Москва 2 0 1 0
Post on 11-Jan-2016
63 Views
Preview:
DESCRIPTION
TRANSCRIPT
Москва2010
Баланс удобства и защищенности Баланс удобства и защищенности электронного банкингаэлектронного банкинга
Профили безопасности частных Профили безопасности частных клиентов клиентов
в iBank 2 - сплав технологий и бизнесав iBank 2 - сплав технологий и бизнеса
X международный форум iFin-2010
Противостояние: Удобства и Безопасности
Больше возможностей
Меньше ограничений
Больше клиентов
Ограничения
Риски
Максимальнаябезопасность!!!
1. Защита от автоматизированного подбора пароля
2. Защита от фишинга и вредоносных программ
3. Многофакторная аутентификация клиента
4. Обеспечение аутентичности документов
Электронный банкинг для частных клиентов
Безопасность
CAPTCHA (Completely Automated Public Turing testto tell Computers and Humans Apart) – механизм различения человека и компьютера с помощью изображения текста с добавлением «шума»
1. Защита от автоматизированной регистрации и подбора логинов/паролей – CAPTCHA
iBank 2 для частных клиентов
Безопасность
2.1. Защита от фишинга
Справка
Более 90% фишинговых атак направлено на банки
Статистика
$3 200 000 000 – оценка прямых потерь клиентов банков США в 2007 году от фишинга
Количество уникальных атак – до 30 000 в месяц
Фишинг в финансовом секторе
2.1. Защита от фишинга
Статистика
II кв 2008Число сайтов, распространяющих вредоносное ПО, выросло на 47% по сравнению с 1-м кварталоми на 258% по сравнению с 2007 г.
Фишинг в финансовом секторе
2.1. Защита от фишинга
Август 2009 г- Уникальных фишинговых сайтов - 56 362 (рекорд)- Количество атакуемых брендов выросло на 10%- 80% атак приходится на финансовые и платежные сервисы
AntiPhishing Working Group (antiphishing.org) III.2009
Персональный интерфейс для аутентификации банковского сайта клиентом
Включает:
- личное обращение
- индивидуальная картинка
- цвет фона и рамки виртуальной клавиатуры
2.1. Защита от фишинга
iBank 2 для частных клиентов
Безопасность
Пример персонального интерфейса
2.1. Защита от фишинга
iBank 2 для частных клиентов
Безопасность
2.1. Защита от фишинга
iBank 2 для частных клиентов
Специальная антифишинговая процедурапри работе с недоверенного компьютера
- аутентификация по независимому каналу
- проверка подлинности URL сайта банка
Безопасность
Виртуальная клавиатура позволяет защититьсяот специализированного ПО, перехватывающего пароли (кейлогеры, скринскрейперы,..)
2.2. Защита от вредоносных программ
iBank 2 для частных клиентов
Безопасность
Группы факторов
- то, «что клиент знает» (долговременный пароль)
- то, «что клиент имеет» (источник одноразовых паролей)
- то, «кем является клиент» (DeviceID)
Сочетание двух и более факторов качественно усложняет получение злоумышленником доступак ресурсам клиента
3. Многофакторная аутентификация
iBank 2 для частных клиентов
Безопасность
Сценарии двухфакторной аутентификации
- Полный (расширенный): одноразовый пароль + долговременный пароль
- Упрощенный: DeviceID + долговременный пароль
3. Многофакторная аутентификация
iBank 2 для частных клиентов
Безопасность
Источники одноразовых паролей:
- SMS-сообщение на мобильный телефон
- OTP- токены и MAC-токены
- скретч-карты
- голосовая аутентификация в Call-центре
3. Многофакторная аутентификация
iBank 2 для частных клиентов
Безопасность
Механизмы подтверждения электронных распоряжений клиента:
- код подтверждения (OTP)
- аналог собственноручной подписи (АСП)
- электронная цифровая подпись (ЭЦП)
4. Обеспечение аутентичности документов
iBank 2 для частных клиентов
Безопасность
4.1 Код подтверждения (OTP)
4.2. Аналог собственноручной подписи (АСП)
4. Обеспечение аутентичности документов
iBank 2 для частных клиентов
Безопасность
