2. 2
• Способы атак эволюционируют вместе со
средствами безопасности.
• Самое слабое место – человеческий фактор.
• Не существует «серебряной пули» для защиты от
хищений.
• Чтобы быть эффективной, защита должна быть
эшелонированной.
Основные постулаты
информационной безопасности ДБО
Это касается каждого!
#forumbs
3. 3
Как это было
2007 г. – внедрение USB-токенов
2007 г. – первые случаи хищения файлов секретных ключей ЭЦП
2010 г. – внедрение одноразовых паролей
2010 г. – удаленное управление компьютером клиента
2011 г. – подмена отображаемой информации
2013 г. – трояны под мовременные мобильные платформы
2014 г. – троянские программы на компьютерах Банка
2012 г. – перехват одноразовых паролей
#forumbs
4. 4
Что дальше?
Текущая тенденция:
Рост доли «сложных» атак по мере распространения механизмов
защиты от «простых» атак.
Основные направления атак
Текущая
распростр.
Тенденция
Удаленное управление компьютером клиента
Подмена отображаемой информации
«Лишний» платеж в пачке
Мобильные вирусы,
перехват SMS-сообщений
Атаки на компьютеры Банка
#forumbs
5. 5
• Контролировать рабочие места
• Обеспечить достоверность подписываемой информации
• Контролировать действия и платежи клиента со стороны
Банка
Что делать?
Как?
#forumbs
6. 6
• Защиту от скрытного перенаправления на ложный IP-адрес
• Защиту от фишинга
• Проверку операционной системы на наличие уязвимостей
Internet-Банкинга и руткитов
• Защиту от несанкционированного снятия скриншотов
• Защиту данных от перехвата на этапе ввода
• Защиту от программ, собирающих персональную информацию.
• Предотвращение заражений вредоносными программами и их
оперативное удаление.
Защита компьютера клиента #forumbs
7. 77
Защита компьютера клиента
Решаемые задачи:
• активное противодействие вредоносному ПО на
компьютере клиента (снижение вероятности
инцидента)
• предоставление дополнительной информации
системе Fraud-мониторинга (снижение ложных
срабатываний).
#forumbs
11. 11
Fraud-мониторинг
Преимущества готового решения
• оперативность внедрения (до 1-2 недель);
• проактивная защита учет специфики конкретной системы ДБО;
• управляемость;
• политика лицензирования;
• российская разработка:
• учет российских реалиев;
• стоимость не зависит от курса валют;
• внутри России.
Преимущества облачного решения
• отсутствие затрат на внедрение;
• отсутствие затрат на сопровождение;
• информация по многим критериям аккумулируется от всех кредитных
организаций, использующих сервис;
• оперативная адаптация настроек системы при возникновении новых
угроз;
• решение о выполнении платежа принимает только
сотрудник Банка.
#forumbs
12. 12
Trust Screen
Токен с функцией визуализации
ключевых реквизитов документа.
Обеспечение достоверности подписываемой
информации
Универсальное устройство,
разработанное на открытых стандартах
для любой системы, как ДБО так и любой
другой.
Скорость расчета хэша 700 Кбайт/с
14. 14
Trust Screen
Преимущества
• Документы подписываются в изолированной безопасной среде
токена.
• Trustscreen применяется в качестве основного средства подписи
документа.
• Конструктивная особенность Trustscreen исключает возможность
подписи документов без визуализации ключевых полей документа.
• Токен поддерживает все документы ДБО, для подписи
многострочных документов применяется скроллинг.
• Устройство универсально и подходит для всех систем ДБО.
#forumbs
15. 15
Защищайте себя и своего клиента!
Налетова Дарья
naletova@bifit.com
#forumbs