Top Banner
Москва 2010 Баланс удобства и защищенности Баланс удобства и защищенности электронного банкинга электронного банкинга Профили безопасности частных клиентов Профили безопасности частных клиентов в iBank 2 - сплав технологий и бизнеса в iBank 2 - сплав технологий и бизнеса X международный форум iFin-2010
31

Москва 2 0 1 0

Jan 11, 2016

Download

Documents

duante

X международный форум iFin-2010. Баланс удобства и защищенности электронного банкинга Профили безопасности частных клиентов в iBank 2 - сплав технологий и бизнеса. Москва 2 0 1 0. Противостояние: Удобства и Безопасности. Электронный банкинг для частных клиентов. Безопасность. - PowerPoint PPT Presentation
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: Москва 2 0 1 0

Москва2010

Баланс удобства и защищенности Баланс удобства и защищенности электронного банкингаэлектронного банкинга

Профили безопасности частных Профили безопасности частных клиентов клиентов

в iBank 2 - сплав технологий и бизнесав iBank 2 - сплав технологий и бизнеса

X международный форум iFin-2010

Page 2: Москва 2 0 1 0

Противостояние: Удобства и Безопасности

Больше возможностей

Меньше ограничений

Больше клиентов

Ограничения

Риски

Максимальнаябезопасность!!!

Page 3: Москва 2 0 1 0

1. Защита от автоматизированного подбора пароля

2. Защита от фишинга и вредоносных программ

3. Многофакторная аутентификация клиента

4. Обеспечение аутентичности документов

Электронный банкинг для частных клиентов

Безопасность

Page 4: Москва 2 0 1 0

CAPTCHA (Completely Automated Public Turing testto tell Computers and Humans Apart) – механизм различения человека и компьютера с помощью изображения текста с добавлением «шума»

1. Защита от автоматизированной регистрации и подбора логинов/паролей – CAPTCHA

iBank 2 для частных клиентов

Безопасность

Page 5: Москва 2 0 1 0

2.1. Защита от фишинга

Справка

Page 6: Москва 2 0 1 0

Более 90% фишинговых атак направлено на банки

Статистика

$3 200 000 000 – оценка прямых потерь клиентов банков США в 2007 году от фишинга

Количество уникальных атак – до 30 000 в месяц

Фишинг в финансовом секторе

2.1. Защита от фишинга

Page 7: Москва 2 0 1 0

Статистика

II кв 2008Число сайтов, распространяющих вредоносное ПО, выросло на 47% по сравнению с 1-м кварталоми на 258% по сравнению с 2007 г.

Фишинг в финансовом секторе

2.1. Защита от фишинга

Август 2009 г- Уникальных фишинговых сайтов - 56 362 (рекорд)- Количество атакуемых брендов выросло на 10%- 80% атак приходится на финансовые и платежные сервисы

AntiPhishing Working Group (antiphishing.org) III.2009

Page 8: Москва 2 0 1 0

Персональный интерфейс для аутентификации банковского сайта клиентом

Включает:

- личное обращение

- индивидуальная картинка

- цвет фона и рамки виртуальной клавиатуры

2.1. Защита от фишинга

iBank 2 для частных клиентов

Безопасность

Page 9: Москва 2 0 1 0

Пример персонального интерфейса

2.1. Защита от фишинга

iBank 2 для частных клиентов

Безопасность

Page 10: Москва 2 0 1 0

2.1. Защита от фишинга

iBank 2 для частных клиентов

Специальная антифишинговая процедурапри работе с недоверенного компьютера

- аутентификация по независимому каналу

- проверка подлинности URL сайта банка

Безопасность

Page 11: Москва 2 0 1 0

Виртуальная клавиатура позволяет защититьсяот специализированного ПО, перехватывающего пароли (кейлогеры, скринскрейперы,..)

2.2. Защита от вредоносных программ

iBank 2 для частных клиентов

Безопасность

Page 12: Москва 2 0 1 0

Группы факторов

- то, «что клиент знает» (долговременный пароль)

- то, «что клиент имеет» (источник одноразовых паролей)

- то, «кем является клиент» (DeviceID)

Сочетание двух и более факторов качественно усложняет получение злоумышленником доступак ресурсам клиента

3. Многофакторная аутентификация

iBank 2 для частных клиентов

Безопасность

Page 13: Москва 2 0 1 0

Сценарии двухфакторной аутентификации

- Полный (расширенный): одноразовый пароль + долговременный пароль

- Упрощенный: DeviceID + долговременный пароль

3. Многофакторная аутентификация

iBank 2 для частных клиентов

Безопасность

Page 14: Москва 2 0 1 0

Источники одноразовых паролей:

- SMS-сообщение на мобильный телефон

- OTP- токены и MAC-токены

- скретч-карты

- голосовая аутентификация в Call-центре

3. Многофакторная аутентификация

iBank 2 для частных клиентов

Безопасность

Page 15: Москва 2 0 1 0

Механизмы подтверждения электронных распоряжений клиента:

- код подтверждения (OTP)

