2. http://www.safe-tech.ru
О компании SafeTech (СэйфТек)
2
‒ Основана в 2010 году, как разработчик
средств безопасности для систем ДБО;
‒ Лицензиат ФСТЭК на разработку и
производство средств защиты
конфиденциальной информации.;
‒ На сегодняшний день клиентами
компании являются более 50-ти
российских банков, в том числе,
входящих в список ТОП-30;
‒ В 2013 году в продуктовую линейку
компании вошли новые решения как для
юридических, так и для физических лиц.
#FORUMBS
3. http://www.safe-tech.ru
Атаки на клиентов систем ДБО. Текущая ситуация
‒ Начиная с 2011 года российскими хакерами стала
активно применяться технология подмены
платежного документа – «автозалива», что привело к
резкому росту процента успешных атак и обходу всех
традиционных методов защиты ДБО (системы фрод-
мониторинга, токены, одноразовые пароли и т.д.) *
* По данным компании Group IB
‒ Средний ущерб от одного инцидента
от 600 000 до 3 000 000 рублей
‒ По данным Центробанка, в 2014 году в системах ДБО
российских банков ежемесячно регистрировалось более
1800 инцидентов хищений
#FORUMBS
4. http://www.safe-tech.ru 4
‒ Незащищенность компьютеров от современных вирусов (антивирусное
программное обеспечение не эффективно)
‒ Массовые заражения крупнейших легальных сайтов (обычно –
бухгалтерских ресурсов) компьютерными вирусами
‒ Возможность удаленно управлять зараженным компьютером через
Интернет
Почему хищения возможны?
#FORUMBS
7. http://www.safe-tech.ru
SafeTouch. Доверенный
экран
‒ Защита от всех известных на сегодняшний день удаленных атак
– Визуальный контроль данных, передаваемых в смарт-карту
– Блокирование операции подписи до момента нажатия кнопки
подтверждения
‒ Работа со смарт-картами и USB-токенами, аппаратно реализующими
криптографические алгоритмы
‒ Работа без установки драйверов на современных операционных системах
‒ Кроссплатформенность (Windows, MAC OS, Linux)
7#FORUMBS
8. http://www.safe-tech.ru
SafeTouch.
Безопасность
8
‒ Логика работы устройства закладывается только на
производстве
‒ Невозможно повлиять на SafeTouch через подключение к
компьютеру
‒ Возможность контроля, использовался ли SafeTouch в
процессе подписи документа или нет
‒ без привязки к клиенту или
‒ криптографическая аутентификации устройства, а также
привязка к клиенту*
‒ Возможность интеграции с «белыми» списками на
сервере.
‒ Количество нажатий для подтверждения снижается в десятки
раз.
* Данный режим работы является опциональным, так как требует внедрения и
сопровождения второй ключевой схемы
#FORUMBS
10. http://www.safe-tech.ru
Поддержка продаж со стороны SafeTech
‒ Разработка стратегии продвижения
‒ Модель монетизации
‒ Тарифная политика
‒ Маркетинговые материалы для клиентов и
сотрудников Банка
‒ листовки
‒ презентации
‒ FAQ
‒ сall-скрипты
‒ Обучение клиентских менеджеров банка, в том
числе с выездом в регионы, либо в формате
вебинара
‒ Совместное продвижение, поддержка http://
www.youtube.com/watch?v=PjTHTaYhMYs
10#FORUMBS
11. http://www.safe-tech.ru
Одноразовые пароли
•SMS
‒негарантированная доставка
‒задержки в доставке
‒возможность перехвата на уровне канала связи или ввода в систему
‒возможность перехвата на уровне оператора мобильной связи
‒возможность переоформления сим-карты клиента на мошенника по поддельной
доверенности (и перехвата SMS)
‒возможность направления клиенту SMS-сообщений с подменного номера
‒цена
•Скретч-карты
‒требуют регулярных визитов клиента в банк
‒в век мобильных технологий выглядят архаично
•Аппаратные генераторы одноразовых паролей
‒цена около 600 рублей
‒необходимость иметь его под рукой
Безопасность в системах ДБО для физлиц
Нет привязки
к реквизитам
Нет защиты от
фишинга
#FORUMBS
12. http://www.safe-tech.ru
Коды подтверждения транзакций (МАС)
•Аппаратные МАС-токены (криптокалькуляторы)
‒требуется вручную вводить реквизиты платежа
‒стоимость от 700 рублей
•Оптические МАС-токены
‒автоматически считывают с экрана реквизиты платежа
‒стоимость от 1500 руб. до 4500 руб. (целевая аудитория – VIP-клиенты)
12
Много
клиентов
«Продвинутые» средства подтверждения
Склад и
логистика
Расходы и
риски
#FORUMBS
13. http://www.safe-tech.ru 13
Мобильное приложение для iOS и Android-устройств
‒ Удобное считывание документа с экрана монитора при помощи QR-кода
‒ Визуальный контроль подписываемого документа любого формата на
отдельном устройстве (телефоне или планшете)
‒ Генерация кода подтверждения, «привязанного» к реквизитам платежа
‒ Телефон может находиться в «офлайне»
‒ Гарантированное уведомление клиента о совершаемой транзакции
PayControl. «Оптический токен» в смартфоне
#FORUMBS
16. http://www.safe-tech.ru
Снижение убытков от кибер-мошенничества
‒ Уменьшение количества инцидентов краж со счетов клиентов
‒ Выполнение требований ФЗ-161 в части гарантированного уведомления
пользователей о совершаемых транзакциях (защита от «дружественного
фрода»)
Быстрая монетизация проекта
‒ Повышение лимитов на совершаемые клиентами операции увеличивает
комиссионный доход банка
‒ Стоимость старта проекта – $5,000. Клиентские лицензии приобретаются по
принципу пост-оплаты, уже после подключения пользователей
‒ Клиенты готовы платить за «продвинутый» сервис безопасности 30-40
рублей в месяц, что позволяет банку получать значительную прибыль
16
PayControl. Преимущества для банка
#FORUMBS