четверг, 6 октября 2011 г.

ИнфоБезопасность 2011 - Банковский день

Вчера побывал на Банковском дне ИнфоБезопасности 2011. Помимо посещения стендов и общения с коллегами я успел посетить мероприятия по следующим тематикам:
- ОНиВД в стандарте АРБ - встреча с разработчиками стандарта;
- ДБО в свете последних изменений законодательства. Проблемы безопасности ДБО;
- Безопасность банковских приложений;
- Практические вопросы внедрения СТО БР ИББС-1.0-2010

Итак вкратце о каждом.

Круглый стол: ОНиВД в стандарте АРБ - встреча с разработчиками стандарта:
В разработке стандарта АРБ по ОНиВД принимали участие 15 банков, ряд организаций-консультантов и ЦБ, как негласный согласователь. Стандарт разработан на основе лучших практик BS-25999 и с учетом Положения ЦБ 242-П, так в него привнесены те же вопросы ликвидности, которых нет в BS-25999. Текущая версия стандарта - 7.3. При этом представитель ЦБ, присутствовавший на круглом столе, заявил, что официальной процедуры согласования стандартов с ЦБ нет (как и полномочий на это у ЦБ), поэтому ждать официальных подписей от ЦБ на стандарте ждать не стоит. Разработчики же в свою очередь все-таки стараются по максимуму учесть в своих документах замечания представителей ЦБ. 

По мнению разработчиков стандарта, наилучшим форматом его внедрения является вариант с сертификацией, поскольку на выходе организация получает официальное подтверждение независимой стороны о уровне организации по линии ОНиВД. В качестве варианта сертификации предложили проходить сертификацию по BS-25999, которая по сути перекрывает более 90 % стандарта АРБ. 

Всего, помимо стандарта по ОНиВД, Координационым комитетом АРБ по стандартам качества банковской деятельности сейчас разработано порядка 15 стандартов по банковской деятельности, которые они продвигают среди кредитных организаций. 


Круглый стол: Безопасность банковских приложений:
Честно говоря, не самое интересно мероприятие получилось. Слушателей было мало, а к концу осталось еще меньше. Поднимались в основном общие вопросы обеспечения ИБ банковских, а порой и других приложений, например, такие как:
- организация парольной защиты и применение усиленной аутентификации;
- наличие НДВ в разрабатываемых банковских системах;
- обеспечение ИБ на жизненном цикле банковских приложений, в том числе вопросы ИБ при внедрении и эксплуатации АБС.

Но по сути ничего нового и особо интересного сказано не было (не в упрек организаторам и ведущим круглого стола, видимо тема такая) - как результат, вопросов у аудитории особо не возникло =). 


Круглый стол: Практические вопросы внедрения СТО БР ИББС-1.0-2010: 
Вполне предсказуемо основными вопросами, поднимаемыми в рамках круглого стола, были вопросы реализации требований по персональным данным. Чувствовался откровенный мандраж со стороны представителей банков по поводу пошатнувшего статуса СТО БР ИББС и письма шестерых в связи с принятием новой редакции 152-ФЗ. Банкиры интересовались прецедентами проверок регуляторов банков по СТО БР ИББС, но поскольку фактов таких проверок не было, то, по-моему, это только усиливает общее напряжение, потому как не понятно, чего же ждать. 

Лично я считаю, что все основные опасения, не то чтобы не обоснованы, но явно завышены. Письмо шестерых никто не отменял, потому договоренности между ЦБ и регуляторами по-прежнему в силе. Да, ЦБ еще не успел отреагировать на изменения в 152-ФЗ, но ведь и правительство и регуляторы не особо торопятся с этим. Все-таки в России живем, все должны понимать, что быстро ничего не бывает. 

Кредитные организации должны осознавать, что отказ от Стандарта СТО БР ИББС, явно не будет плюсом для кредитной организации, особенно если она уже заявила о его принятии. Поэтому, господа банкиры, если в Ваших организациях выбран курс на внедрение Стандарта ЦБ, то надо планировать и постепенно двигаться в направлении соответствия - никто же от банков не требует моментального результата, все понимают, что внедрение Стандарта, это вопрос как минимум 2-3 лет. Но и затягивать особо не следует =). 

