2. Содержание
1 Общая информация о ГK Оптима и компании Optima ISS
2 Тенденции и статистика кибер-угроз в мире и в России
3
Решение для обеспечения надежной идентификации,
защиты от ошенничества и осуществления платежных
операций OptiPass
www.optima.ru 2
3. Optima сегодня
ГК Optima – один из крупнейших технологических холдингов России
Оборот в 2011 году составил $415 млн.
Более 2500 сотрудников (две трети из них - сертифицированные специалисты)
Около 40 лицензий и сертификатов, в том числе на работу с гостайной
Система управления качеством Optima сертифицирована по стандарту ГОСТ Р
ИСО 9001-2001 и позволяет контролировать качество работ и услуг на каждом
этапе проекта
Заказчики – крупнейшие предприятия и организации:
– энергетики
– нефтегазового комплекса
– органов государственной власти
– транспорта
– промышленности
Партнеры – более 40 мировых производителей оборудования и поставщиков ПО
Полный комплекс услуг и решений по внедрению проектов любой сложности, в том
числе за рубежом
www.optima.ru 3
4. Optima – один из крупнейших
технологических холдингов в России
Сетевые и телекоммуникационные комплексы
Оперативный контроль и диспетчеризация
управления По итогам 2010 года Optima входит
Реконструкция и создание инженерных систем в десятку крупнейших российских
Комплексная защита информации компаний, оказывающих услуги в
Интеллектуальное здание
области информационных
технологий (данные Эксперт РА)
Автоматизация работы и взаимодействия
энергообъектов
Реконструкция, проектирование и Optima занимает второе место
строительство «под ключ» среди поставщиков ИТ-услуг в
России (РосБизнесКонсалтинг,
Автоматизация процессов генерации, 2008)
распределения, передачи и потребления
тепло- и электроэнергии
Optima services (бывший TesCom)
Бизнес- консалтинг занимает второе место в рейтинге
ИТ-консалтинг крупнейших поставщиков услуг ИТ-
Внедрение информационных систем
поддержки (CNewsServices, 2010)
Системы управления документами
на платформе OPTIMA-WorkFlow Компании холдинга обладают
Разработка программного обеспечения
высокими статусами мировых
лидеров-производителей
Комплексные решения по автоматизации и
диспетчеризации транспортных объектов оборудования и поставщиков ПО
ИТ - аутсорсинг Более 2500 сотрудников, выручка
в 2011 году - 415 млн. USD
Поставка технического оборудования
www.optima.ru 4
2
5. Партнеры
Platinum Business
Business Partner
Partner
Service Partner
Gold Certified
Partner
CERTIFIED
Silver
Silver Partner Business Partner
Strategy Partner
Premier Partner
www.optima.ru 5
6. Лицензии и сертификаты
ГК OPTIMA имеет все необходимые лицензии и сертификаты федеральных
служб и саморегулируемых организаций:
Лицензия Федеральной Службы Безопасности России (ФСБ) на право оказания услуг в области
защиты государственной тайны
Лицензия Центра по лицензированию, сертификации и защите государственной тайны ФСБ
России на осуществление разработки, производства шифровальных (криптографических) средств,
защищенных с использованием шифровальных (криптографических) средств информационных и
телекоммуникационных систем
Лицензия Федеральной службы по техническому и экспортному контролю «Техническая защита
конфиденциальной информации»
Лицензия Министерства чрезвычайных ситуаций России на производство работ по монтажу,
ремонту и обслуживанию средств обеспечения пожарной безопасности зданий и сооружений
Разрешение Федеральной службы по надзору в сфере связи и массовых коммуникаций на
использование радиочастот или радиочастотных каналов
Свидетельство саморегулируемой организации Некоммерческое партнерство «Объединение
строительных организаций «ЭнергоСтройАльянс» на строительство, реконструкцию, капитальный
ремонт объектов капитального строительства, которые оказывают влияние на безопасность
объектов капитального строительства
www.optima.ru 6
7. Optima Infosecurity
Optima Infosecurity — подразделение ГК Optima, объединившее интернациональную
команду профессионалов, специализирующихся в области инновационных решений
по информационной безопасности. Наряду с традиционными услугами в области ИБ
Optima Infosecurity предлагает уникальные для российского рынка решения, такие как:
Система усиленной аутентификации и защиты от мошенничества
при проведении он-лайн операций — OptiPass
Система защиты (шифрования) голосовых коммуникаций (VoIP)
в рамках корпоративной телефонной сети, при проведении голосовых
конференций и использовании мобильной связи — OptiPhone
Решение для оценки уровня безопасности виртуальных сред
и веб-приложений
Решение по защите корпоративных и персональных данных на мобильном
устройстве для безопасного доступа к корпоративным данным
Консалтинг: аудит, тестирование, расследование
Optima Infosecurity имеет опыт реализации проектов различного масштаба и сложности
в области ИБ как в российских , так и в международных компаниях. Среди наших заказчиков
такие компании, как ОАО «НК «Роснефть», ОАО «Газпром», Счетная палата РФ, Управление
Федерального Казначейства, OTP Bank, EFG EUROBANK , CKB Bank, RAIFFEISEN BANK,
MERIDIAN BANK, EUROPEAN ANTI-FRAUD COMISSION и др.
