310 likes | 499 Views
X международный форум iFin-2010. Баланс удобства и защищенности электронного банкинга Профили безопасности частных клиентов в iBank 2 - сплав технологий и бизнеса. Москва 2 0 1 0. Противостояние: Удобства и Безопасности. Электронный банкинг для частных клиентов. Безопасность.
E N D
X международный форум iFin-2010 Баланс удобства и защищенности электронного банкинга Профили безопасности частных клиентов в iBank 2 - сплав технологий и бизнеса Москва2010
Противостояние: Удобства и Безопасности
Электронный банкинг для частных клиентов Безопасность 1. Защита от автоматизированного подбора пароля2. Защита от фишинга и вредоносных программ3. Многофакторная аутентификация клиента4. Обеспечение аутентичности документов
iBank 2 для частных клиентов Безопасность 1. Защита от автоматизированной регистрации и подбора логинов/паролей – CAPTCHA CAPTCHA (Completely Automated Public Turing testto tell Computers and Humans Apart) – механизм различения человека и компьютера с помощью изображения текста с добавлением «шума»
Справка 2.1. Защита от фишинга
2.1. Защита от фишинга Фишинг в финансовом секторе Статистика $3 200 000 000 – оценка прямых потерь клиентов банков США в 2007 году от фишинга Количество уникальных атак – до 30 000 в месяц Более 90% фишинговых атак направлено на банки
2.1. Защита от фишинга Фишинг в финансовом секторе Статистика II кв 2008 Число сайтов, распространяющих вредоносное ПО, выросло на 47% по сравнению с 1-м кварталоми на 258% по сравнению с 2007 г. Август 2009 г- Уникальных фишинговых сайтов - 56 362 (рекорд) - Количество атакуемых брендов выросло на 10% - 80% атак приходится на финансовые и платежные сервисы AntiPhishing Working Group (antiphishing.org) III.2009
iBank 2 для частных клиентов Безопасность 2.1. Защита от фишинга Персональный интерфейс для аутентификации банковского сайта клиентом Включает: - личное обращение - индивидуальная картинка - цвет фона и рамки виртуальной клавиатуры
iBank 2 для частных клиентов Безопасность 2.1. Защита от фишинга Пример персонального интерфейса
iBank 2 для частных клиентов Безопасность 2.1. Защита от фишинга Специальная антифишинговая процедурапри работе с недоверенного компьютера - аутентификация по независимому каналу - проверка подлинности URL сайта банка
iBank 2 для частных клиентов Безопасность 2.2. Защита от вредоносных программ Виртуальная клавиатура позволяет защититьсяот специализированного ПО, перехватывающего пароли (кейлогеры, скринскрейперы,..)
iBank 2 для частных клиентов Безопасность 3. Многофакторная аутентификация Группы факторов - то, «что клиент знает» (долговременный пароль) - то, «что клиент имеет» (источник одноразовых паролей) - то, «кем является клиент» (DeviceID) Сочетание двух и более факторов качественно усложняет получение злоумышленником доступак ресурсам клиента
iBank 2 для частных клиентов Безопасность 3. Многофакторная аутентификация Сценарии двухфакторной аутентификации - Полный (расширенный): одноразовый пароль + долговременный пароль - Упрощенный:DeviceID + долговременный пароль
iBank 2 для частных клиентов Безопасность 3. Многофакторная аутентификация Источники одноразовых паролей: -SMS-сообщение на мобильный телефон -OTP- токены и MAC-токены - скретч-карты - голосовая аутентификация в Call-центре
iBank 2 для частных клиентов Безопасность 4. Обеспечение аутентичности документов Механизмы подтверждения электронных распоряжений клиента: - код подтверждения (OTP) - аналог собственноручной подписи (АСП) - электронная цифровая подпись (ЭЦП)
iBank 2 для частных клиентов Безопасность 4. Обеспечение аутентичности документов 4.1 Код подтверждения (OTP) 4.2. Аналог собственноручной подписи (АСП)
iBank 2 для частных клиентов Безопасность 4. Обеспечение аутентичности документов 4.3. Электронная цифровая подпись iBank 2 Key
iBank 2 для частных клиентов Безопасность 4. Обеспечение аутентичности документов 4.3. Электронная цифровая подпись iBank 2 Key
Профили безопасностичастных клиентов в iBank 2
iBank 2 для частных клиентов 1. Категория: новый / информационный / полнофункциональный 2. Многофакторная аутентификация: да / нет 3. Способы получения OTP: SMS, токен, карта, Call-центр… 4. Виртуальная клавиатура: да / нет 5. DeviceID: да / нет 6. CAPTCHA: да / нет 7. Лимиты операций и способы подтверждения Профили безопасности
iBank 2 для частных клиентов Профили безопасности
iBank 2 для частных клиентов Профили безопасности
iBank 2 для частных клиентов Профили безопасности Пример использования банком Проанализировав аудиторию частных клиентов, Банк выделил следующие категории: - «информационные» - «экономные» - «продвинутые» - «VIP»
iBank 2 для частных клиентов Профили безопасности Пример использования банком «Информационные» (клиенты зарплатных проектов): - Услуги – информационные - Финансовые риски – отсутствуют - Дополнительное условие – максимальная простота Профиль безопасности: - однофакторная аутентификация - только долговременный пароль - никаких дополнительных механизмов
iBank 2 для частных клиентов Профили безопасности Пример использования банком «Экономные»: - Услуги – переводы по своим счетам и платежи - Финансовые риски – невысокие - Дополнительные условия – максимальная экономия Профиль безопасности:- многофакторная аутентификация (с DeviceID)- защита от фишинга- одноразовый пароль по SMS- подтверждение документов кодом подтверждения- лимиты по суммам операций
iBank 2 для частных клиентов Профили безопасности Пример использования банком «Продвинутые»: - Услуги – переводы по произвольным реквизитам - Финансовые риски – повышенные - Дополнительные условия – повышенная защищенность, за которую готовы платить Профиль безопасности:- многофакторная аутентификация, защита от фишинга - одноразовый пароль с MAC-токена- подтверждение документов АСП с MAC-токена- лимиты по суммам операций
iBank 2 для частных клиентов Профили безопасности Профили безопасности Пример использования банком «VIP»: - Услуги – максимальный набор - Финансовые риски – высокие (крупные суммы) - Дополнительные условия – максимум безопасности, минимум ограничений Профиль безопасности:- многофакторная аутентификация, защита от фишинга- одноразовый пароль для входа- подтверждение документов ЭЦП (без ограничений по сумме)
iBank 2 для частных клиентов Управление правами на услуги
iBank 2 для частных клиентов Вместо вывода Профили безопасности позволяют • Не подстраиваться под систему – подстроить систему под себя, под клиента • Гибко оперировать технологиями безопасности зависимости от изменения характера клиентской базы, масштабов проекта, финансовых условий • Быть готовым к возникновению новых угроз,оперативно реагировать на изменения в условиях обслуживания
X международный форум iFin-2010 Баланс удобства и защищенности электронного банкинга Профили безопасности частных клиентов в iBank 2 - сплав технологий и бизнеса Мустафаев Рустамmustafaev@bifit.com
X международный форум iFin-2010 Баланс удобства и защищенности электронного банкинга Профили безопасности частных клиентов в iBank 2 - сплав технологий и бизнеса Мустафаев Рустамmustafaev@bifit.com