытых.
Александр Федоров Начальник управления информационной безопасности ЗАО Банковские информационные системы (БИС) ЗАЩИТА ДАННЫХ В СИСТЕМЕ ДБО Защита данных.
W w w. a l a d d i n. r u С.А. Белов, руководитель стратегических проектов, Aladdin Москва, 11 декабря 2008 Использование токенов с аппаратной реализацией.
Методы обеспечения безопасности в ДБО Продолжение 4.
Обеспечение доверенной визуализации подписываемых электронной подписью документов – как не допустить фальсификации ИНФОФОРУМ-2013 г. Москва, 5 февраля.
Информационная безопасность электронного города. Угрозы информационной безопасности электронному городу.
ПЕРСОНАЛЬНОЕ СКЗИ ШИПКА ОКБ САПР Москва, 2007.
Аутентификация в системах Интернет-банкинга Анализ типичных ошибок Сергей Гордейчик Positive Technologies.
«Электронная подпись в облаках и на земле» Фураков Александр Заместитель коммерческого директора ООО «КРИПТО-ПРО»
Услуги банков по контролю исполнения бюджетов для холдингов. Сервис «Корпоративное бюджетирование» в iBank 2 Москва 2010 X международный форум iFin-2010.
Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.
Транксрипт:

Хищения по системам ДБО. Прямые угрозы и скрытые риски. iBank 2 Key на страже безопасности ДБО: практика и перспективы Москва 2010 X международный форум iFin-2010

Угрозы хищений в системах ДБО Суть причины угрозы – хранение секретных ключей ЭЦП в файлах Суть технологии хищения – использование специализированного вредоносного ПО злоумышленниками для хищения секретных ключей гг. Регистрация первых случаев «технологичных» хищений секретных ключей ЭЦП клиентов. Первые успешные попытки хищения средств

Эволюция угроз, связанных с хищениями - Расширение спектра технологий хищений - новые трояны, фишинговые атаки - Применение DDoS-атак для маскировки хищений гг. - Усложнение технологий вывода средств: вместо переводов на карты и в цифровую наличность – переводы на счета подставных юридических лиц

Эволюция угроз, связанных с хищениями 1.Злоумышленник похищает секретные ключи клиента, используя троянскую программу 2.С использованием похищенных ключей осуществляется перевод со счета клиента 3.После исполнения банком распоряжения на списание средств со счета клиента организуется DDoS-атака. Цель – помешать клиенту войти в ДБО и обнаружить хищение средств DDoS-атаки. Анатомия угрозы

Эволюция угроз, связанных с хищениями Результат DDoS-атаки: Полная недоступность интернет-каналов банка Невозможность доступа всех клиентов к ДБО Невозможность взаимодействия с филиалами Недоступность иных каналов (телефон, факс) при осуществлении атаки на них DDoS-атаки. Анатомия угрозы Итог DDoS-атаки – серьезное нарушение операционной деятельности банка

Эволюция угроз, связанных с хищениями - Совершенствование троянов с целью обхода защитных механизмов (контроль IP- и MAC-адресов) 2009 г. - Рост числа DDoS-атак на банки (десятки случаев)

Противодействие хищениям 1.Контроль IP- и MAC-адресов 2.Контроль реквизитов по «черным спискам» 3.SMS-информирование клиентов и т.д. С чего все начиналось Почему не решило проблему 1.Вероятностный характер механизмов защиты 2.Возможность обхода злоумышленником 3.Большие издержки банка 4.Борьба не с причиной, а со следствием

Противодействие хищениям 1.Формирование ЭЦП в доверенной среде вне ПК 2.Генерация ключа ЭЦП внутри устройства 3.Отсутствие технической возможности передачи секретного ключа ЭЦП в ПК 4.Взаимодействие с компьютером через USB-интерфейс Суть технологии - принципиальное исключение возможности хищения ключей ЭЦП Персональный аппаратный криптопровайдер – ПАК

Противодействие угрозам хищений Принцип работы ПАК

ПАК «iBank 2 Key» Компания «БИФИТ» первой в России встроила поддержку ПАК в систему электронного банкинга «iBank 2» (февраль 2008 г.) В настоящее время банки-партнеры компании используют более 170 тысяч ПАК «iBank 2 Key» 23% банков осуществили полный перевод всех клиентов на «iBank 2 Key»

ПАК «iBank 2 Key» USB-токен и смарт карта «iBank 2 Key» на базе карточного чипа с КОС и сертифицированным СКЗИ «Криптомодуль-С»

Переход на использование ПАК Основной метод – плановый перевод всех клиентов на обязательное использование ПАК Достоинства: проработанная методология отсутствие необходимости продвижения ПАК принципиальное решение проблемы хищений Опыт показывает – в банках, осуществивших 100% переход на ПАК, с тех пор не было ни одного инцидента, связанного с хищениями

Переход на использование ПАК 1.Сохраняется риск хищений 2.Растущий поток попыток хищений направлен на сужающуюся клиентскую аудиторию 3.Сохраняется риск DDoS-атак для маскировки хищений Почему частичный переход на ПАК не решает проблему?

ПАК: перспективы развития Направления дальнейшего развития ПАК 1.Насыщение рынка сертифицированными доступными решениями 2.Создание высокопроизводительных решений 3.Создание «ПАК нового поколения» (с возможностью контроля содержимого подписываемого документа)

ПАК: перспективы развития Путь – создание и сертификация ПАК российскими разработчиками Способ содействия – законодательное регулирование использования ПАК (пример – Евросоюз, Германия) 1. Насыщение рынка сертифицированными доступными решениями

ПАК: перспективы развития Проблема современных ПАК – низкая скорость выполнения криптографических преобразований ( мс – формирование ЭЦП) Направление развития – создание устройств на базе микропроцессоров, обеспечивающих высокую скорость выполнения операций (формирование ЭЦП, шифрование) 2. Создание высокопроизводительных решений

ПАК: перспективы развития Современные ПАК решают задачу «как подписывать», но не контролируют «что подписывать» «ПАК нового поколения» - устройство с экраном, позволяющее контролировать содержимое подписываемых электронных документов 3. Создание «ПАК нового поколения»

ПАК: перспективы развития Пример прототипа устройства с аналогичной идеологией – IBM ZTIC 3. Создание «ПАК нового поколения»

Хищения по системам ДБО. Прямые угрозы и скрытые риски. iBank 2 Key на страже безопасности ДБО: практика и перспективы Шилов Станислав X международный форум iFin-2010