пятница, 27 июля 2012 г.

Дистанционные банковские услуги: под прицелом киберпреступников


   Сегодня 27 июля 2012 года состоялась пресс-конференция по теме "Дистанционные банковские услуги: под прицелом киберпреступников", которую организовал и провел Международный банковский клуб с партренами в здании ИТАР-ТАСС.
   На вопросы присутствующих отвечали Курило А.П. (Банк России), Сумманен К.Т. (Банк ВТБ), Голенищев А.А. (Альфа-Банк), Конявский В.А. (МФТИ), Лайков А.Г. (Система денежных переводов BLIZKO Связь-Банка), Черноморов С.А. (HandyBank), Шумский Л.С. (Связной Банк) и ведущий круглого стола Аитов Т.Н. (АРБ).
   Скажу честно, но чего-то нового и революционного я не услышал. Основное, что бросается в глаза, это то, что от мероприятия к мероприятию меняются акценты. Наверно лет этак 5-8 назад основной акцент на таких мероприятиях делался на технических мероприятиях и необходимости внедрения технических средств. Позже акцент перешел на орг.мероприятия, в частности, говорилось, что нужно разработать отраслевой Стандарт и будет всем счастье. Однако, даже после разработки целого комплекса Стандартов в области ИБ ситуация в корне не поменялась. Еще позже акцент перенесся на необходимость разработки адекватной нормативной базы и неотвратимости наказания. Сегодня же, одним из основных докладчиков Курило А.П., акцент был сделан на системности решения проблемы безопасности не только ДБО, но и всех дистанционных банковских услуг.
   Из наиболее интересного:
   1. Курило А.П.:
- Альтернативы ДБО сейчас нет. Соответственно речи о упразднении данного вида услуг для клиентов не идет.
- Объем операций по денежным переводам превышает десять миллионов транзакций в сутки. При этом нет статистики, сколько из этих транзакций мошеннические.
- Стандартные решения для обеспечения безопасности ДБО не применимы и нужно проблему решать системно.
- Примеры эффективных решений есть у PCI Council, в частности переход с магнита на чип позволил снизить число мошеннических транзакций на 90%.
- Банковскому сообществу нужно оперативно информировать друг друга о произошедших инцидентах и мошеннических операциях.
- Нужно применять меры по блокированию мошеннических переводов. Если все же деньги уже сняты, то нужно плотно взаимодействовать с правоохранительными органами.
- Порядка 50% атак происходит с использованием методов социальной инженерии и нужно информировать и воспитывать общество.
- Нужно создать банковский CERT.
- Банки не охотно делятся информацией о компрометации карточек, т.к. это негативно играет на их репутации. В Нидерландах провели исследование и выяснилось, что после того, как пресса публикует информацию о компрометации карточки того, либо иного банка, то сразу обороты этого банка падают на 3%.
- Создание базы инцидентов поддерживается, но есть ряд серьезных вопросов, на которые пока нет четких ответов. В частности, как обеспечить безопасность этой самой базы, нужно установить ответственность всех лиц имеющих к ней доступ за разглашение, где взять деньги на финансирование этой большой работы. Банк России не готов финансировать.
   (От себя добавлю, что данная база будет одним из инструментов конкурентной борьбы одних банков с другими).
- Что касается статистики инцидентов, то пока ее нет. Выпущено указание БР 2831-У по которому участники обязаны писать отчеты и предоставлять их в БР. Через пол года будет данная система отработана и появится статистика.
   2. Шумский Л.С.:
- Есть проблемы по взаимодействию между банками при возникновении инцидентов ДБО.
- Существует рабочая группа, которая разработала рекомендации для клиентов, как действовать при инциденте, как получить деньги назад. Рекомендации содержат более 10 форм заявлений в банк, в правоохранительные органы и т.п.
Основная цель этих рекомендаций, это остановка транзакций, пока деньги не обналичились.
- На сайте НП "НПС" будет закрытый раздел по обмену информацией по инцидентам между банками.
   3. Сумманен К.Т.:
- Должен действовать принцип неотвратимости наказания.
- Риск в ДБО может быть сведен к минимуму, если клиент будет выполнять все указания банка.
- Нужно создать базу по инцидентам и мошенникам по аналогии с кредитованием и Бюро Кредитных Историй.
- Нет системы обучения и информирования клиентов (общества). Это обучение, ликбез нужно вводить в школах.
   4. Голенищев А.А.:
- В Альфа-Банке создана система on-line-мониторинга каналов ДБО. Можно видеть и отсекать мошеннические операции во время самой операции. После введения этой системы во втором квартале потери от инцидентов составили всего порядка 100т.р.
   5. Черноморов С.А.:
- Многие инциденты банками скрываются, чтобы не терять репутацию.
- Эффективность взаимодействия службы безопасности и Управления К зависит от отношений между сотрудниками СБ банка и сотрудниками Управления К. Если они хорошие, то дело сдвинется с мертвой точки.
   6. Конявский В.А.:
- Достаточно оригинальные методы предотвращения киберпреступности предложил Конявский В.А.:
- Перед запуском Банк-клиента нужно перегрузить компьютер. После этого поработать и опять перегрузить компьютер. До этого и после этого можно лазить хоть по порно-сайтам (оставлены авторские выражения). К сожалению, на вопрос, что делать если в системе сидит троян, автор этого предложения не ответил.
- Банки должны установить лимиты для клиентов по компенсации ущерба. Т.е. если клиент у себя использует слабые средства защиты и аутентификации, то лимит установить на минимуме, а если используются средства защиты рекомендованные банком и сертифицированные, то лимит установить больше.
Участники круглого стола не поддержали эту идею, т.к. установление любого лимита, это ущемление прав клиента и внесение дополнительных неудобств клиенту.

Комментариев нет:

Отправить комментарий