ГЛАВНАЯ | МОИ ДАННЫЕ | ФАЙЛЫ | ФОРУМ | ПОИСК | КОНТАКТ С НАМИ

 Имя

 Пароль

 Запомнить меня


Вы еще не с нами?
РЕГИСТРАЦИЯ предоставляет дополнительные возможности, недоступные гостям,
и делает удобней посещение портала.
Ваши регистрационные данные не будут использованы для СПАМа или переданы третьим лицам!
Забыли пароль?
ВАМ СЮДА!

Сейчас
143 гостей и
0 пользователей on-line

Анонимный гость. Вы можете ввести свой логин или свободно здесь зарегистрироваться.

Последние сообщения с форума
перейти к сообщениюИндексируе…(11)
 от jovial
 на 12/12 в 20:08
перейти к сообщениюВсе извили…(2)
 от jovial
 на 12/12 в 19:47
перейти к сообщениюОтпуск(1)
 от EkaterinaSachik
 на 04/12 в 14:17
перейти к сообщениюИнвестиров…(4)
 от Ramil
 на 22/03 в 09:10
перейти к сообщениюТрудности …(9)
 от OlegS
 на 13/02 в 14:59
перейти к сообщению20 вещей к…(23)
 от Olha
 на 01/12 в 10:58
перейти к сообщениюЗакрытые ф…(308)
 от Sergey777
 на 20/11 в 17:37
перейти к сообщениюЗакрытые ф…(755)
 от Arriiis
 на 23/10 в 18:23
перейти к сообщениюДивиденды …(6)
 от Sergey_Spirin
 на 20/09 в 10:09
перейти к сообщениюФондовый р…(52)
 от Solverch
 на 19/08 в 11:48

[Перейти на форум...]


 « Январь, 2018 » 
1234567
891011121314
15161718192021
22232425262728
293031

Свобода есть право на неравенство.

-- Николай Бердяев

Наши партнеры

Организация времени - тайм менеджмент и управление временем

На дистанции одного банка
Криминал
Наталья Анищук , "Финанс."

Вы пользуетесь интернет-банкингом, вводя pin-код своей карты или только многоразовые пароли? Профессионалы советуют отказаться от таких систем: они слишком опасны.


4 сентября система интернет-банкинга Faktura.ru (охватывает 230 банков, ее ежедневный оборот превышает 5 млрд рублей) подверглась хакерскому нападению. Были использованы DDOS-атаки, когда с множества компьютеров на атакуемый сервер направляется поток ложных запросов. В итоге сервер тратит ресурсы на обслуживание этих запросов и недоступен для обычных пользователей. Суммарный трафик от атак достигал до 20 Мбит/с. Специалисты Faktura.ru зафиксировали 27 попыток проведения мошеннических операций, из них удалось предотвратить 17. В результате пострадали клиенты пяти банков. Общая сумма ущерба составила 2,18 млн рублей. Только 11 сентября атаки были нейтрализованы и доступ к системе восстановился. Делом о хищении средств занялись компетентные органы.

Повадки мошенников. Но это частный случай. Более распространенный и эффективный способ мошенничества – фишинг. Создаются дубликаты банковских сайтов. Невнимательный клиент, попадая на них, вводит свои конфиденциальные данные, например реквизиты карты с секретным кодом. Перехваченной информации достаточно для совершения покупки в интернет-магазине. А если клиент «поделился» идентификатором и паролем, то может остаться с пустым счетом. «Удобно имитировать такой информационный обмен, подключив клиента к ложной точке доступа Wi-Fi, например в аэропорту», – «обнадеживает» Константин Кузовкин, начальник отдела технических решений департамента информационной безопасности компании «Ай-теко».

