Embed Size (px)
DESCRIPTION
Citation preview
Созидаем будущее, управляя настоящим!
Инновационная система строгой
аутентификации
Решение для обеспечения надежной идентификации,
защиты от мошенничества и осуществления платежных операций
www.optima.ru
2
Содержание
Общая информация о ГK Оптима и компании Optima ISS
Тенденции и статистика кибер-угроз в мире и в России
Решение для обеспечения надежной идентификации,
защиты от ошенничества и осуществления платежных
операций OptiPass
2
1
2
3
www.optima.ru
3 3
Optima сегодня
ГК Optima – один из крупнейших технологических холдингов России Оборот в 2011 году составил $415 млн.
Более 2500 сотрудников (две трети из них - сертифицированные специалисты)
Около 40 лицензий и сертификатов, в том числе на работу с гостайной
Система управления качеством Optima сертифицирована по стандарту ГОСТ Р
ИСО 9001-2001 и позволяет контролировать качество работ и услуг на каждом этапе проекта
Заказчики – крупнейшие предприятия и организации:
– энергетики
– нефтегазового комплекса
– органов государственной власти
– транспорта
– промышленности
Партнеры – более 40 мировых производителей оборудования и поставщиков ПО
Полный комплекс услуг и решений по внедрению проектов любой сложности, в том числе за рубежом
www.optima.ru
4 4 4
По итогам 2010 года Optima входит
в десятку крупнейших российских
компаний, оказывающих услуги в
области информационных
технологий (данные Эксперт РА)
Optima занимает второе место
среди поставщиков ИТ-услуг в
России (РосБизнесКонсалтинг,
2008)
Optima services (бывший TesCom)
занимает второе место в рейтинге
крупнейших поставщиков услуг ИТ-
поддержки (CNewsServices, 2010)
Компании холдинга обладают
высокими статусами мировых
лидеров-производителей
оборудования и поставщиков ПО
Более 2500 сотрудников, выручка
в 2011 году - 415 млн. USD
Optima – один из крупнейших
технологических холдингов в России
2
Автоматизация работы и взаимодействия
энергообъектов
Реконструкция, проектирование и
строительство «под ключ»
Бизнес- консалтинг
ИТ-консалтинг
Внедрение информационных систем
Комплексные решения по автоматизации и
диспетчеризации транспортных объектов
Поставка технического оборудования
Сетевые и телекоммуникационные комплексы
Оперативный контроль и диспетчеризация
управления
Реконструкция и создание инженерных систем
Комплексная защита информации
Интеллектуальное здание
Автоматизация процессов генерации,
распределения, передачи и потребления
тепло- и электроэнергии
Системы управления документами
на платформе OPTIMA-WorkFlow
Разработка программного обеспечения
ИТ - аутсорсинг
www.optima.ru
5 5 5
Партнеры
Platinum Business
Partner
Strategy Partner
Gold Certified
Partner
Business Partner
Silver Partner
Service Partner
S i l v e r
CERTIFIED
Premier Partner
Business Partner
www.optima.ru
6 6
Лицензии и сертификаты
Лицензия Федеральной Службы Безопасности России (ФСБ) на право оказания услуг в области
защиты государственной тайны
Лицензия Центра по лицензированию, сертификации и защите государственной тайны ФСБ
России на осуществление разработки, производства шифровальных (криптографических) средств,
защищенных с использованием шифровальных (криптографических) средств информационных и
телекоммуникационных систем
Лицензия Федеральной службы по техническому и экспортному контролю «Техническая защита
конфиденциальной информации»
Лицензия Министерства чрезвычайных ситуаций России на производство работ по монтажу,
ремонту и обслуживанию средств обеспечения пожарной безопасности зданий и сооружений
Разрешение Федеральной службы по надзору в сфере связи и массовых коммуникаций на
использование радиочастот или радиочастотных каналов
Свидетельство саморегулируемой организации Некоммерческое партнерство «Объединение
строительных организаций «ЭнергоСтройАльянс» на строительство, реконструкцию, капитальный
ремонт объектов капитального строительства, которые оказывают влияние на безопасность
объектов капитального строительства
ГК OPTIMA имеет все необходимые лицензии и сертификаты федеральных
служб и саморегулируемых организаций:
www.optima.ru
Optima Infosecurity имеет опыт реализации проектов различного масштаба и сложности
в области ИБ как в российских , так и в международных компаниях. Среди наших заказчиков
такие компании, как ОАО «НК «Роснефть», ОАО «Газпром», Счетная палата РФ, Управление
Федерального Казначейства, OTP Bank, EFG EUROBANK , CKB Bank, RAIFFEISEN BANK,
MERIDIAN BANK, EUROPEAN ANTI-FRAUD COMISSION и др.
