safetech. Денис Калемберг. "Компоненты «топлива» для...
TRANSCRIPT
http://www.safe-tech.ru
Компоненты «топлива»для дистанционных сервисов:
удобство, мобильность, безопасность
Денис Калемберг,генеральный директор
Екатеринбург, 23 марта 2017г.Форум «Технологичный банкинг B+S-2017»
http://www.safe-tech.ru
О компании SafeTech (СэйфТек)
2
‒ Основана в 2010 году, как разработчиксредств безопасности для системдистанционного банкинга;
‒ Лицензиат ФСТЭК на разработку ипроизводство средств защитыконфиденциальной информации;
‒ На сегодняшний день клиентамикомпании являются более 50-тироссийских банков, в том числе,входящих в список ТОП-10;
‒ В продуктовую линейку компании входятрешения как для юридических, так и дляфизических лиц.
http://www.safe-tech.ru
Бизнес + Безопасность =
3
Чего хочет бизнес Чем можем помочь
Высокий процентный доход (ниже риски, выше лимиты)
Защита от всех современных угроз
Больше транзакцийРабота с любого устройства
Удобное подтверждение операций
Общение с клиентом только на приятные темы
Никаких установок СКЗИ, CSP, JCP, PKIClient и т.д. и т.п.
Сохранность денег БанкаСоответствие требованиям законодательства
Дополнительный непроцентный доход
Безопасность тоже можно продать
http://www.safe-tech.ru
А что у нас с безопасностью?
4
315,2 317,3
459,4
547,5 612,6
1 455,8
2 070,5
987,6
1 276744
1 264 1 606
3 302
5 369
8 223
15 674
0
2 000
4 000
6 000
8 000
10 000
12 000
14 000
16 000
18 000
0,0
500,0
1 000,0
1 500,0
2 000,0
2 500,0
1 квартал 2014 2 квартал 2014 3 квартал 2014 4 квартал 2014 1 квартал 2015 2 квартал 2015 3 квартал 2015 4 квартал 2015
Динамика инцидентов ДБО по данным ЦБ за 2015г.
объем несанкционированных списаний, млн. руб. количество несанционированных операций в ДБО, ед.
http://www.safe-tech.ru
Что происходит?
• Резко выросло количество вредоносного ПО– для ПК, причем антивирусные средства не помогают– для кражи SMS с мобильных устройств
• Расцвет традиционных методов атак на физ. лиц:– фишинг– социальная инженерия– удаленный доступ
• Новые методы атак– автоматическая подмена платежных документов– виртуальные базовые станции мобильных операторов
5
Против комбинаций этих методовтрадиционные методы защиты
(SMS, генераторы одноразовых паролей, скретч-карты, антифрод-системы и пр.)
стали недостаточно эффективными!
http://www.safe-tech.ru 6
Отцы и дети? (с) Тургенев
«Классики» «Современники»
Тип системы
«Средство производства»
Чем защищаем
Интернет-банк, Клиент-банк Мобильный банк, Интернет-банк
Персональный компьютер, ноутбук
Смартфон, планшет
Токены, смарт-карты, СКЗИ на компьютере, ключи на флешках
SMS-пароли, генераторы одноразовых паролей
Точно защищаем?Удаленное управление, подмена реквизитов платежа
Перехват SMS, фишинг, подмена SIM-карт
Что делать? (с) Чернышевский
http://www.safe-tech.ru
Для «Классиков»: SafeTouch. Доверенный экран
• Защита от всех известных на сегодняшний день удаленных атак– Визуальный контроль данных, передаваемых в смарт-карту– Блокирование операции подписи до момента нажатия кнопки
подтверждения
• Не надо выбрасывать уже розданные клиентам USB-токены
• Не надо устанавливать какое-либо дополнительное ПО (включил иработает)
• Отлично продается в составе пакета «Безопасность класса премиум» иприносит банкам доход от 1000 до 2500 руб. на одно рабочее местосистемы Интернет-банкинга.
7
http://www.safe-tech.ru
• Одноразовые пароли через SMS– негарантированная доставка
– задержки в доставке
– возможность перехвата на уровне канала связи или ввода всистему
– возможность перехвата на уровне оператора мобильнойсвязи
– возможность переоформления сим-карты клиента намошенника по поддельной доверенности (и перехвата SMS)
– возможность направления клиенту SMS-сообщений сподменного номера
– рост операционных затрат пропорционально клиентской базе
• MAC-токены– детали операции необходимо вводить вручную
– От 12 до 50 USD/шт.
– необходимость иметь его под рукой
10
Что предлагает рынок?
http://www.safe-tech.ru
PUSH-уведомления?
