Безопасность дбо и минимизация финансовых потерь
DESCRIPTION
Presented by Alexey KanTRANSCRIPT
Безопасность ДБО и минимизация
финансовых потерь
Профессиональные встречи (не за кружечкой пива, хотя после можно)
Алексей Кан SSCP, C|EH, CCNA
Старший консультант KPMG
24.05.2012
2© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
О чем пойдет речь?
ДБО – Дистанционное Банковское Обслуживание, клиент-серверное приложение позволяющее клиенту банка осуществлять операции со счетом через сеть Интернет.
Активное развитие ДБО началось во время начала финансового кризиса, и параллельно возросли финансовые потери Банков.
IC3 Internet Crime Report in USA
3© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
За и против
Преимущества ДБО для клиента:• Постоянный доступ к счету для проведения платежей;• Нет необходимости ездить в Банк, стоять в очередях;•Увеличение скорости обслуживания.
Преимущества ДБО для банка:• снижение операционных издержек;• повышение лояльности абонентов;• увеличение количества ежедневных операций;
Угрозы использования ДБО для клиента:• Возможность потерять средства на счету;
Угрозы использования ДБО для банка:• финансовые потери;• репутационные потери;• доступность сервиса;
4© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
ДБО и ИБ
ДБО
Бизнес
Безопасность
ИБ
5© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
А стоит ли игра свеч? Или риски решают все!
Эффективная оценка рисков, позволит определить величину допустимых финансовых потерь для бизнеса, если возникает инцидент связанный с ДБО.
Понимая, что мы защищаем, мы можем эффективно внедрять средства защиты и контроля.
«Не стоит тратить на защиту 10 млн., если объект защиты стоит 100 тыс.»
Старый-мудрый безопасник
6© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
А кто будет крайним?
Банк?
Клиент?
Вендор?
или хакер?
Варианты угроз:Атака на ДБО от Банка
Атака на клиента
Атака на ДБО Вендора
А поймайте его сначала…..
7© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Механизмы защиты доступа
1. Использование двухфакторной авторизации (What you have)Сертификаты
Генераторы одноразовых паролей
Защищенные носители информации
Токены со смарт-картой.
SMS-авторизация
2. Использование двухфакторной авторизации (What you are) Отпечаток пальца(ов)
Отпечаток капилляров
Радужная оболочка глаза
Геометрия лица
8© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Контроль и авторизация операций
По каждой операции должно производится оповещение владельца счета, посредством: SMS сообщения;
электронного сообщения.
При проведении операций превышающих порог чувствительности, должна производится дополнительная авторизация посредством: ввода кода подтверждения полученного через SMS сообщение;
телефонного звонка клиенту с обязательной записью разговора;
посредством дополнительного авторизации через токен или смарт-карту.
9© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Сбор доказательной базы
1. Создание защищенной копии лог-файлов сервера приложений (web-сервера)
2. Создание защищенной копии лог-файлов баз данных
3. Создание копии всего сетевого трафика взаимодействия с сервером ДБО
4. Установление контактов с отделом полиции по расследованию компьютерных
преступлений
5. Обеспечение единого системного времени
6. Создание процедуры оперативного реагирования на инциденты ДБО
включающей:
Процедуру по полному отключению ДБО
Процедуру по блокированию мошеннических транзакций
Процедуру сбора доказательной базы и вызова криминалистов
План действия если инцидент произошел у клиента
10© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
И самое главное….
Организация мероприятий по повышению уровня осведомленности в области безопасности как персонала банка так и клиентов…
11© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Последний слайд
Вопросы???
© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
The KPMG name, logo and “cutting through complexity” are registered trademarks or trademarks of KPMG International Cooperative (“KPMG International”).