7
Optima Infosecurity — подразделение ГК Optima, объединившее интернациональную
команду профессионалов, специализирующихся в области инновационных решений
по информационной безопасности. Наряду с традиционными услугами в области ИБ
Optima Infosecurity предлагает уникальные для российского рынка решения, такие как:
Optima Infosecurity
Система усиленной аутентификации и защиты от мошенничества
при проведении он-лайн операций — OptiPass
Система защиты (шифрования) голосовых коммуникаций (VoIP)
в рамках корпоративной телефонной сети, при проведении голосовых
конференций и использовании мобильной связи — OptiPhone
Решение для оценки уровня безопасности виртуальных сред
и веб-приложений
Решение по защите корпоративных и персональных данных на мобильном
устройстве для безопасного доступа к корпоративным данным
Консалтинг: аудит, тестирование, расследование
Созидаем будущее, управляя настоящим!
Тенденции и статистика кибер-угроз
в мире и в России
www.optima.ru
9
Возрастающая угроза
онлайн-мошенничества
Количество онлайн мошенничеств растет быстрее, чем число
онлайн транзакций. Количество атак, нацеленных на выуживание личной информации пользователей в 2011 году по сравнению с предыдущим годом, увеличилось на 100%.
В 2010 г. объем потерь, связанных с онлайн-мошенничеством, достиг огромных размеров (США: $5 млрд., Европа: $4 млрд., остальной мир: $4 млрд. Источник: Gartner, 2011
Российские кибер-преступники в 2011-м «аннексировали» $2,3 млрд. Это на $1 млрд. превышает их показатель 2010 года. Источник: Group IB, 2012
Денежные переводы в режиме онлайн являются наиболее быстро растущими и становятся основным видом осуществления платежей.
Портрет мошенников изменился и теперь включает в себя любого, от начинающего взломщика, осуществляющего атаки ради развлечения, до организованных преступных групп.
Взломщики становятся все более и более опытными, и используют самые современные технологии.
www.optima.ru
10
Различные виды
онлайн мошенничества
Традиционный фишинг, позволяющий
перехватить учетные данные пользователя
Вредоносное ПО, внедряемое в
операционную систему компьютера путем
перехвата данных и кодов
Атака «человек посередине» (MITM):
перехват и модификация данных в режиме
реального времени, происходящий после
аутентификации пользователя
Атака «человек в браузере» (MITB). Одна из
новейших технологий онлайн-
мошенничества, появившаяся естественным
образом как следствие двухфакторной
аутентификации: пользователь начинает
транзакцию, а MITB без его ведома
манипулирует платежными данными в
режиме реального времени, перенаправляя
денежные средства на свой банковский счет.
MITB может действовать в обход протокола
EMV-CAP, например, как Trojan PSP2-BBB
Клиенты Банк
Злоумышленник
Созидаем будущее, управляя настоящим!
Инновационная система строгой
аутентификации
Решение для обеспечения надежной идентификации,
защиты от мошенничества и осуществления платежных операций
www.optima.ru
12
Что делают банки для
предотвращения мошенничества?
12
Данные базовые методы аутентификации
являются устаревшими и уязвимыми
Наиболее продвинутые банки используют или намереваются
использовать карты со встроенным дисплеем!