www.optima.ru 7
8. Тенденции и статистика кибер-угроз
в мире и в России
Созидаем будущее, управляя настоящим!
9. Возрастающая угроза
онлайн-мошенничества
Денежные переводы в режиме онлайн являются
наиболее быстро растущими и становятся основным
видом осуществления платежей.
Портрет мошенников изменился и теперь включает
в себя любого, от начинающего взломщика,
осуществляющего атаки ради развлечения,
до организованных преступных групп.
Взломщики становятся все более и более опытными,
и используют самые современные технологии.
Количество онлайн мошенничеств растет быстрее, чем число
онлайн транзакций. Количество атак, нацеленных
на выуживание личной информации пользователей в 2011 году
по сравнению с предыдущим годом, увеличилось на 100%.
В 2010 г. объем потерь, связанных с онлайн-мошенничеством, достиг
огромных размеров (США: $5 млрд., Европа: $4 млрд., остальной мир:
$4 млрд. Источник: Gartner, 2011
Российские кибер-преступники в 2011-м «аннексировали» $2,3 млрд.
Это на $1 млрд. превышает их показатель 2010 года. Источник: Group IB, 2012
www.optima.ru 9
10. Различные виды
онлайн мошенничества
Традиционный фишинг, позволяющий
перехватить учетные данные пользователя
Вредоносное ПО, внедряемое в
операционную систему компьютера путем
перехвата данных и кодов
Клиенты
Атака «человек посередине» (MITM): Банк
перехват и модификация данных в режиме
реального времени, происходящий после
аутентификации пользователя
Атака «человек в браузере» (MITB). Одна из
новейших технологий онлайн-
мошенничества, появившаяся естественным
образом как следствие двухфакторной Злоумышленник
аутентификации: пользователь начинает
транзакцию, а MITB без его ведома
манипулирует платежными данными в
режиме реального времени, перенаправляя
денежные средства на свой банковский счет.
MITB может действовать в обход протокола
EMV-CAP, например, как Trojan PSP2-BBB
www.optima.ru 10
12. Что делают банки для
предотвращения мошенничества?
Базовая аутентификация
Данные базовые методы аутентификации Пароль
являются устаревшими и уязвимыми
Кодовая карта
Сброс вызова (Call drop),
идентификация звонящего
Strong Authentication
Обеспечение существенно более высокого Жетон OTP
уровня безопасности, чем базовые методы Карта со встроенным дисплеем
аутентификации EMV-карта + CAP-ридер
Карта со встроенным дисплеем
и аутентификацией с запросом и
подтверждением /CAP
Наиболее продвинутые банки используют или намереваются
использовать карты со встроенным дисплеем!