Другой вариант угрозы: на компьютер пользователя пробираются программы, которые и похищают конфиденциальную информацию. Наиболее распространены «трояны», подменяющие аутентификаторы пользователя и производящие операции от его имени. Подверженность компьютера атакам вредоносных программ объясняется работой пользователя без антивирусного ПО. «Степень поражения иногда доходит до того, что управление компьютером и доступ к его данным злоумышленники получают круглосуточно и в любом объеме, – говорит председатель правления ЦФТ Александр Погудин. – Случаев, когда пользователь интернет-банкинга на 100% соблюдал меры безопасности, но при этом все равно пострадал от хакеров, пока не существует в истории». В результате банки вынуждены заниматься повышением компьютерной грамотности своих клиентов. «Мы информируем наших клиентов о появлении новых угроз, рекомендуем антивирусные программы и постоянно консультируем по вопросам информационной безопасности», – рассказывает Павел Новиков, начальник управления автоматизации СБ-банка.

Как снизить риск потерь при пользовании интернет-банкингом? Возможен вариант с одноразовыми паролями, когда пользователь получает от банка либо специальную программу для их генерации, либо просто их перечень. Чуть сложнее с криптографией: каждое свое послание пользователь интернет-банкинга шифрует с помощью электронной цифровой подписи (ЭЦП), а ключ для прочтения есть только у банка. Проблема в том, как отрезать посторонним возможный доступ к средству шифрования. Здесь могут использоваться смарт-карты, правда тогда потребуется устройство для считывания данных, которое надо подключать к компьютеру. Или специальный pin-код – проще, но менее надежно.

Спасение в ЭЦП. При оценке степени защищенности интернет-банкинга, по мнению руководителя управления «Фронт-офисные решения» компании «Диасофт» Константина Варова, можно обратить внимание на следующие моменты:

• используемые средства авторизации и аутентификации;

• дополнительные меры повышения безопасности (лимиты операций, лимиты суточные/месячные, лимиты на получателей, регистрация получателей, наличие системы борьбы с мошенниками);

• sms-оповещения о попытках входа и их результатах, о совершении операций;

• наличие колл-центра с функциями технической поддержки и разбора претензий, время соединения со специалистом, оперативность реакции на запросы.

Константин Кузовкин называет недопустимым тот случай, когда для аутентификации требуется вводить pin-код своей карты. Нежелательно использование многоразовых паролей. «Правда их ввод с помощью виртуальной клавиатуры снижает вероятность перехвата со стороны злоумышленника», – отмечает эксперт.

Чем сложнее процесс аутентификации, тем больше защищена система. Так, в СБ-банке при соединении клиента с интернет-сервером вся информация идентифицируется и шифруется. Документы, которыми обмениваются пользователи, подписываются ЭЦП. Ключи хранятся у клиента и защищены pin-кодом. Даже если злоумышленнику станут известны логин и пароль, сделать с деньгами он ничего не сможет. «Чтобы предотвратить попытки несанкционированного списания денежных средств, в них включены процедуры проверки характера платежа, идентификация реквизитов для оплаты и IP-адреса клиента», – добавляет Павел Новиков.

Особый подход. Забота о клиенте и средствах его аутентификации не гарантирует защищенность без серьезного отношения к информационной безопасности back-офиса банка. Для кредитных организаций «человеческий фактор» особенно силен: порой здесь работают люди, даже более неграмотные в плане защиты информации, чем их клиенты. Персонал пытается установить собственное программное обеспечение, и иногда это удается, рассказывает сослуживцам о паролях. «Именно несоблюдение административно-технических мер зачастую приводит к крупным финансовым и репутационным потерям», – говорит директор департамента систем электронного банковского обслуживания компании R-Style Softlab Алексей Кирюшенков.

Усложнение решений по безопасности также вызвано возрастающей функциональностью интернет-банкинга. Банки вынуждены искать неординарные методы защиты. Кроме конкретных программных и аппаратных средств защиты, формируется тактика взаимодействия с клиентами в кризисных ситуациях. В процессе отражения DDOS-атак Faktura.ru обратилась к банкам-партнерам. В результате в течение всего периода атаки банки вручную контролировали сделки стоимостью от 100 тыс. рублей, а 9 сентября не проводились небюджетные платежи.