Обеспечение существенно более высокого
уровня безопасности, чем базовые методы
аутентификации
Базовая аутентификация
Пароль
Кодовая карта
Сброс вызова (Call drop),
идентификация звонящего
Strong Authentication
Жетон OTP
Карта со встроенным дисплеем
EMV-карта + CAP-ридер
Карта со встроенным дисплеем и аутентификацией с запросом и подтверждением /CAP
www.optima.ru
13
OptiPass – это ваше
бизнес-решение
Завершенное решение
Стандартные устройства для аутентификации и стандартный OATH-сервер
Предельная безопасность
Единственное защищающее от фишинга и мошенничества решение, обеспечивающее
безопасность системы Secure Home Banking (HB). Optima является первым
разработчиком антифишинговых активных карт со встроенным дисплеем на рынке РФ
Бизнес-потенциал
Существенное увеличение использования электронных банковских услуг при работе с
активными картами со встроенным дисплеем: +300% по сравнению с использованием
токенов. Источник: Gartner, 2010
Удобство пользования Принцип «все в одном»: платежные и банковские услуги объединены в одной карте
Легкость применения
Благодаря полному соответствию стандартам OATH отсутствует необходимость
изменения инфраструктуры
Система усиленной аутентификации и борьбы против мошенничества
OptiPass воплощает в себе новый технологический сценарий,
предполагающий использование карт со встроенным дисплеем как
«удобного, безопасного и всеобъемлющего устройства, позволяющего
банковским клиентам пользоваться преимуществами множества
банковских услуг». Frost & Sullivan, 2011
www.optima.ru
14
Архитектура системы OptiPass
Устройство OTP (карты, устройства Tokens,
программное обеспечение OTP для мобильных
телефонов)
Сервер авторизации OP80 Authentication Server
Веб-приложение (интегрируется в систему онлайн
банкинг заказчика)
Система OptiPass реализует технологию OTP (one time password)
на основе 3-х элементов:
1
2
3
www.optima.ru
15
Optima OP80 сервер:
основные характеристики
Аутентифицируемые устройства функционируют без какого-либо подключения
(особенно востребовано для розничных услуг)
Без участия пользователя
Масштабируемость/мощность
Стандартизация
Интегрируемость
Защищенность
Простота внедрения
Многоуровневое
администрирование
Полная открытость
За 1 секунду процесс аутентификации проходят более 2000 одновременно
обращающихся пользователей; таким образом, один сервер способен обслужить
более 5 миллионов пользователей.
Полное соблюдение стандартов: IETF, FCC, UL, CE, OATH, EMV-CAP,
PKI, RFID, ISO, сертификация Visa и MasterCard
Нет необходимости во внедрении системы в приложения конечных Заказчиков,
вследствие использования открытых интерфейсов подключения (Web Services и
Radius). Система OP80 совместима с любыми другими решениями безопасности
(IAM, AC, SSO, Remote Signing, системы цифровых подписей, и т.д.)
Полная поддержка кластерных решений Active-Active (решения высокой надежности)
и Active-StandBy (аварийное восстановление инфраструктуры)
Отсутствие влияния на инфраструктуру заказчика, малое время развертывания
системы
Система позволяет создавать подгруппы пользовательских устройств,
администрирование которых может быть осуществлено независимо
Система может быть использована с устройствами следующих поколений
www.optima.ru
16
OptiPass – поддержка любых
устройств ОТП
OPD800 C|M анти-фишинг, защита от мошенничества
OPD800 T|M Payment,
аутентификация, анти-фишинг
OPD800 C|M IBAN Payment,
Аутентификация и анти-фишинг
OPD800 T Анти-фишинг
OPT800 T/H аутентификации
OPJ800 , OTP800, OPS800 аутентификация
OP80 Сервер
Пассивные карты
Активные карты (Display Card)
www.optima.ru
17
OPT по SMS vs OptiPass
По сравнению с ОРТ по SMS, карты со встроенным дисплеем выигрывают как по
уровню безопасности, так и в удобстве использования
Good for Enterprise: iOS
SECURE FEATURES THAT ARE EASY TO USE
A single, integrated, easy-to-use
application
Quickly toggle from email to calendar to contacts—intuitively and seamlessly
Secure browser Safely access company Intranets, wikis, and Web-based applications
File Repository Unique secure partition and file system store and manage e-mail attach-
ments and other files.
