Безопасность ДБО и минимизация

финансовых потерь

Профессиональные встречи (не за кружечкой пива, хотя после можно)

Алексей Кан SSCP, C|EH, CCNA

Старший консультант KPMG

24.05.2012

2© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

О чем пойдет речь?

ДБО – Дистанционное Банковское Обслуживание, клиент-серверное приложение позволяющее клиенту банка осуществлять операции со счетом через сеть Интернет.

Активное развитие ДБО началось во время начала финансового кризиса, и параллельно возросли финансовые потери Банков.

IC3 Internet Crime Report in USA

3© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

За и против

Преимущества ДБО для клиента:• Постоянный доступ к счету для проведения платежей;• Нет необходимости ездить в Банк, стоять в очередях;•Увеличение скорости обслуживания.

Преимущества ДБО для банка:• снижение операционных издержек;• повышение лояльности абонентов;• увеличение количества ежедневных операций;

Угрозы использования ДБО для клиента:• Возможность потерять средства на счету;

Угрозы использования ДБО для банка:• финансовые потери;• репутационные потери;• доступность сервиса;

4© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

ДБО и ИБ

ДБО

Бизнес

Безопасность

ИБ

5© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

А стоит ли игра свеч? Или риски решают все!

Эффективная оценка рисков, позволит определить величину допустимых финансовых потерь для бизнеса, если возникает инцидент связанный с ДБО.

Понимая, что мы защищаем, мы можем эффективно внедрять средства защиты и контроля.

«Не стоит тратить на защиту 10 млн., если объект защиты стоит 100 тыс.»

Старый-мудрый безопасник

6© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

А кто будет крайним?

Банк?

Клиент?

Вендор?

или хакер?

Варианты угроз:Атака на ДБО от Банка

Атака на клиента

Атака на ДБО Вендора

А поймайте его сначала…..

7© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

Механизмы защиты доступа

1. Использование двухфакторной авторизации (What you have)Сертификаты

Генераторы одноразовых паролей

Защищенные носители информации

Токены со смарт-картой.

SMS-авторизация

2. Использование двухфакторной авторизации (What you are) Отпечаток пальца(ов)

Отпечаток капилляров

Радужная оболочка глаза

Геометрия лица

8© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

Контроль и авторизация операций

По каждой операции должно производится оповещение владельца счета, посредством: SMS сообщения;

электронного сообщения.

При проведении операций превышающих порог чувствительности, должна производится дополнительная авторизация посредством: ввода кода подтверждения полученного через SMS сообщение;

телефонного звонка клиенту с обязательной записью разговора;

посредством дополнительного авторизации через токен или смарт-карту.

9© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

Сбор доказательной базы

1. Создание защищенной копии лог-файлов сервера приложений (web-сервера)

2. Создание защищенной копии лог-файлов баз данных

3. Создание копии всего сетевого трафика взаимодействия с сервером ДБО

4. Установление контактов с отделом полиции по расследованию компьютерных

преступлений

5. Обеспечение единого системного времени

6. Создание процедуры оперативного реагирования на инциденты ДБО

включающей:

Процедуру по полному отключению ДБО

Процедуру по блокированию мошеннических транзакций

Процедуру сбора доказательной базы и вызова криминалистов

План действия если инцидент произошел у клиента

10© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

И самое главное….

Организация мероприятий по повышению уровня осведомленности в области безопасности как персонала банка так и клиентов…

11© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

Последний слайд

Вопросы???

© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

The KPMG name, logo and “cutting through complexity” are registered trademarks or trademarks of KPMG International Cooperative (“KPMG International”).