4.3. Электронная цифровая подпись
4. Обеспечение аутентичности документов
iBank 2 для частных клиентов
iBank 2 Key
ЭЦП
Секретный ключ ЭЦП
ГОСТР34.10.2001
Безопасность
4.3. Электронная цифровая подпись
4. Обеспечение аутентичности документов
iBank 2 для частных клиентов
iBank 2 Key
Безопасность
Профили безопасностичастных клиентов в iBank 2
Профили безопасности
iBank 2 для частных клиентов
1. Категория: новый / информационный / полнофункциональный
2. Многофакторная аутентификация: да / нет
3. Способы получения OTP: SMS, токен, карта, Call-центр…
4. Виртуальная клавиатура: да / нет
5. DeviceID: да / нет
6. CAPTCHA: да / нет
7. Лимиты операций и способы подтверждения
iBank 2 для частных клиентов
Профили безопасности
iBank 2 для частных клиентов
Профили безопасности
Проанализировав аудиторию частных клиентов, Банк выделил следующие категории:
- «информационные»
- «экономные»
- «продвинутые»
- «VIP»
Пример использования банком
iBank 2 для частных клиентов
Профили безопасности
«Информационные» (клиенты зарплатных проектов):
- Услуги – информационные
- Финансовые риски – отсутствуют
- Дополнительное условие – максимальная простота
Профиль безопасности: - однофакторная аутентификация - только долговременный пароль - никаких дополнительных механизмов
Пример использования банком
iBank 2 для частных клиентов
Профили безопасности
«Экономные»:
- Услуги – переводы по своим счетам и платежи
- Финансовые риски – невысокие
- Дополнительные условия – максимальная экономия
Профиль безопасности:- многофакторная аутентификация (с DeviceID)- защита от фишинга- одноразовый пароль по SMS- подтверждение документов кодом подтверждения- лимиты по суммам операций
Пример использования банком
iBank 2 для частных клиентов
Профили безопасности
«Продвинутые»:
- Услуги – переводы по произвольным реквизитам
- Финансовые риски – повышенные
- Дополнительные условия – повышенная защищенность, за которую готовы платить
Профиль безопасности:- многофакторная аутентификация, защита от фишинга - одноразовый пароль с MAC-токена- подтверждение документов АСП с MAC-токена- лимиты по суммам операций
Пример использования банком
iBank 2 для частных клиентов
Профили безопасности
«VIP»:
- Услуги – максимальный набор
- Финансовые риски – высокие (крупные суммы)
- Дополнительные условия – максимум безопасности, минимум ограничений
Профиль безопасности:- многофакторная аутентификация, защита от фишинга- одноразовый пароль для входа- подтверждение документов ЭЦП (без ограничений по сумме)
Пример использования банком
iBank 2 для частных клиентов
Профили безопасностиПрофили безопасности
iBank 2 для частных клиентов
Управление правами на услуги
iBank 2 для частных клиентов
Вместо вывода
Профили безопасности позволяют
1. Не подстраиваться под систему – подстроить систему под себя, под клиента
2. Гибко оперировать технологиями безопасности зависимости от изменения характера клиентской базы, масштабов проекта, финансовых условий
3. Быть готовым к возникновению новых угроз,оперативно реагировать на изменения в условиях обслуживания
Мустафаев Рустамmustafaev@bifit.com
X международный форум iFin-2010
Баланс удобства и защищенности Баланс удобства и защищенности электронного банкингаэлектронного банкинга
Профили безопасности частных Профили безопасности частных клиентов клиентов
в iBank 2 - сплав технологий и бизнесав iBank 2 - сплав технологий и бизнеса
Мустафаев Рустамmustafaev@bifit.com
X международный форум iFin-2010
Баланс удобства и защищенности Баланс удобства и защищенности электронного банкингаэлектронного банкинга
Профили безопасности частных Профили безопасности частных клиентов клиентов
в iBank 2 - сплав технологий и бизнесав iBank 2 - сплав технологий и бизнеса
top related