End-to-end encryption Ensure enterprise-class data protection
Enterprise Application Distribution Easily distribute approved custom or 3rd party applications outside the Good
container
Web-based over-the-air manage-
ment console
Easily and securely deploy and manage business data on employee mobile
devices from any Web browser
Remote wipe Quickly and effectively delete the Good application and encrypted data if
device is lost or stolen—or wipe the entire device in situations that require it
Policy-based management Create custom policies for different employee groups and assign to one or
multiple users at once
Policy-based administration Assign rights and permissions for different roles (managers, staff, adminis-
trators) so employees can perform job-related tasks
FEATURES BENEFITS
A password dedicated to
the Good for Enterprise app
ensures a secure connection.
Connect with your corporate
email, just as you would at the
office. Push notifications keep
you updated on all activity in
your account.
Securely browse critical
corporate resources, such as
Intranets, IT management portals,
and executive dashboards within
the Good for Enterprise app.
Attach multiple files to the same
email, when you compose, reply
or forward an email.
Watch a demo of Good for Enterprise: iOS by visiting http://www.good.com/demos/index.php
or call 1-866-7BE-GOOD for more information.
© 2012 VISTO Corporation and Good Technology, Inc. All rights reserved. Good, Good Technology, the Good logo, Good for Enterprise, Good for Government, Good for You, Good Mobile Messaging, Good Mobile
Intranet, and Powered by Good are trademarks of Good Technology, Inc. ConstantSync, Constant Synchronization, Good Mobile Client, Good Mobile Portal, Good Mobile Exchange Access, Good Mobile Platform, Good
Easy Setup, Good Social Networking and Good Smarticon are either trademarks or registered trademarks of VISTO Corporation. All third-party trademarks, trade names, or service marks may be claimed as the property
of their respective owners. Good and Visto technology are protected by U.S. patents and various other foreign patents. Other patents pending.DS_GFE-iOS_Mar2012_US
Good TechnologyFor more information visit www.good.com.
Global Headquarters
+1 408 212 7500 (main)
+1 866 7 BE GOOD (sales)
EMEA Headquarters
+44 (0) 20 7845 5300
Asia/Pacific Headquarters
+61 (02) 92381953
ОТР по SMS
SMS-OTP сообщения могут быть легко перехвачены, подделаны, заблокированы
Атака возможна без физического доступа к мобильному телефону и без установки вредоносного ПО.
Угроза утечки данных при передаче информации через сотового оператора
Человеческий фактор как угроза утечки информации
Возможность потери/кражи мобильного телефона
Не подходит для осуществления платежей
Активные карты
(Display Card)
ОТР невозможно перехватить, подделать или заблокировать
Устойчивы к любому виду вредоносного ПО.
Безопасный обмен информацией между банком и клиентом. Нет возможности утечки данных.
Не уязвимы для атак "человек посередине"
Защита PIN-кодом. Автоматическая блокировка после трех попыток.
Можно использовать одновременно в качестве платежных карт.
www.optima.ru
18
Почему Активные карты
(Display Card)?
Diplay Card OTP-токен USB-токен Cмарт-карта OTP по SMS
Современность технологии 4 3 2 2 3
Надежность аутентификации 4 4 3 3 2
Удобство для конечного пользователя 4 2 1 1 3
Совместимость с платежной картой 4 0 0 0 0
Управление физическим доступом 4 0 0 0 0
Мобильность 4 3 3 2 3
Долговечность, прочность 4 3 3 4 2
Автономность (отсутствие совместимых
устройств и ПО) 4 4 3 1 1
По сравнению с другими устройствами OTP, карты со встроенным дисплеем безоговорочно выигрывают как по надежности, так и по удобству использования для конечных пользователей!!
Высокая Низкая
www.optima.ru
Карты с дисплеем D800:
портативность и безопасность в кармане!
OPD800 представляет собой многоцелевой и
многофункциональный формат кредитных карт по стандарту
ISO7816, оснащенный системой APD (активный пиксельный
дисплей) и ультратонким элементом питания.
OPD800 позволяет осуществлять двухфакторную
аутентификацию в соответствии с высочайшими
стандартами целостности и защиты, а также проводить
безопасные платежные операции и онлайн-транзакции.