Круглый стол: ДБО в свете последних изменений законодательства. Проблемы безопасности ДБО:
На этом мероприятии хотелось бы остановиться поподробнее, поскольку оно было довольно интересным, насыщенным информацией, а слушателей было больше, чем посадочных мест, так что опоздавшим пришлось слушать стоя.

В докладчиках были представители банков, компании BSS - разработчика систем ДБО, разработчиков средств защиты для ДБО (Алладин, Актив)  и Илья Сачков от Group-IB.

В рамках круглого стола были затронуты следующие темы:

Изменения в законодательстве и их влияния на ДБО:
- принятие 63-ФЗ "Об электронной подписи" и выделение неквалифицированной и квалифицированной ЭП повлечет определенные изменения в функционировании систем ДБО;
- в перспективе в системах ДБО общая тенденция на использование именно квалифицированной ЭП и соответствующих сертифицированных средств. 

Отсутствие стандартизации в ДБО:  
- есть отдельные рекомендации в виде писем ЦБ по вопросам ИБ ДБО (36-Т, 141-Т и др.), но единого свода требований пока нет;
- в АРБ организована рабочая группа по системам ДБО, которая будет заниматься этими вопросами, но в ближайшее время особо можно ничего не ждать, появление первых драфтов - не ранее чем через год; 
- недостаток документов, регламентирующих ИБ в ДБО,  во многом обусловлено тем, что не с кого требовать - основные проблемы возникают на стороне клиентов, а не банков. 

Тенденции преступности в ДБО (выступление Сачкова И.):
Основные причины постоянного роста объемом мошенничества в ДБО:
- сверхприбыли,
- чувство безнаказанности,
- дыры в законодательстве РФ.

В настоящее время в России действуют 6 преступных групп, занимающихся мошенничеством в ДБО, средний заработок каждого члена группы ~ 10 млн. $ в месяц. При этом привлечение мошенников к ответственности является сложно реализуемой задачей. Сложность расследования преступлений в ДБО в частности связана с их распределенностью по нескольким регионам - правоохранительные органы порой откровенно футболят расследование из региона в регион. 

Необходимо срочный пересмотр и внесение изменений в УК в части ужесточения наказаний за участие в преступлениях, связанных в ДБО. Кроме того, необходимо внесение изменений в ФЗ "О банках и банковской деятельности" в части расширения полномочий банков по приостановлению подозрительных операций (на текущий момент законных оснований для остановки мошеннических платежей порой не хватает). 

Мошенники обладают огромным потенциалом, их средства атаки позволяют обойти токены на раз. Практически никто сейчас не может считать себя защищенным.

Кроме того наблюдаются следующие тенденции: 
- повышение профессионализма мошенников при заметании следов - порой приходится использовать специальные средства восстановления информации  (например, средства анализа остаточной намагниченности), дабы восстановить хоть что-то;
- появляется национальный срез среди крышивания обналички средств, полученных через мошенничество в ДБО;
- более 50 % атак по прежнему нацелены на незащищенные хранилища ключевой информации (дискеты);
- практически 100 % атак идут именно на АРМ клиентов ДБО, атаки на АРМ банков были зафиксированы лишь дважды.

Основные векторы атак в ДБО: 
- кража ключевых носителей; 
- проведение операций без ведома пользователя (при подключенном токене);
- подмена платежных документов во время их подписи и отправки. 

Меры противодействия мошенничеству в ДБО:
- финансовый мониторинг (хотя антифрод не всегда срабатывает, т.к., например, в случае последних двух типов атак платежки уходят с тех же компьютеров клиентов); 
- системы подтверждения (например, телефон) отправленных платежей по всем или крупным операциям. 

Также в рамках круглого стола были представлены новые разработки компаний Алладин и Актив, позволяющие во-первых обеспечить доверенность среды на стороны клиента ДБО, а во-вторых обеспечивающие визуализацию платежной информации в этой доверенной среде в момент подписания. Обсуждение одного из подобных решений (Рутокен PINPad) - есть на сайте Банкира. Решения подобного класса показались довольно интересными аудитории, а Илья Сачков попросил их предоставить Group-IB для экспертной оценки.

1 комментарий:

  1. Большое спасибо за отчет.
    Не было возможности попасть на Инфобез.
    А так хоть узнал основные моменты.

    ОтветитьУдалить