www.optima.ru 12
13. OptiPass – это ваше
бизнес-решение
Система усиленной аутентификации и борьбы против мошенничества
OptiPass воплощает в себе новый технологический сценарий,
предполагающий использование карт со встроенным дисплеем как
«удобного, безопасного и всеобъемлющего устройства, позволяющего
банковским клиентам пользоваться преимуществами множества
банковских услуг». Frost & Sullivan, 2011
Завершенное решение Стандартные устройства для аутентификации и стандартный OATH-сервер
Единственное защищающее от фишинга и мошенничества решение, обеспечивающее
Предельная безопасность безопасность системы Secure Home Banking (HB). Optima является первым
разработчиком антифишинговых активных карт со встроенным дисплеем на рынке РФ
Существенное увеличение использования электронных банковских услуг при работе с
Бизнес-потенциал
активными картами со встроенным дисплеем: +300% по сравнению с использованием
токенов. Источник: Gartner, 2010
Удобство пользования Принцип «все в одном»: платежные и банковские услуги объединены в одной карте
Легкость применения Благодаря полному соответствию стандартам OATH отсутствует необходимость
изменения инфраструктуры
www.optima.ru 13
14. Архитектура системы OptiPass
Система OptiPass реализует технологию OTP (one time password)
на основе 3-х элементов:
Устройство OTP (карты, устройства Tokens,
1 программное обеспечение OTP для мобильных
телефонов)
2 Сервер авторизации OP80 Authentication Server
3 Веб-приложение (интегрируется в систему онлайн
банкинг заказчика)
www.optima.ru 14
15. Optima OP80 сервер:
основные характеристики
Без участия пользователя Аутентифицируемые устройства функционируют без какого-либо подключения
(особенно востребовано для розничных услуг)
За 1 секунду процесс аутентификации проходят более 2000 одновременно
Масштабируемость/мощность обращающихся пользователей; таким образом, один сервер способен обслужить
более 5 миллионов пользователей.
Стандартизация Полное соблюдение стандартов: IETF, FCC, UL, CE, OATH, EMV-CAP,
PKI, RFID, ISO, сертификация Visa и MasterCard
Нет необходимости во внедрении системы в приложения конечных Заказчиков,
Интегрируемость вследствие использования открытых интерфейсов подключения (Web Services и
Radius). Система OP80 совместима с любыми другими решениями безопасности
(IAM, AC, SSO, Remote Signing, системы цифровых подписей, и т.д.)
Защищенность Полная поддержка кластерных решений Active-Active (решения высокой надежности)
и Active-StandBy (аварийное восстановление инфраструктуры)
Простота внедрения Отсутствие влияния на инфраструктуру заказчика, малое время развертывания
системы
Многоуровневое Система позволяет создавать подгруппы пользовательских устройств,
администрирование администрирование которых может быть осуществлено независимо
Полная открытость Система может быть использована с устройствами следующих поколений
www.optima.ru 15
16. OptiPass – поддержка любых
устройств ОТП
Активные карты
(Display Card)
OPD800 C|M анти-фишинг, защита
от мошенничества
Пассивные карты
OP80 Сервер
OPD800 T Анти-фишинг
OPT800 T/H аутентификации
OPD800 C|M IBAN Payment,
Аутентификация и анти-фишинг
OPJ800 , OTP800, OPS800
OPD800 T|M Payment,
аутентификация
аутентификация, анти-фишинг
www.optima.ru 16
18. Почему Активные карты
(Display Card)?
Высокая
Низкая
Diplay Card OTP-токен USB-токен Cмарт-карта OTP по SMS
Современность технологии 4 3 2 2 3
Надежность аутентификации 4 4 3 3 2
Удобство для конечного пользователя 4 2 1 1 3
Совместимость с платежной картой 4 0 0 0 0
Управление физическим доступом 4 0 0 0 0
Мобильность 4 3 3 2 3
Долговечность, прочность 4 3 3 4 2
Автономность (отсутствие совместимых
4 4 3 1 1
устройств и ПО)
По сравнению с другими устройствами OTP, карты со встроенным дисплеем
безоговорочно выигрывают как по надежности, так и по удобству использования
для конечных пользователей!!
www.optima.ru 18
19. Карты с дисплеем D800:
портативность и безопасность в кармане!
