18 гру 2014

Рекордна кількість учасників, по-справжньому гострі дискусії, викрадення мільйона під час кава-паузи та погляд на безпеку очима живого клієнта.

Чим іще запам'ятався «CS Security Day 2014»? Подробиці - нижче..
 
11 грудня компанія CS провела в Києві спеціалізовану конференцію «CS Security Day 2014» для представників банківського сектора. Конференція з питань безпеки систем інтернет- та мобільного банкінгу, яка вдало стартувала минулого року в символічний день 11.12.13, цього року привернула увагу понад сотні представників українських банків.

Перша частина конференції була присвячена темі «Актуальні загрози безпеці та досвід протидії їм».

Представник Української міжбанківської асоціації платіжних систем «ЄМА» Олексій Красюк розповів про тенденції платіжного шахрайства в Україні у 2014 році та, зокрема, навів кілька схем, які використовувалися злодіями для крадіжки грошей з рахунків клієнтів. У наведених схемах шахраями було атаковано відразу декілька українських банків, і розкрити схеми вдалося тільки завдяки своєчасному обміну інформацією між банками. До співпраці та обміну даними, власне, і закликав доповідач усіх присутніх.

Втім, не лише українські банки зазнавали серйозних атак з боку кіберзлочинців цього року. Про атаки на сайти органів державної влади, портали новин та спроби поширення дезінформації розповів представник департаменту контррозвідувального захисту інтересів держави у сфері інформаційної безпеки СБУ Павло Лаврик. Незважаючи на те, що 2014-й рік виявився неймовірно складним для представників служби безпеки, вони спромоглися розкрити чимало злочинів, у тому числі - за участю міжнародного хакерського угруповання, яке шахраювало в інтернеті протягом 6 років.

Щоб мобільний телефон не став знаряддям злодія, варто подбати про захист встановлених на нього платіжних додатків. Про це розповів Олександр Погуляка, керівник відділу розробки iOS-програм компанії CS, у своїй презентації: «iFOBS.Mobile - комфорт і безпека європейського рівня». До висновку про те, що мобільний банкінг від компанії CS відповідає світовим стандартам, Олександр прийшов у результаті участі в міжнародній конференції «Cartes 2014», що проходила в Парижі у листопаді цього року. Все те, що на сьогодні визнано в світі кращим для захисту систем електронного та мобільного банкінгу (а це смарткарти і добре знайомі нам USB-токени, OTP-пристрої для генерації одноразових паролів, EMV-карти і звичайні SMS-підтвердження), давно й успішно використовується в системі інтернет-банкінгу iFOBS та мобільному додатку iFOBS.Mobile.

З урахуванням ситуації, що склалася на ринку, і вимушеної економії бюджетів, Олександр Погуляка запропонував банкам як оптимальний засіб для підтвердження платежів у мобільному банкінгу використовувати програмний OTP-токен (або SofToken). Таке рішення більш надійне, ніж SMS-код, оскільки одноразовий пароль не передається клієнту зовнішніми каналами, до того ж немає необхідності використовувати додаткові пристрої, як у випадку з апаратним OTP-токеном. Клієнт користується своїм мобільним телефоном, який завжди під рукою.

Про інші програмні та апаратні рішення для забезпечення захисту ДБО розповіли партнери конференції: Давид Хосіашвілі – регіональний директор компанії «Ен Джі Ті Груп, GEMALTO», Артем Гайдай - директор з продажу компанії Protectimus, Євген Нечитайло - керівник з продажів компанії Hewlett-Packard.

Під час паузи між першою і другою частиною конференції учасникам було запропоновано ... украсти мільйон! Учасники конференції спробували приміряти на себе шкуру шахрая і «поцупити» гроші з рахунків підприємства. Для цього організатори конференції розгорнули стенд з робочим місцем типового бухгалтера Марії Іванівни. За півгодини «обідньої перерви» шахрай повинен був украсти один мільйон гривень з рахунків підприємства за допомогою системи інтернет-банкінгу iFOBS.

Звісно, підключення до системи для новоспечених «шахраїв» не склало великих труднощів - Марія Іванівна як типовий користувач залишила флешку з секретними ключами просто в ноутбуці, а пароль записала на папірець і сховала під клавіатуру. Складніше було вивести гроші одним платежем, оскільки в системі завбачливо були налаштовані ліміти. Тому «шахраям» довелося трохи повозитися – і розбити суму на декілька дрібніших платежів. Після того як всі платежі було відправлено в банк, задоволені «шахраї» змогли приєднатися до інших учасників конференції та випити чашечку кави.

Розв'язка дії очікувала всіх у другій частині конференції «Практика моніторингу та запобігання шахрайству». До присутніх вийшли співробітники компанії CS Надія Акименко й Олександр Охримович, які наживо продемонстрували ефективність системи запобігання шахрайству iFOBS.FraudDetection.

Як виявилося, в той час коли «шахрай» намагався пограбувати нещасну Марію Іванівну, iFOBS.FraudDetection спіймав кожен шахрайський платіж - аж до найдрібнішої суми - на 1 гривню.

Спрацювало одразу декілька правил контролю: нестандартний час транзакції (обідня перерва), контроль нових кореспондентів (підприємство ніколи не робило платежів за введеними реквізитами), контроль карткових платежів (Марії Іванівні як користувачу юридичної особи ні до чого переводити гроші на картку фізичної особи) та сумарний рівень критичності (спрацювало одночасно декілька правил, які окремо не вважаються особливо критичними).

Всі платежі «шахрая» були позначені як підозрілі, тож якби ситуація відбувалася в реальному житті, банк встиг би виявити і зупинити викрадення мільйона.

Гра «Як вкрасти мільйон?» була не єдиною родзинкою конференції.

Представники банківської IT-безпеки вислухали з великим зацікавленням... клієнта. Так-так, звичайного клієнта банку, чиєю безпекою вони переймаються і для кого шукають все нові і нові рішення. Втім, Валерія Індика не можна назвати «пересічним користувачем» інтернет-банкінгу. Він є директором великого підприємства і користується послугами десяти різних банків по всьому світу. Валерій поділився своїм досвідом роботи з різними системами дистанційного обслуговування і підкреслив, що віддає перевагу тим, у яких безпека на рівні користувача максимально спрощена. Іншими словами, він як користувач не хоче вводити більше ніж логін-пароль, а все інше - це вже клопіт банку.

У цьому зв'язку такі рішення як iFOBS.FraudDetection і є тим компромісом між зручністю та безпекою, який вже багато років шукають не тільки у нас в країні, але й в усьому світі.

Підводячи підсумки «CS Security Day 2014», хочеться сказати, що конференція підняла дуже актуальні, життєві питання - і гарячі суперечки, спонтанні виступи із залу, гострі дискусії є тому підтвердженням. Організаторам вдалося підштовхнути до діалогу різні сторони, але справжній діалог - ще попереду.

Отже, до зустрічі на «CS Security Day 2015»!

Фотозвіт конференції на офіційній сторінці компанії CS в Facebook.