Коммерцбанк АГ в России

2Cash Management and International Business & IT Security | Saint Petersburg | 24.04.2014

ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)»

Коммерцбанк АГ в России

Акционер: 100% Commerzbank AG

ЗАО «Коммерцбанк (Евразия)»:

- головной офис в Москве и филиал в С.-Петербурге

Представительство с 1976 г

Дочерний банк с 1993/1999 (Дрезднер Банк / Коммерцбанк)

Основное направление – обслуживание корпоративных клиентов

Сотрудников: 150

2 место среди немецких банков в России*

10-е место среди международных банков в России*

Опыт и традиции

Головной офис в Москве

Филиал в Санкт-Петербурге

____________________

*по капиталу, banki.ru, дек. 2013

Дочерний банк в Москве с филиалом в С.-Петербурге



Содержание

1. Несанкционированный доступ в систему Банк-Клиент

Способы и нарушители

Как это выглядит?

Что делать?

Превентивные меры

2. Фишинг / фальшивый сайт

3. Global Payment Plus: современный уровень удобства и безопасности

Обзор

EBICS

USB stick

Обмен ключами

4. Дополнительнoе решение: разделение счетов Клиента

5. Ответы на вопросы



Несанкционированный доступ в систему Банк-Клиент

Способы:

- перехват управления компьютером;

- кража логина и пароля клиента для входа в систему, а также ключа электронной подписи;

- перехват данных в процессе соединения с Банком.

Нарушители:

- штатные сотрудники;

- нештатные сотрудниками, обслуживающие компьютеры;

- злоумышленники, получившие доступ к компьютерам через сеть Интернет или иные каналы связи.



Как это выглядит?

- наличие в системе неавторизованного платежного поручения или запроса на выписку;

- «самостоятельная» (независимая от действий пользователя) работа компьютера: перемещение курсора, открытие и закрытие окон программ, заполнение форм и документов и пр.;

- нестабильная работа компьютера или полная его неработоспособность;

- невозможность входа в систему со своим паролем;

- не работает ключевой носитель.



Что делать?

- срочно позвоните в отдел сервисной поддержки банковских операций Банка по телефонам

(495)797-48-42 или (812) 718-51-53

и проинформируйте об имеющихся подозрениях или фактах;

- проверьте содержание всех выполненных за последнее время платежей;

- направьте в Банк заявление о блокировке операций в системе;

- произведите смену ключей ЭП.



Превентивные меры

Технические

- выделенный компьютер для работы с системой банк-клиент;

- правильная настройка и обновление операционной системы и антивирусного ПО;

- доступы только для пользователей системы банк-клиент и только в рамках работы с этой системой.

Организационные

- ограничение доступа к компьютеру и ключам электронной подписи;

- политика использования ключей электронной подписи и ответственность за её нарушение;

- при возможности использовать распределенное право подписи (первая и вторая подпись) вместо права единственной подписи.



Фишинг / фальшивый сайт

- при входе в систему банк-клиент Банка контролировать наличие защищенного соединения, а именно: в начале адресной строки должен отображаться тип протокола https

https://ic.commerzbank.ruhttps://ic.commerzbank.ru

- Для проверки данных владельца сайта щелкнуть по значку защищенного соединения.



Global Payment Plus: обзор

- Канал доступа: Интернет

- EBICS = Electronic Banking Internet Communication Standard

• Стандарт безопасности и средства безопасности EBICS

• технология 3-х ключей: электронной подписи + аутентификации + шифрования

• дает возможность работы с несколькими банками с одним набором ключей

- Персональный GPP stick “все в одном”:

• Защищенные Операционная Система + браузер + ПО

• Автоматически обновляемое ПО (защищенный режим, только с портала GPP)

• SIM-карта для хранения и использования неизвлекаемых ключей

• независимость от компьютера пользователя

необходимо только интернет-соединение

• Блокировка доступа ко всем сайтам кроме портала GPP

- Доверенная среда



Global Payment Plus: EBICS

2008: EBICS обязателен для банков в Германии

2014: EBICS для наших клиентов в России



Global Payment Plus: USB stick



Global Payment Plus: обмен ключами

- Отправка ключа ЭП со смарт-карты на сервер GPP

- Создание уникальных ключей аутентификации и шифрования сервером GPP

- Распечатка СКПП с тремя ключами

- Собственноручная подпись пользователя на СКПП

- Предоставление оригинала подписанного СКПП в Банк

- Пользователь активирован!

Регистрация сервером GPP всех операций с ключами



Дополнительнoе решение: разделение счетов Клиента

Клиент ДБО

Банковская система

RUB

счет A

RUB

счет B

счет A счет B

Получатели

Плательщики

Cash Management and International Business & IT Security | Saint Petersburg | 24.04.2014


Сергей Егоров

Head of IT Security, IT department

+7 499 270 14 39

Sergei. [email protected]

Александр Шумилов

Head of Client service, Cash Management & International Business

+7 495 797 48 34

Alexander. [email protected]

Спасибо за внимание!

Documents

Коммерцбанк АГ в России