Технические характеристики
серии карт OPD800
Соответствие серверу OP80 OATH
Легкость в использовании, небольшой размер,
дешевизна
OPD800 представляет собой многоцелевой и Высокая надежность: инновационный процесс
многофункциональный формат кредитных карт по стандарту ламинирования
ISO7816, оснащенный системой APD (активный пиксельный Защита от несанкционированного вмешательства
дисплей) и ультратонким элементом питания. Скручивание: стандарт ISO7810 (1000 циклов/мин)
Изгибание: стандарт ISO 7810 (1.000 изгибов/мин)
OPD800 позволяет осуществлять двухфакторную Батарея: ультраплоская, TB – тонкая батарея,
аутентификацию в соответствии с высочайшими минимальный срок службы – 3 года
Тип дисплея: E-Ink, гибкий, четкий, ультратонкий, без
стандартами целостности и защиты, а также проводить
радужных бликов, быстрый OTP-отклик
безопасные платежные операции и онлайн-транзакции. Размер дисплея: 6/8 цифр (числа или числа и буквы)
Тактильная клавиатура для ввода PIN
Все карты серии OPD800 соответствуют стандарту ISO 7816, Тиснение* или лазерная гравировка
а также стандартам IETF, FCC, UL, CE, OATH, EMV, PKI и RFID и настраиваемый чип
RFID. Заказной дизайн: высококачественная офсетная печать,
термальный перенос
Компания Optima Infosecurity может выпускать заказные Водостойкость
версии с фотографиями, голограммами и символикой
заказчика.
www.optima.ru 19
20. Примеры внедрений
Несколько крупных мировых банков и платежных систем уже сделали свой
выбор в пользу технологий, используемых системой OptiPass для обеспечения:
Строгой аутентификаций всех банковских услуг онлайн
Увеличения использования банковских карт и транзакций
Предотвращения онлайн-мошенничества
Использования сервиса удаленной подписи
BNP PARIBAS JOINT VENTURE
Воспользуйтесь решениями OptiPass для обеспечения безопасности
и роста Вашего бизнеса!
Инновационная система строгой аутентификации
OptiPass сертифицирована Консорциумом OATH –
Стандарты открытой аутентификации –
www.openauthentication.org
www.optima.ru 20
21. Дальнейшие шаги: закажите пилот
для тестирования
Тестирование решения OptiPass может быть реализовано в рамках пилотного
проекта, включающего в себя:
Тестирование технологии аутентификации
Анти-фишинг (RCR)
Надежность транзакций (transaction integrity)
Для реализации проекта Optima ISS обеспечит поставку сервера OP80. По запросу
cсервер может быть поставлен в виде оборудования или в виде виртуальной системы
(VMWARE ESX I 3.x и выше для виртуальной группы серверов) и требуемого
количества активных карт (Display Cards)
Ориентировочный срок поставки сервера OP80 и активных карт – около 4-х недель
Срок запуска системы в тестирование – около 2-х недель
Для технического тестирования мы рекомендуем минимум 100 пользователей
Для бизнес-тестирования мы рекомендуем 1% от текущей базы пользователей
или минимум 10 000 пользователей
www.optima.ru 21
22. Как это работает. Авторизация в
системе онлайн-банк
1 Пользователь вводит логин и PIN 2 Система генерирует одноразовый ключ-вызов
ШАГ ШАГ
www.optima.ru 22
23. Как это работает. Авторизация в
системе онлайн-банк
3 Пользователь вводит ключ-вызов
на своей дисплей-карте
4 Дисплей-карта генерирует одноразовый
пароль для входа в систему онлайн-банк,
ШАГ ШАГ
который пользователь вводит для входа в
систему онлайн-банк
www.optima.ru 23
24. Как это работает. Авторизация при
проведении транзакций
1 2
Пользователь вводит данные для Согласно установленному методу сервер
проведения транзакции (выбирает автоматически генерирует код запроса на
ШАГ счет, дату, и пр.) ШАГ основе значимых числовых данных
www.optima.ru 24
25. Как это работает. Авторизация при
проведении транзакций
3 Пользователь вводит ключ-вызов
на своей дисплей-карте 4 Дисплей-карта генерирует одноразовый
пароль, который пользователь вводит для
ШАГ ШАГ подтверждения транзакции
www.optima.ru 25
26. Контакты
Россия, 121059, г. Москва,
ул.Киевская, д.7
Бизнес-центр «Легион III»
Тел. : +7 (495) 363 36 53
Факс : +7 (495) 363 36 56
www.optima.ru
www.optima.ru 26