Документ рассматривает безопасность дистанционного банковского обслуживания (ДБО) и связанные с ним финансовые риски для банков и клиентов. Описаны преимущества и угрозы использования ДБО, а также предлагаются механизмы защиты, такие как двухфакторная авторизация и контроль операций. Важным аспектом является оценка рисков и организация мероприятий по повышению осведомленности в области безопасности.

1. Безопасность ДБО и
минимизация
финансовых потерь
Профессиональные встречи (не за
кружечкой пива, хотя после можно)
Алексей Кан SSCP, C|EH, CCNA
Старший консультант KPMG
24.05.2012

2. О чем пойдет речь?
ДБО – Дистанционное Банковское Обслуживание, клиент-серверное приложение
позволяющее клиенту банка осуществлять операции со счетом через сеть Интернет.
Активное развитие ДБО началось во время начала финансового кризиса, и параллельно
возросли финансовые потери Банков.
IC3 Internet Crime Report in USA
© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 1
KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

3. За и против
Преимущества ДБО для клиента: Угрозы использования ДБО для клиента:
• Постоянный доступ к счету для проведения • Возможность потерять средства на счету;
платежей;
• Нет необходимости ездить в Банк, стоять в
очередях;
•Увеличение скорости обслуживания.
Преимущества ДБО для банка: Угрозы использования ДБО для банка:
• снижение операционных издержек; • финансовые потери;
• повышение лояльности абонентов; • репутационные потери;
• увеличение количества ежедневных • доступность сервиса;
операций;
© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 2
KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

4. ДБО и ИБ
Безопасность
ИБ
Бизнес
ДБО
© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 3
KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

5. А стоит ли игра свеч? Или риски решают все!
Эффективная оценка рисков, позволит определить величину допустимых
финансовых потерь для бизнеса, если возникает инцидент связанный с ДБО.
Понимая, что мы защищаем, мы можем эффективно внедрять средства
защиты и контроля.
«Не стоит тратить на защиту 10 млн., если объект защиты стоит 100 тыс.»
Старый-мудрый безопасник
© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 4
KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

6. А кто будет крайним?
Варианты угроз:
Банк? Атака на ДБО от Банка
Клиент? Атака на клиента
Вендор? Атака на ДБО Вендора
или хакер? А поймайте его сначала…..
© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 5
KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

7. Механизмы защиты доступа
1. Использование двухфакторной авторизации (What you have)
Сертификаты
Генераторы одноразовых паролей
Защищенные носители информации
Токены со смарт-картой.
SMS-авторизация
2. Использование двухфакторной авторизации (What you are)
 Отпечаток пальца(ов)
 Отпечаток капилляров
 Радужная оболочка глаза
 Геометрия лица
© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 6
KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

8. Контроль и авторизация операций
По каждой операции должно производится оповещение владельца счета,
посредством:
 SMS сообщения;
 электронного сообщения.
При проведении операций превышающих порог чувствительности,
должна производится дополнительная авторизация посредством:
 ввода кода подтверждения полученного через SMS сообщение;
 телефонного звонка клиенту с обязательной записью разговора;
 посредством дополнительного авторизации через токен или смарт-карту.
© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 7
KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

9. Сбор доказательной базы
1. Создание защищенной копии лог-файлов сервера приложений (web-сервера)
2. Создание защищенной копии лог-файлов баз данных
3. Создание копии всего сетевого трафика взаимодействия с сервером ДБО
4. Установление контактов с отделом полиции по расследованию компьютерных
преступлений
5. Обеспечение единого системного времени
6. Создание процедуры оперативного реагирования на инциденты ДБО
включающей:
 Процедуру по полному отключению ДБО
 Процедуру по блокированию мошеннических транзакций
 Процедуру сбора доказательной базы и вызова криминалистов
 План действия если инцидент произошел у клиента
© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 8
KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

10. И самое главное….
Организация мероприятий по повышению уровня осведомленности
в области безопасности как персонала банка так и клиентов…
© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 9
KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

11. Последний слайд
Вопросы???
© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 10
KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

12. © 2011 KPMG Audit LLC, a company incorporated under the Laws of the
Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member
firm of the KPMG network of independent member firms affiliated with KPMG
International Cooperative (“KPMG International”), a Swiss entity. All rights
reserved.
The KPMG name, logo and “cutting through complexity” are registered
trademarks or trademarks of KPMG International Cooperative (“KPMG
International”).