- аналог собственноручной подписи (АСП)

- электронная цифровая подпись (ЭЦП)

4. Обеспечение аутентичности документов

iBank 2 для частных клиентов

Безопасность

Page 16: Москва 2 0 1 0

4.1 Код подтверждения (OTP)

4.2. Аналог собственноручной подписи (АСП)

4. Обеспечение аутентичности документов

iBank 2 для частных клиентов

Безопасность

Page 17: Москва 2 0 1 0

4.3. Электронная цифровая подпись

4. Обеспечение аутентичности документов

iBank 2 для частных клиентов

iBank 2 Key

ЭЦП

Секретный ключ ЭЦП

ГОСТР34.10.2001

Безопасность

Page 18: Москва 2 0 1 0

4.3. Электронная цифровая подпись

4. Обеспечение аутентичности документов

iBank 2 для частных клиентов

iBank 2 Key

Безопасность

Page 19: Москва 2 0 1 0

Профили безопасностичастных клиентов в iBank 2

Page 20: Москва 2 0 1 0

Профили безопасности

iBank 2 для частных клиентов

1. Категория: новый / информационный / полнофункциональный

2. Многофакторная аутентификация: да / нет

3. Способы получения OTP: SMS, токен, карта, Call-центр…

4. Виртуальная клавиатура: да / нет

5. DeviceID: да / нет

6. CAPTCHA: да / нет

7. Лимиты операций и способы подтверждения

Page 21: Москва 2 0 1 0

iBank 2 для частных клиентов

Профили безопасности

Page 22: Москва 2 0 1 0

iBank 2 для частных клиентов

Профили безопасности

Page 23: Москва 2 0 1 0

Проанализировав аудиторию частных клиентов, Банк выделил следующие категории:

- «информационные»

- «экономные»

- «продвинутые»

- «VIP»

Пример использования банком

iBank 2 для частных клиентов

Профили безопасности

Page 24: Москва 2 0 1 0

«Информационные» (клиенты зарплатных проектов):

- Услуги – информационные

- Финансовые риски – отсутствуют

- Дополнительное условие – максимальная простота

Профиль безопасности: - однофакторная аутентификация - только долговременный пароль - никаких дополнительных механизмов

Пример использования банком

iBank 2 для частных клиентов

Профили безопасности

Page 25: Москва 2 0 1 0

«Экономные»:

- Услуги – переводы по своим счетам и платежи

- Финансовые риски – невысокие

- Дополнительные условия – максимальная экономия

Профиль безопасности:- многофакторная аутентификация (с DeviceID)- защита от фишинга- одноразовый пароль по SMS- подтверждение документов кодом подтверждения- лимиты по суммам операций

Пример использования банком

iBank 2 для частных клиентов

Профили безопасности

Page 26: Москва 2 0 1 0

«Продвинутые»:

- Услуги – переводы по произвольным реквизитам

- Финансовые риски – повышенные

- Дополнительные условия – повышенная защищенность, за которую готовы платить

Профиль безопасности:- многофакторная аутентификация, защита от фишинга - одноразовый пароль с MAC-токена- подтверждение документов АСП с MAC-токена- лимиты по суммам операций

Пример использования банком

iBank 2 для частных клиентов

Профили безопасности

Page 27: Москва 2 0 1 0

«VIP»:

- Услуги – максимальный набор

- Финансовые риски – высокие (крупные суммы)

- Дополнительные условия – максимум безопасности, минимум ограничений

Профиль безопасности:- многофакторная аутентификация, защита от фишинга- одноразовый пароль для входа- подтверждение документов ЭЦП (без ограничений по сумме)

Пример использования банком

iBank 2 для частных клиентов

Профили безопасностиПрофили безопасности

Page 28: Москва 2 0 1 0

iBank 2 для частных клиентов

Управление правами на услуги

Page 29: Москва 2 0 1 0

iBank 2 для частных клиентов

Вместо вывода

Профили безопасности позволяют

1. Не подстраиваться под систему – подстроить систему под себя, под клиента

2. Гибко оперировать технологиями безопасности зависимости от изменения характера клиентской базы, масштабов проекта, финансовых условий

3. Быть готовым к возникновению новых угроз,оперативно реагировать на изменения в условиях обслуживания

Page 30: Москва 2 0 1 0

Мустафаев Рустам[email protected]

X международный форум iFin-2010

Баланс удобства и защищенности Баланс удобства и защищенности электронного банкингаэлектронного банкинга

Профили безопасности частных Профили безопасности частных клиентов клиентов

в iBank 2 - сплав технологий и бизнесав iBank 2 - сплав технологий и бизнеса

Page 31: Москва 2 0 1 0

Мустафаев Рустам[email protected]

X международный форум iFin-2010

Баланс удобства и защищенности Баланс удобства и защищенности электронного банкингаэлектронного банкинга

Профили безопасности частных Профили безопасности частных клиентов клиентов

в iBank 2 - сплав технологий и бизнесав iBank 2 - сплав технологий и бизнеса