Артем сычев: «открытый код – это не панацея»

- kbrbank

Артем сычев: «открытый код – это не панацея»

Помощник главы защиты управления информации и Главного безопасности ЦБ РФ Артем Сычев на форуме «Блокчейн и открытые платформы – 2016» поведал о безопасности блокчейн, механизмах атак на банки и новых мерах Банка России по поощрению активности банков в вопросах информационной безопасности. «Банкир.Ру» приводит фрагменты выступления Артема Сычева.

Вопрос цены

Говоря об атаках, нужно осознавать, что для атакующей стороны — это самый настоящий бизнес. Чем дешевле атака, чем больше за один раз возможно унести,  тем больше шансов, что придут в том направлении, где дешевле и прибыльнее. Когда денег на карточных квитанциях физлиц стало меньше, интерес хакеров к картам быстро упал.

Они ищут ходы, как за короткое время и маленькие деньги утащить побольше

Ни одной атаки не происходит по принципу man-in-the-middle. Неизменно происходит захват устройства. Дешевле захватить контроль над последним и функционировать от имени пользователя.

А перехватывать трафик, копаться с ним… На том финише люди достаточно ленивые. Они ищут ходы, как за короткое время и маленькие деньги утащить побольше.

В следствии совместных действий FinCERT и кредитных организаций В первую очередь года удалось не допустить увод 1.5 миллиарда рублей. 

Неприятность в том, что Банк России устанавливает необходимые требования лишь в рамках полномочий в рамках 161 ФЗ. Кражи, каковые происходят на данный момент, находятся в контуре информационном, а не платежном. Заходят через бухгалтерию, безопасность, информатизаторов. И совсем точно не через операционный блок.

В этом смысле у ЦБ нет полномочий устанавливать требования. Необходимы трансформации в законодательстве. Ответ об трансформациях имеется, и мы в эту сторону двигаемся.

Будет поменяна инструкция ЦБ и нормативы, как оценивать работу с информационными рисками.

Кое-какие большие банки уже начали работы по встраиванию электронной подписи платежных поручений в собственные АБС. Мы не против того, дабы передать сигнатуры разработчикам, в случае если будет запрос от участников рынка (подробнее об этом говорилось на X Интернациональной конференции «Банковские карты: трансформация и практика»)

Против взлома имеется приемы На сессии «трансформация управления и Информационная безопасность рисками», прошедшей в рамках X Интернациональной конференции «Банковские карты: трансформация и практика», не раздалось сенсаций. Но это не означает, что угроз стало меньше. Легко они так вошли в повседневную судьбу, что специалисты, наверное, удивляться.

Неприятель снаружи

У всех банковских продуктов имеется совокупности мониторинга и разнообразные настройки прав. Вопрос – у какого именно количества клиентов все эти настройки реально присутствуют, и кто смотрит за средствами мониторинга? У небольшого.

Что наблюдать на периметре в этом случае? Разумеется, не на внешние подключения

Требования в самого банка должны сдвинуться с отчета «для галочки» к настоящим итогам. В тех атаках, через каковые уводят деньги, главная неприятность не в том, что кто-то залезает из внешних сетей, а в том, что в сетку банка запускают вредонос. И он тихо живет в. Все инициации соединений происходят изнутри. Что наблюдать на периметре в этом случае?

Разумеется, не на внешние подключения.

Преступники отслеживают обстановку в банка через вредонос от семь дней до месяца, и позже отправляют в штатном режиме через АРМ КБР платежные поручения.

Как к этому готовы информатизаторы? Как показывает опыт, не готовы по большому счету. Они привыкли, что в периметра все прекрасно, и волноваться о внутренней среде не нужно.

Почетная ссылка

Исторически складывалась обстановка, что работы безопасности банков формировались из уроженцев МВД, прекрасно разбирающихся в криптографии. Но сейчас требования самую малость другие. Не достаточно безопасников-юристов, безопасников-технологов, безопасников-архитекторов.

Не достаточно людей, осознающих, куда будет развиваться бизнес, дабы предотвратить риски.

Безопасники обижаются и перестают развиваться

Еще в бизнес-среде не редкость так, что не весьма хороших информатизаторов отправляют заниматься безопасностью. Как необычный отстойник для не самых успешных. Соответственно, безопасники обижаются и перестают развиваться. Их не интересуют никакие другие технологии.

Какая в том месте открытость? У меня имеется 382-П, и мне хватает.

С FinCERT  взаимодействуют более 270 банков. Мы трудимся на принципе 2Д – Добровольность и Доверие. Налицо прогресс: все больше банков не просто читают письма от нас, но и отправляют какие-то эти, таких уже около 40% от общего числа.

Один из пострадавших банков, что изначально по большому счету не уделял особенного внимания к безопасности (в том месте был всего один человек, что ключи менял), пересмотрел собственные правила.

Риск уставным капиталом красен

Вопрос – видит ли организация риски либо нет? Оценивать-то нужно не безопасность, как таковую. Принятые меры смогут быть сейчас актуальны, а на следующий день уже нет. Организация обязана оценивать операционные риски.

И если она их игнорирует, то ЦБ может, например, расширить банку размер уставного капитала на средний дневной оборот. Вряд ли собственники банка будут в восхищении от для того чтобы шага.

В середине года стандарты будут обсуждены на совещании технического комитета

Требования к некредитным денежным организациям до тех пор пока мягче, чем к кредитным. Создано два стандарта для них – для очень небольших и для тех, кто больше. Они похожи на базисные стандарты Банка России.

Мы стараемся выдерживать одну методику. В середине года эти стандарты будут обсуждены на совещании технического комитета №122, и позже они будут вводиться в воздействие.

Панацеи нет

Открытый код – это не панацея. Вы уверены, что кто-то за вас что-то проверил. Но не понимаете совершенно верно – кто, что, и проверил ли по большому счету.

Гарантии от закладок открытый код не дает. Нужны все те же внимательные испытания.

О блокчейне

Как представитель ЦБ могу заявить, что неприятность безопасности блокчейн — в цифровом суверенитете. Решить проблему возможно имплементацией отечественных криптоалгоритмов, и продвижением их на интернациональный уровень. Это отдельная непростая политическая задача.

Все остальные неприятности решаются.

Совокупности передачи денежных сообщений в Европе не контролируются американцами. И это им не нравится

Как человек, занимающийся безопасностью, сообщу, что история с блокчейном выглядит, как а) громадный мыльный пузырь, типа доткомов и б) прекрасно спланированная политико-экономическая акция, финансируемая  американскими властями, дабы создать альтернативу европейским разработкам. Совокупности передачи денежных сообщений в Европе не контролируются американцами. И это им не нравится.

Кстати

Цена доступа к эккаунту топ-менеджера Банка России в соцсети (через взлом) образовывает около 40 тысяч долларов.

XI международная конференция «Банковские карты: практика и трансформация» — 13-14.04.2017

Интересные записи

Похожие статьи, которые вам, наверника будут интересны: