15 дек. 2015

Каким угрозам подвержены современные системы дистанционного банковского обслуживания, что можно им противопоставить, как работать с электронно-цифровой подписью в условиях отказа интернет-браузеров от поддержки Java, и как защитить рядового пользователя Марью Ивановну от собственной халатности? 

Эти и другие вопросы оказались в центре внимания участников конференции «CS Security Day 2015», которая проходила 10 декабря 2015 года в Киеве, в конференц-зале отеля Opera Hotel. В мероприятии приняли участие свыше ста представителей украинских банков и компаний.

Открывал конференцию генеральный директор компании CyS Centrum Николай Коваль - докладом об атаках на веб-приложения и демонстрацией программного обеспечения, которым пользуются кибермошенники для хищения денег со счетов.

Как можно уберечь клиента от web injection и других угроз, рассказал в своем «Обзоре решений по безопасности от компании CS» Владимир Фищук, аналитик департамента фронт-офисных систем. В его презентации шла речь о применении комбинированного подхода, включающего в себя базовый (идентификация клиента по логину и паролю) и дополнительный уровни безопасности.

К дополнительному уровню относятся одноразовые пароли для подтверждения платежей (передаваемые по sms, сгенерированные с помощью otp- или soft-токена), защищенные носители файлов ключей ЭЦП и их работа в режиме активной криптографии, установка лимитов на счета и операции, раннее информирование клиента о действиях, совершенных под его учетной записью, а также установка на уровне банка системы противодействия мошенничеству iFOBS.FraudDetection. Последнее как раз и предназначено для защиты пользователя «от самого себя», поскольку позволяет выявить подозрительные действия в интернет-банкинге - новый IP-адрес, нестандартное время совершения платежа, перевод со счета предприятия на карточку физлица и др. - и не позволить мошеннику воспользоваться украденными ключами и паролями.

В продолжение темы выступил представитель Украинской межбанковской ассоциации платежных систем «ЕМА» Алексей Красюк с докладом: «Exchange-Online 3.0 DBO - межбанковская система управления инцидентами», во время которого пригласил представителей украинских банков к сотрудничеству и обмену информацией о случаях мошенничества.

После общения в кофе-паузе, участники снова вернулись в зал и заслушали доклад представителя компании IBM Украина Андрея Кузьменко: «Защита сервисов и клиентов банка на базе решений IBM Security». Андрей представил продуктовую линейку IBM, предназначенную для обеспечения безопасности на уровне клиента и на уровне банка.

Большой интерес у присутствовавших вызвало совместное выступление представителей компании CS и Института информационных технологий об использовании ключей ЭЦП аккредитованных центров сертификации ключей для работы в системе дистанционного банковского обслуживания. Директор ИИТ Сергей Синаюк рассказал об опыте создания АЦСК и его интеграции в инфраструктуру открытых ключей Украины, а директор департамента фронт-офисных систем CS Александр Охримович представил варианты работы с «ключами налоговой» в windows и web-приложениях системы iFOBS.