• Появились компании, специализирующиеся на рассылке PUSH-уведомлений. Сами по себе уведомления – замечательный способзаменить информирование через SMS.
Но их нельзя использовать «в лоб» для целей безопасности
11
• PUSH имеет много ограничений. Главное – негарантированностьдоставки и невозможность работы без подключения на смартфоне
http://www.safe-tech.ru
PayControl. Безопасная и удобная замена SMS-паролей
12
• Подпись на смартфоне
– документ загружается в смартфон автоматически
– детали операции очень удобно просматривать на экране
– транзакция подтверждается усиленной неквалифицированной подписью
Удобство смартфона и безопасностьMAC-калькулятора в мобильном приложении
http://www.safe-tech.ru
Как это выглядит в Интернет-банкинге
13
push-уведомление о транзакции (онлайн)*или сканирование QR-кода (офлайн)
автоматическое подтверждение (онлайн)или ввод 6 цифр (офлайн)
* данные или код подтверждения не высылаются на смартфон через push
http://www.safe-tech.ru
Усиленная квалифицированная подпись в смартфоне
Интеграция с сервисом «облачной подписи» КриптоПро DSS
Совместное решение позволяет получить квалифицированнуюэлектронную подпись с использованием сценариев работы PayControl, тоесть в одно нажатие на смартфоне
• Целевая аудитория – SMB
• Преимущества:– кардинальное снижение порога использования
квалифицированной ЭП– полная мобильность клиента– возможность использования мобильных платформ и сервисов с
квалифицированной ЭП– существенное снижение затрат за счет отсутствия аппаратных
СКЗИ
14
http://www.safe-tech.ru 15
Банк
• перекредитование (либо выдача нового целевого кредита с залогом) онлайн
• доп. соглашения на покупку любых банковских продуктов онлайн
• работа с гос. органами, например регистрация (перерегистрация) права
собственности на недвижимость онлайн
Страховые продукты: ОСАГО, КАСКО,
страхование жизни
Дополнительные небанковские сервисы: сервисные программы для авто (как пакет к
автокредиту), юридические услуги, открытие юр.лица и т.д.
Инвестиционные продукты: пенсионные программы, ПИФы, и т.д.
Дополнительные продажи банковских продуктов и предоставление
небанковских сервисов
Комиссионный доход от партнерских продуктов«Единое окно» клиента
Предоставление финансовых и
нефинансовых услуг
Снижение затрат на операционные расходы
• Начисление резервов по потерянным договорам
• Затраты на работу с бумагой
• Изменение условий кредита (в том числе частично-
досрочное погашение) в удаленном канале
3-4 тыс. руб. экономиина договор (для
автокредитования)
• 20-40 тыс. комиссии на 1 полис для
КАСКО,
• 500-1000 руб. комиссии по
коробочным страховым продуктам
Квалифицированная ЭПв сервисах для физических лиц
http://www.safe-tech.ru
Квалифицированная ЭПв сервисах для юридических лиц
16
Банк
• Online продажа
банковских гарантий
• Online выдача
кредитов и заключение
депозитных договоров
• Облачная
бухгалтерия для МСБ
Новое качество традиционных банковских продуктовВыстраиваетэффективное
взаимодействие с партнерами
Получает возможность продавать новые
продукты
Взаимодействие с партнерами (Маркетплейс)
• Сокращение времени от нескольких дней на
предоставление гарантии до нескольких часов
• Расчеты с партнерами (подписание актов,
счетов, сверок и т.д. в рамках
автоматического сквозного бэк-офисного
процесса)
Ускорение бэк-офисных
процессов в несколько раз;
Снижение трудоемкости процессов
бэк-офисного обслуживания.
Типовая функциональность партнерского маркетплейса
• Программы прямой мотивации
сотрудников Банка партнерами: акты на
выплату комиссионного вознаграждения в
электронном виде.
Сотрудники замотивированы
продавать;
Банку доступна информация о
«побочном» доходе сотрудников.
Функциональность на базе ЭП — позволяет типовой функциональности работать «на отлично»:
• Продажа партнерских
продуктов
• CRM для работы с
клиентами
• Центр коммуникации и
обучения
• Быстрое заключение кредитных договоров
• Новый продукт для клиентов и новое средство
привлечения для Банка: краткосрочные депозиты, овернайт
депозиты, депозиты по ставке казначейства и т.д.
• Услуги бухгалтерии как «стандарт обслуживания» для
клиентов на УСН
• Доп. доход в 3-4 тыс. руб. на каждого клиента