Що загрожує сучасним системам дистанційного банківського обслуговування, що можна протипоставити цим загрозам, як працювати з електронно-цифровим підписом в умовах відмови інтернет-браузерів від підтримки Java, та як захистити пересічного користувача Марію Іванівну від власної недбалості?
Ці та інші питання потрапили до центру уваги учасників конференції «CS Security Day 2015», яка відбулася 10 грудня 2015 в Києві, в конференц-залі готелю Opera Hotel. У заході взяли участь понад сто представників українських банків та компаній.
Відкривав конференцію генеральний директор компанії CyS Centrum Микола Коваль - доповіддю про атаки на веб-додатки та демонстрацією програмного забезпечення, яким користуються кіберзлочинці задля викрадення грошей з рахунків.
Як можна вберегти клієнта від web injection та інших загроз, розповів у своєму «Огляді рішень з безпеки від компанії CS» Володимир Фіщук, аналітик департаменту фронт-офісних систем. В його презентації йшлося про застосування комбінованого підходу, що включає в себе базовий (ідентифікація клієнта за логіном і паролем) та додатковий рівні безпеки.
До додаткового рівня відносяться одноразові паролі для підтвердження платежів (що передаються в sms, або генеруються за допомогою otp- чи soft-токена), захищені носії файлів ключів ЕЦП та їх робота в режимі активної криптографії, встановлення лімітів на рахунки та операції, завчасне інформування клієнта щодо дій, які було здійснено під його обліковим записом, а також упровадження на рівні банку системи протидії шахрайству iFOBS.FraudDetection. Останнє якраз і призначено для захисту користувача «від самого себе», оскільки дозволяє виявити підозрілі дії в інтернет-банкінгу - нову IP-адресу, нестандартний час здійснення платежу, переказ з рахунку підприємства на картку фізичної особи тощо - та не дозволити шахраєві скористатися викраденими ключами та паролями.
У продовження теми виступив представник Української міжбанківської асоціації платіжних систем «ЄМА» Олексій Красюк з доповіддю: «Exchange-Online 3.0 DBO - міжбанківська система управління інцидентами», під час якої запросив представників українських банків до співпраці та обміну інформацією про випадки шахрайства.
Після спілкування у кава-паузі, учасники знову повернулися до залу та заслухали доповідь представника компанії IBM Україна Андрія Кузьменка: «Захист сервісів та клієнтів банку на базі рішень IBM Security». Андрій представив продуктову лінійку IBM, яка призначена для забезпечення захисту на рівні клієнта та на рівні банку.
Велику зацікавленість у присутніх викликав спільний виступ представників компанії CS та Інституту інформаційних технологій про використання ключів ЕЦП акредитованих центрів сертифікації ключів для роботи в системі дистанційного банківського обслуговування. Директор ІІТ Сергій Синаюкрозповів про досвід створення АЦСК та його інтеграції в інфраструктуру відкритих ключів України, а директор департаменту фронт-офісних систем CSОлександр Охримович презентував варіанти роботи з «ключами податкової» у windows та web-додатках системи iFOBS.
Наостанок організатори конференції залишили тему, яка сьогодні хвилює всю банківську безпеку - як організувати роботу з ключами та сертифікатами електронно-цифрового підпису в умовах відмови інтернет-браузерів від підтримки Java-апплетів?
У своїй презентації під назвою «Життя після Java» аналітик безпеки фронт-офісних систем компанії CS Олександр Погуляка представив як альтернативне рішення проблеми з апплетами - підписання платежів електронно-цифровим підписом на мобільному пристрої, за допомогою програми iSign.
iSign гарантує безпечне зберігання особистого ключа та накладання ЕЦП на платіжні документи з можливістю контролю ключових параметрів кожного платежу (рахунок, сума, валюта тощо), а встановлення та активація цього мобільного додатку не викличе труднощів для пересічного користувача інтернет-банкінгу.
Наприкінці учасники конференції змогли поспілкуватися у неформальній атмосфері та обговорити запропановані рішення.
Компанія CS дякує всім за участь у «CS Security Day 2015» та запрошує на свої заходи в 2016 році.
З фотозвітом заходу можна ознайомитися тут.
(всі поля обов'язкові до заповнення)