«CS Security Day 2015»: Есть ли жизнь после Java?

15 дек. 2015

[«CS Security Day 2015»: Есть ли жизнь после Java?]

Каким угрозам подвержены современные системы дистанционного банковского обслуживания, что можно им противопоставить, как работать с электронно-цифровой подписью в условиях отказа интернет-браузеров от поддержки Java, и как защитить рядового пользователя Марью Ивановну от собственной халатности? 

Эти и другие вопросы оказались в центре внимания участников конференции «CS Security Day 2015», которая проходила 10 декабря 2015 года в Киеве, в конференц-зале отеля Opera Hotel. В мероприятии приняли участие свыше ста представителей украинских банков и компаний.

Открывал конференцию генеральный директор компании CyS Centrum Николай Коваль - докладом об атаках на веб-приложения и демонстрацией программного обеспечения, которым пользуются кибермошенники для хищения денег со счетов.

Как можно уберечь клиента от web injection и других угроз, рассказал в своем «Обзоре решений по безопасности от компании CS» Владимир Фищук, аналитик департамента фронт-офисных систем. В его презентации шла речь о применении комбинированного подхода, включающего в себя базовый (идентификация клиента по логину и паролю) и дополнительный уровни безопасности.

К дополнительному уровню относятся одноразовые пароли для подтверждения платежей (передаваемые по sms, сгенерированные с помощью otp- или soft-токена), защищенные носители файлов ключей ЭЦП и их работа в режиме активной криптографии, установка лимитов на счета и операции, раннее информирование клиента о действиях, совершенных под его учетной записью, а также установка на уровне банка системы противодействия мошенничеству iFOBS.FraudDetection. Последнее как раз и предназначено для защиты пользователя «от самого себя», поскольку позволяет выявить подозрительные действия в интернет-банкинге - новый IP-адрес, нестандартное время совершения платежа, перевод со счета предприятия на карточку физлица и др. - и не позволить мошеннику воспользоваться украденными ключами и паролями.

В продолжение темы выступил представитель Украинской межбанковской ассоциации платежных систем «ЕМА» Алексей Красюк с докладом: «Exchange-Online 3.0 DBO - межбанковская система управления инцидентами», во время которого пригласил представителей украинских банков к сотрудничеству и обмену информацией о случаях мошенничества.

После общения в кофе-паузе, участники снова вернулись в зал и заслушали доклад представителя компании IBM Украина Андрея Кузьменко: «Защита сервисов и клиентов банка на базе решений IBM Security». Андрей представил продуктовую линейку IBM, предназначенную для обеспечения безопасности на уровне клиента и на уровне банка.

Большой интерес у присутствовавших вызвало совместное выступление представителей компании CS и Института информационных технологий об использовании ключей ЭЦП аккредитованных центров сертификации ключей для работы в системе дистанционного банковского обслуживания. Директор ИИТ Сергей Синаюк рассказал об опыте создания АЦСК и его интеграции в инфраструктуру открытых ключей Украины, а директор департамента фронт-офисных систем CS Александр Охримович представил варианты работы с «ключами налоговой» в windows и web-приложениях системы iFOBS.

Security day 2015

На закуску организаторы конференции оставили тему, которая сегодня волнует всю банковскую безопасность - как организовать работу с ключами и сертификатами электронно-цифровой подписи в условиях отказа интернет-браузеров от поддержки Java-апплетов?

В своей презентации под названием «Жизнь после Java» аналитик безопасности фронт-офисных систем компании CS Александр Погуляка представил в качестве альтернативного решения проблемы с апплетами – подписание платежей электронно-цифровой подписью на мобильном устройстве, с помощью приложения iSign.

iSign обеспечивает безопасное хранение секретного ключа и наложение ЭЦП на платежные документы с возможностью контроля ключевых параметров каждого платежа (счет, сумма, валюта и др.), а установка и активация этого мобильного приложения не составит большого труда для рядового пользователя интернет-банкинга.

В завершение участники конференции смогли пообщаться в неформальной обстановке и обсудить услышанные предложения.

Компания CS благодарит всех за участие в «CS Security Day 2015» и приглашает на свои мероприятия в 2016 году.

С фотоотчетом мероприятия можно ознакомиться здесь.

Видеоотчет о мероприятии.

 

Подпишитесь на рассылку