Глава Ситуационного центра информационной безопасности Газпромбанка на IT Security Forum в Казани поведал Банкир.Ру о подводных камнях при переносе подписи платежей из АРМ КБР на сторону АБС. — Что, по вашему точке зрения, вызвало идею о переносе?
— Начиная с января 2016 года отмечено увеличение активности преступников, предпринимающих разные атаки на банки. Нам доподлинно известно о пяти случаях успешных атак, приведших к потенциальным утратам до миллиарда рублей. На фоне происходящего банковское сообщество по большому счету и мы в частности начали усиливать защиту самого АРМ КБР, инфраструктуры около него и защиту АБС.
Нужно осознавать, что для банков ее внедрение затратно
На одном из заседаний в ЦБ было высказано вывод, что функциональность подписи платежа нужно переносить из АРМ КБР в АБС.
Мысль, на мой взор, полностью верная. Но нужно осознавать, что для банков ее внедрение затратно. Ни при каких обстоятельствах прежде банк не готов был финансировать разработчиков АБС для добавления авторства проверки и функций целостности, проставления электронной подписи.
— Затраты — это полбеды. К сожалению, последовательность банков применяет собственную АБС, написанную достаточно давно, и разработчик ее в далеком прошлом в банке не работает. Исходя из этого столь глубокая доработка делается практически неразрешимой проблемой.
Не считая, само собой разумеется, замены АБС на другую.
— Возможно, в случае если у банка нет возможности всецело осуществлять контроль собственное ПО, у него появляются риски совсем другого порядка.
ЦБ еще до конца не определился, готов ли он дать SDK дабы подписанный на стороне АБС платеж не потребовал еще одной подписи на уровне АРМ-оператора
Сейчас функциональность цифровой подписи и шифрования находится на стороне инфраструктуры АРМ КБР. Речь заходит, практически, о том, дабы отделить ее. Дабы АРМ КБР стало транспортом, снабжающим лишь шифрование, но не саму подпись.
Это техническая сторона.
Имеется еще сторона организационная. Как мне известно, ЦБ еще до конца не определился, готов ли он дать SDK, дабы подписанный на стороне АБС платеж не потребовал еще одной подписи на уровне АРМ-контролёра и АРМ-оператора. Нужна доработка на уровне ЦБ, нужен SDK, вынесенный на инфраструктуру банка.
И, само собой разумеется, нормативы, в соответствии с которым банки смогут подписывать платежи у себя.
И вот тут, на мой взор, тонкий момент: отправится ли обращение о праве банка перенести подпись к себе либо об обязанности? Право — это прекрасно, с какой стороны ни взгляни. Возможно тихо попытаться и проверить.
Со временем оно может стать и обязанностью, подкрепленной регулятивным требованием. Но лучше не сходу.
Одновременно с этим обязан решаться регулирования и вопрос рисков. В случае если банк правом, повышающим неспециализированный уровень безопасности, не пользуется, он берет на себя дополнительные риски в связи с атаками на АРМ КБР. К примеру, увеличивает резервные фонды.
— И все же, в случае если вынести за скобки затраты и организационные моменты, другое — уже дело техники?
— В случае если мы переносим нынешнюю функциональность АРМ КБР в инфраструктуру банка, появляется еще последовательность вопросов. К примеру, в какую часть инфраструктуры выносить функциональность подписи?
В больших банках имеется много совокупностей, делающих различные функции. Платежные, расчетно-кассовые, транспортные и т. д. Банк обязан прекрасно поразмыслить: какая часть инфраструктуры приводит к малейшему доверию? К примеру, операционистка может пребывать в незащищенной среде в зоне выездных продаж, либо если она выдает потребительские кредиты в автосалоне.
На протяжении обеда ее ноутбук дешёв достаточно широкому кругу лиц, и при помощи флэшки в него за пара мин. возможно загружено вредоносное ПО. Нужно проанализировать инфраструктуру банка, и чем ближе подпись будет пребывать к фронт-подразделению, тем больше совокупностей банка потребуется дорабатывать.
Начать стоит с права, но не с обязанности перевести подпись на собственную сторону
Другими словами, в случае если банк большой, и АБС де-факто поделена под задачи разных структурных подразделений, затраты растут в геометрической прогрессии. И в случае если различные части писались в различное время и различными людьми, в полной мере может появиться неприятность доработки какого-либо сегмента.
Исходя из этого, повторюсь, начать стоит с права, но не с обязанности перевести подпись на собственную сторону.
вставка печати и подписи в документ Word 2003
Похожие статьи, которые вам, наверника будут интересны:
-
Банк россии просит не держать в себе информацию об атаках
Лишь за три последних месяца 2015 года из русских банков при помощи кибератак было украдено около 1.5 миллиардов рублей. Такую цифру именует Банк России….
-
Как перевести деньги с карты на карту сбербанка или другого банка
Как перевести деньги с карты на карту Недавно показавшиеся банковские карточки скоро стали привычными. На них переводят зарплату, пенсии, пособия, ей…
-
Чек-лист для банка, который хочет завести себе чат-бота
Бот — это что-то наподобие домашнего питомца и помощника в один момент: за ним необходимо заботиться, его необходимо терпеливо тренировать и тогда он…
-
Нужны ли банкам в xxi веке устройства самообслуживания?
Андрей Надточий, технический директор ПС «Золотая корона», несколько компаний «Центр денежных разработок». Сейчас большое количество говорят и пишут о…
-
Нет возможности платить по кредитам, что делать? реструктуризация долга по кредиту
В мире, полном хаоса и кризисов, каждому хочется жить достойно. И в случае если раньше не было возможности и приобрести нужную вещь, то с возникновением…
-
Эльвира набиуллина: чего ждать малым банкам от упрощенного регулирования
«Ненужно использовать трудозатратные, технически сложные меры регулирования, в то время, когда и сложных продуктов нет»,— так прокомментировала…