Защита информации при удаленной идентификации клиентов с помощью информационных технологий.

1. Delete this box and insert your
firm logo. Top of the wing
should sit on the gridline above
«САНГРАНТ»
Лого клиента
В. Мельничук, директор сервиса ИТ аудита и консалтинга
Информационная НЕбезопасность предприятия
Семинар
«Международные стандарты в банковской деятельности»
20 февраля 2015

2. Корпоративные риски
• Несостоятельность поддерживать
критические услуги
• Уменьшение рыночных позиций
или рыночной стоимости
• Потеря имиджа, репутации, бренда,
гудвил (goodwill)
• Потеря активов, интеллектуальной
собственности, персонала
• Потеря управления бизнесом
• Невыполнение
юридических/регуляторных
требований

3. Классификация происшествий по версии Verizon

4. ВСЕГО ЛИШЬ ТРИ КЛАССА ИНЦИДЕНТОВ СОСТАВЛЯЮТ…
…от общего количества инцидентов по индустрии
Розничный сектор финансовый сектор технологии

5. Методы и сценарии атак
• Фишинг
• Социальная инженерия
• Хак-девайсы
• Вирусытрояны
• DoS/DDoS атаки
• Protocol attack (UDP Bomb, Land, Mail bombing, Sniffing, IP Hijack,
Dummy ARP, Back Connect/Pipes/Reverse, Software vulnerabilities, Buffer
Overflow, Shatter, Nuke, Cross User Attack, etc)
• Web attack (CGI, SQL Injection, HRS (HTTP Resource Splitting), CSS/XSS
(Cross-Site Scripting), SiXSS (SQL Injection Cross Site Scripting), Hidden
Fields)
• USB Attack (BadUSB)

6. Фишинг
ВРЕДНЫЕ СОВЕТЫ
Как попасться «на удочку»?
- Кликните по одной из
указанных ссылок и в
открывшейся привычной
веб-странице укажите свой
логин и пароль

7. Социальная инженерия
ВРЕДНЫЕ СОВЕТЫ
Если у входа в офисное
помещение незнакомец
попросит вас открыть
дверь, поскольку свой
бейдж он забыл дома –
будьте приветливы и
помогите ему попасть в
«свой» офис.

8. Хак-девайсы
ВРЕДНЫЕ СОВЕТЫ
Если вам «подарили» некий
«ускоритель» клавиатуры,
обязательно вставьте его, как
показано на картинке.

9. Dos/DDoS атака
ВРЕДНЫЕ СОВЕТЫ
Как стать «зомби»?
- Установите коммерческое
программное обеспечение
и воспользуйтесь
генератором ключей или
«ломалкой» («кряк»,
«ключеделалка» ,
«лекарство», «таблетка»,
«пилюля», «вылеченный»
исполняемый файл,
«genkey», «fix»)

10. Трояны, Ransomware
ВРЕДНЫЕ СОВЕТЫ
Если вам пришло письмо от
незнакомки с «фотографиями со
вчерашней вечеринки»,
обязательно откройте эти
«фотографии»!

11. Web-атака

12. Новая угроза.
Security Research Labs: Karsten Nohl, Jakob Lell

13. Новая угроза - BadUSB
ВРЕДНЫЕ СОВЕТЫ
Если у входа в офис вам
дарят бесплатную
«флешку» с рекламным
роликом компании «Рога и
копыта» – обязательно
примите подарок и
посмотрите этот ролик на
рабочем компьютере! Если
антивирусная программа
мешает смотреть ролик –
отключите антивирус,
чтобы не мешал.

14. Менеджеры паролей

15. Жертвы аттак или внутреннего мошенничества
• JPMorgan Chase
• UBS
• Société Générale
• CitiGroup Inc
• RSA (SecurID)
• PayPal, VISA, MasterCard
• Saudi Adamco
• Международное агентство по атомной энергии (МАГАТЭ)
• eBay
• Google
• Cisco
• Motorola
• IBM
• Intel
• Home Depot
• Associated Press
• Facebook
• LinkedIn
• Одноклассники
• Twitter (Дмитрий Медведев)

16. Реальные случаи взломов – Sony Pictures
Компьютерная сеть одной из крупнейших
киностудий мира Sony Pictures
Entertainment была взломана 24 ноября
2014 года. Хакеры выложили в открытый
доступ персональные данные 47 тыс.
бывших и действующих сотрудников
компании. Кроме того, в Сети появилась
конфиденциальная информация о звездах,
работавших с этой киностудией. По
состоянию на первую декаду декабря,
полностью устранить последствия взлома
Sony Pictures так и не удалось.
Есть детальные зарплаты всей компании,
список уволенных в 2014 году, включая
причины и различные связанные с этим
затраты, данные о больничных, пенсионных
выплатах и прибыльности фильмов.

17. Процессы построения информационной защиты
• Поддержка
конфиденциальности
• Анализ рисков
• Построение архитектуры
защиты
• Безопасная разработка кода
• Реагирование на инциденты
• Поддержка процедур ИБ

18. Классификация активов
• Зачем классифицировать активы?
• Кто владеет информационным
активом?
• У кого есть права и полномочия?
• Кто определяет права и уровни
доступа?
• Кто утверждает политики доступа и
изменения в них?
• Где хранится документация?
• Как часто обновлять???

19. Виды информационных активов
• Бумажные документы
• Критическое оборудование и системы
• Системы управления сетями и серверами
(базы данных, почтовые сервера)
• Системы бухучета и управления предприятием
• Системы управления производством
• Системы управления логистикой
• прочее
• Конфиденциальные данные
• Коммерческая тайна (know-how, договорные
обязательства)
• Корпоративная интеллектуальная
собственность
• Персональные и корпоративные данные
клиентов
• Финансовые средства клиентов
• Ключи и доступ к управлению платежными
системами (системы клиент-банк, доступ к
удаленным ресурсам)
• Периферийное, серверное и сетевое
оборудование

20. Полномочия доступа
• Физический доступ
• Доступ в помещения
• Доступ к оборудованию
• Логический доступ
• Доступ к оборудованию
• Доступ к системам и приложениям
• Сетевые ресурсы, платформы,
сервера, базы данных
• Правила доступа, роли,
полномочия

21. Ключевые роли и ответственности
• Поддержка высшего руководства
• Разработанный комплект политик и процедур
• Организация и планирование
• Осведомление об опасностях и обучение
• Комплаенс (compliance), тестирование и мониторинг
• Обработка инцидентов и ответные меры

22. Международные и отечественные стандарты
Статус по банковской индустрии:
• Формальное отношение банков к реализации стандарта
• Отсутствие объективной и регулярной оценки рисков
• Отсутствие работающих процедур обработки рисков
• Статичная нормативная документация
• Нежелание вникать и как следствие - экономия на персонале ИБ и
делегирование ответственности на подразделение ИТ
СОУ Н НБУ 65.x СУІБVS

23. Тренд сертификации ISO 27001
Украина - 12
Польша - 307
Япония - 7084

24. Принцип “do not need to outrun the shark, just your
buddy” – не работает

25. Угадай героя
Jessica Harper - head of fraud and
security for online digital banking of
Lloyds Banking Group
- 2,5 млн фунтов стерлингов

26. Вопросы?