ЭКСПЕРТЫ О БЕЗОПАСНОСТИ ИНТЕРНЕТ-БАНКИНГА

Александр Погудин, председатель правления Центра финансовых технологий:
– Критериев оценки систем ДБО может быть два: функциональность и удобство использования. Оценить достоинства и недостатки механизма обеспечения информационной безопасности в конкретной системе сложно и не всегда имеет смысл. Во-первых, ее уровень всегда отвечает неким промышленным стандартам. Во-вторых, напрямую зависит от функциональности того, что защищает: чем больше операций позволяет совершать система, тем сложнее алгоритмы авторизации. Косвенно о том, что система «умеет», можно судить по тому, насколько легко получить к ней доступ: чем проще, тем примитивнее функционал.

Константин Кузовкин, начальник отдела технических решений департамента информбезопасности «Айтеко»:
– Проверка подлинности, причем как отправителя, так и получателя сообщения, может быть однофакторной, например по многоразовым паролям, или многофакторной (строгой). Во втором случае пользователь предоставляет несколько аутентифицирующих факторов, например смарт-карту, pin-код, сертификат открытого ключа. Желательно, чтобы «строгий» процесс был организован с применением одноразовых паролей и цифровых сертификатов. При этом необходимо использовать соответствующие аппаратные средства – е-токены, смарт-карты, устройства генерации одноразовых паролей.

Константин Варов, руководитель управления «Фронт-офисные решения» «Диасофта»:
– 2-3 года назад многие отечественные банки не понимали смысла использования систем информационной безопасности. Теперь многие пользователи «доросли» до использования электронных финансовых услуг. Не только интернет-банкинга, но и различных платежных систем, личных кабинетов страховых компаний. Банки, заранее не позаботившиеся о предоставлении своим клиентам таких функций, теперь «кусают локти», упустив этот сегмент рынка. Но в целом это направление, за редким исключением, проспала вся российская банковская система.

Алексей Кирюшенков, директор департамента систем электронного банковского обслуживания компании

R-Style Softlab:
– Банк сам определяет допустимый уровень угроз и рисков и выстраивает соответствующую систему безопасности. Стоимость решения зависит от сложности схем защиты. Традиционные средства аутентификации – одноразовые пароли. В более серьезных решениях применяются средства криптографической защиты. Большую популярность набирает биометрия. Помимо соответствующего уровня проверки пользователей необходимо обеспечить защиту информации на уровне архитектуры самой системы, с разделением ее на сегменты и определением правил их взаимодействия.

 
Эта статья не имеет оценки.

На дистанции одного банка | Войти/Создать логин | 0 комментариев
За коментарии ответственны только те, кто их поместил. Мы не несём ответственности за них.


банки, бизнес, биржевая торговля, биржи, векселя, вклады, депозиты, денежные переводы, доверительное управление, дорожные чеки, драгоценные камни, драгоценные металлы, законодательство, зарубежные счета, зарубежные фонды, игры, иностранная валюта, интервью, интернет, интернет-трейдинг, ипотека, кредитование, криминал, мировая экономика, налогообложение, недвижимость, недвижимость - гаражи, недвижимость - офисы, недвижимость - склады, недвижимость в аренду, недвижимость загородная, недвижимость зарубежная, новостройки, облигации, образование, он-лайн банкинг, ОФБУ, пенсионные фонды, первичное размещение, персоны / .. , ПИФы, пластиковые карты, прямые инвестиции, рейтинги, сейфовые ячейки, срочный рынок, страхование, технический анализ, товарный рынок, управление рисками, управление финансами, фондовый рынок, форекс, фундаментальный анализ, экономика России, эмитенты / ..


Оставляя на сайте свои персональные данные, вы тем самым соглашаетесь с тем, что ваша информация будет использована в соответствии с
Политикой конфиденциальности

Адрес для переписки - director@fintraining.ru

Яндекс цитирования

(с) 2004 - 2017, Сергей Спирин, все материалы сайта, кроме подписанных прочими именами
Создание сайта - Визуал Квадрат