Все карты серии OPD800 соответствуют стандарту ISO 7816,
а также стандартам IETF, FCC, UL, CE, OATH, EMV, PKI и
RFID.
Компания Optima Infosecurity может выпускать заказные
версии с фотографиями, голограммами и символикой
заказчика.
19
Соответствие серверу OP80 OATH
Легкость в использовании, небольшой размер,
дешевизна
Высокая надежность: инновационный процесс
ламинирования
Защита от несанкционированного вмешательства
Скручивание: стандарт ISO7810 (1000 циклов/мин)
Изгибание: стандарт ISO 7810 (1.000 изгибов/мин)
Батарея: ультраплоская, TB – тонкая батарея,
минимальный срок службы – 3 года
Тип дисплея: E-Ink, гибкий, четкий, ультратонкий, без
радужных бликов, быстрый OTP-отклик
Размер дисплея: 6/8 цифр (числа или числа и буквы)
Тактильная клавиатура для ввода PIN
Тиснение* или лазерная гравировка
RFID и настраиваемый чип
Заказной дизайн: высококачественная офсетная печать,
термальный перенос
Водостойкость
Технические характеристики
серии карт OPD800
www.optima.ru
20
Примеры внедрений
Строгой аутентификаций всех банковских услуг онлайн
Увеличения использования банковских карт и транзакций
Предотвращения онлайн-мошенничества
Использования сервиса удаленной подписи
20
Инновационная система строгой аутентификации OptiPass сертифицирована Консорциумом OATH – Стандарты открытой аутентификации – www.openauthentication.org
Несколько крупных мировых банков и платежных систем уже сделали свой
выбор в пользу технологий, используемых системой OptiPass для обеспечения:
Воспользуйтесь решениями OptiPass для обеспечения безопасности
и роста Вашего бизнеса!
BNP PARIBAS JOINT VENTURE
www.optima.ru
21
Дальнейшие шаги: закажите пилот
для тестирования
Тестирование технологии аутентификации Анти-фишинг (RCR) Надежность транзакций (transaction integrity)
Для реализации проекта Optima ISS обеспечит поставку сервера OP80. По запросу
cсервер может быть поставлен в виде оборудования или в виде виртуальной системы (VMWARE ESX I 3.x и выше для виртуальной группы серверов) и требуемого количества активных карт (Display Cards)
Ориентировочный срок поставки сервера OP80 и активных карт – около 4-х недель Срок запуска системы в тестирование – около 2-х недель
Тестирование решения OptiPass может быть реализовано в рамках пилотного проекта, включающего в себя:
Для технического тестирования мы рекомендуем минимум 100 пользователей
Для бизнес-тестирования мы рекомендуем 1% от текущей базы пользователей
или минимум 10 000 пользователей
www.optima.ru
Как это работает. Авторизация в
системе онлайн-банк
22
Пользователь вводит логин и PIN Система генерирует одноразовый ключ-вызов 1 2 ШАГ ШАГ
www.optima.ru
23
Пользователь вводит ключ-вызов
на своей дисплей-карте
Дисплей-карта генерирует одноразовый
пароль для входа в систему онлайн-банк,
который пользователь вводит для входа в
систему онлайн-банк
3 4 ШАГ ШАГ
Как это работает. Авторизация в
системе онлайн-банк
www.optima.ru
24
Пользователь вводит данные для
проведения транзакции (выбирает
счет, дату, и пр.)
Согласно установленному методу сервер
автоматически генерирует код запроса на
основе значимых числовых данных
1 2 ШАГ ШАГ
Как это работает. Авторизация при
проведении транзакций
www.optima.ru
25
3 4 ШАГ ШАГ
Как это работает. Авторизация при
проведении транзакций
Пользователь вводит ключ-вызов
на своей дисплей-карте
Дисплей-карта генерирует одноразовый
пароль, который пользователь вводит для
подтверждения транзакции
www.optima.ru
26
Контакты
Россия, 121059, г. Москва,
ул.Киевская, д.7
Бизнес-центр «Легион III»
Тел. : +7 (495) 363 36 53
Факс : +7 (495) 363 36 56
www.optima.ru
