Каким угрозам подвержены современные системы дистанционного банковского обслуживания, что можно им противопоставить, как работать с электронно-цифровой подписью в условиях отказа интернет-браузеров от поддержки Java, и как защитить рядового пользователя Марью Ивановну от собственной халатности?
Эти и другие вопросы оказались в центре внимания участников конференции «CS Security Day 2015», которая проходила 10 декабря 2015 года в Киеве, в конференц-зале отеля Opera Hotel. В мероприятии приняли участие свыше ста представителей украинских банков и компаний.
Открывал конференцию генеральный директор компании CyS Centrum Николай Коваль – докладом об атаках на веб-приложения и демонстрацией программного обеспечения, которым пользуются кибермошенники для хищения денег со счетов.
Как можно уберечь клиента от web injection и других угроз, рассказал в своем «Обзоре решений по безопасности от компании CS» Владимир Фищук, аналитик департамента фронт-офисных систем. В его презентации шла речь о применении комбинированного подхода, включающего в себя базовый (идентификация клиента по логину и паролю) и дополнительный уровни безопасности.
К дополнительному уровню относятся одноразовые пароли для подтверждения платежей (передаваемые по sms, сгенерированные с помощью otp- или soft-токена), защищенные носители файлов ключей ЭЦП и их работа в режиме активной криптографии, установка лимитов на счета и операции, раннее информирование клиента о действиях, совершенных под его учетной записью, а также установка на уровне банка системы противодействия мошенничеству iFOBS.FraudDetection. Последнее как раз и предназначено для защиты пользователя «от самого себя», поскольку позволяет выявить подозрительные действия в интернет-банкинге — новый IP-адрес, нестандартное время совершения платежа, перевод со счета предприятия на карточку физлица и др. – и не позволить мошеннику воспользоваться украденными ключами и паролями.
В продолжение темы выступил представитель Украинской межбанковской ассоциации платежных систем «ЕМА» Алексей Красюк с докладом: «Exchange-Online 3.0 DBO — межбанковская система управления инцидентами», во время которого пригласил представителей украинских банков к сотрудничеству и обмену информацией о случаях мошенничества.
После общения в кофе-паузе, участники снова вернулись в зал и заслушали доклад представителя компании IBM Украина Андрея Кузьменко: «Защита сервисов и клиентов банка на базе решений IBM Security». Андрей представил продуктовую линейку IBM, предназначенную для обеспечения безопасности на уровне клиента и на уровне банка.
Большой интерес у присутствовавших вызвало совместное выступление представителей компании CS и Института информационных технологий об использовании ключей ЭЦП аккредитованных центров сертификации ключей для работы в системе дистанционного банковского обслуживания. Директор ИИТ Сергей Синаюк рассказал об опыте создания АЦСК и его интеграции в инфраструктуру открытых ключей Украины, а директор департамента фронт-офисных систем CS Александр Охримович представил варианты работы с «ключами налоговой» в windows и web-приложениях системы iFOBS.
На закуску организаторы конференции оставили тему, которая сегодня волнует всю банковскую безопасность — как организовать работу с ключами и сертификатами электронно-цифровой подписи в условиях отказа интернет-браузеров от поддержки Java-апплетов?
В своей презентации под названием «Жизнь после Java» аналитик безопасности фронт-офисных систем компании CS Александр Погуляка представил в качестве альтернативного решения проблемы с апплетами – подписание платежей электронно-цифровой подписью на мобильном устройстве, с помощью приложения iSign.
iSign обеспечивает безопасное хранение секретного ключа и наложение ЭЦП на платежные документы с возможностью контроля ключевых параметров каждого платежа (счет, сумма, валюта и др.), а установка и активация этого мобильного приложения не составит большого труда для рядового пользователя интернет-банкинга.
В завершение участники конференции смогли пообщаться в неформальной обстановке и обсудить услышанные предложения.
Компания CS благодарит всех за участие в «CS Security Day 2015» и приглашает на свои мероприятия в 2016 году.
С фотоотчетом мероприятия можно ознакомиться здесь.
