Fintech 2016: «безопасность и финтех: единство и борьба»

- kbrbank

Fintech 2016: «безопасность и финтех: единство и борьба»

Помощник главы защиты управления информации и главного безопасности Банка России Артем генеральный директор и Сычев Digital Security Илья Медведовский на конференции FinTech 2016 обсудили новые вызовы, создаваемые финтех-стартапами, навязчивый блокчейн и подходы к созданию надёжных сервисов.

Артем Сычев: Вычислять финтех отдельной киберугрозой неверно. Не хватает продуманное применение разработок финтеха может привести к созданию угроз. Во всех выступлениях я обращаю внимание на то, что наблюдать нужно не просто на неспециализированную картину взломов, а на экономику иначе.

Кто приобретает деньги и какое количество?

Историю с Ethereum взломом назвать запрещено, это легальное применение разработки. На чёрной стороне сидят люди, оценивающие бизнесовую составляющую собственного «проекта». Та же история была с кражей денег через ДБО – сперва изучалось, как проводятся транзакции, и лишь позже, как на них влиять в собственных целях.

Последствия истории с Ethereum – преступники постараются по суду доказать, что это их деньги. И, вероятнее, иск будет удовлетворен.

Илья Медведовский: Финтех — это актуальные новые разработки. ДБО, АБС — также когда-то были финтехом. Но у финтеха нынешнего обстановка мало другая. Два года назад случилась преступная революция.

Хакеры почувствовали вкус денег. Они крадут миллиардами. И часть денег реинвестируется в изучения, дабы лучше атаковать следующие цели.

В финтех-решения обычно не закладываются правила безопасности. Но так жить больше не окажется. Преступность вышла на новый уровень.

Когда в вашей разработки покажутся деньги, вы тут же «попадете».

Интеграторы стартапов в принципе не учитывают вопросы безопасности

А.С. Громадная неприятность в том, что интеграторы стартапов в принципе не учитывают вопросы безопасности. Не межсетевые экраны, антивирусы и т.д. Они не осознаю сути: анализ разработки начинается с понимания, как она трудится, и как возможно воспользоваться багами в самой технологии. Данный анализ — задача не стартапа. И отвечать, в случае если что, придется не ему, а интегратору.

Деньгами, репутацией.

Неприятности нужно искать на уровне архитектуры услуги. И это происходит на стороне банка, услугу заказывающего. Происходит смещение рисков с прямых взломов на захват конечных устройств.

У 90% людей имеется домашние роутеры, а это, в общем, компьютер на Linux. И по совместительству превосходный пункт перехвата информации. Роутер с поменянной SSL может забрать из телевизора информацию о карте, каковые вы внесли для приобретения фильма в Гугл Play.

Предстоящее разумеется.

И.М. Я бы советовал финтехам при разработке приложений обратить внимание на стандарты безопасности ЦБ. Дабы осознавать, о чем идет обращение.

Дальше будет хуже, по причине того, что преступники умнеют весьма скоро.

Намечается увлекательная тенденция: преступники в мире обратили внимание на SWIFT. У нас в последние полтора года взламывают АРМ КБР, но не так долго осталось ждать придет черед как раз SWIFT.

О блокчейне

А.С. В случае если разглядывать блокчейн, как альтернативу SWIFT, то инициатива идет со стороны американских банков. Как в свое время нежданно появились доткомы и сдулись, то же происходит и с блокчейном.

Вопрос только в сумме инвестированных денег, которая на этот раз значительно больше.

Блокчейн нам навязывают, нас к нему подводят.

И.М. Обратите внимание, что в то время, когда вы слышите про блокчейн, вбивается идея о его полной безопасности. У обывателя появляется чувство панацеи. Нас, безопасников, это постоянно напрягает. Не бывает панацей.

Не бывает серебряной пули. История с DAO — первый звоночек. Ни при каких обстоятельствах безопасность не содержится только в криптографии, это только один из компонентов.

Open Source — также не панацея и не безопасно.

Блокчейн нам навязывают, нас к нему подводят. Технологически это весьма интересно, но неприятностей с безопасностью и новых рисков в том месте будет большое количество.

Нам кроме того финтех не увлекателен точки зрения ИБ, в том месте ничего принципиально нового нет. А вот в блокчейне нового большое количество, легко им никто действительно не занимался. В то время, когда блокчейн начнут применять денежные организации, мы заинтересуемся им, как исследователи, а преступники — как преступники.

О мессенджерах

А.С. Первый взлом ICQ состоялся через полтора года по окончании выхода на рынок. Если вы думаете, что с того времени с мессенджерами что-то поменялось, вы ошибаетесь.

Дырок в том месте довольно много.

Неприятность не в мессенджере и в боте, а как выстроена связка фронт-бэк.

И.М. Относитесь к мессенджерам, как недоверенной среде. В случае если что-то случится, разбираться будут с оператором услуги либо банком, а не с мессенджером.

В суд на Telegram подавать никто не будет.

О предусмотрительности

И.М. Самый несложный метод — думать о безопасности с первых шагов создания приложения. Нужно осознавать, что его в один раз будут разламывать.

И изначально вспоминать о базисных вещах. В противном случае позже будет совсем сложно. В случае если в архитектуре изначально не предусмотрены меры ИБ, придется все переделывать с нуля.

Кстати, АБС когда-то делались с уверенностью, что уж их-то разламывать не будут.

А.С. Разработчику комфортно, в то время, когда пользователь по умолчанию имеет все полномочия в совокупности. Либо в то время, когда ключи лежат в общей папке.

О разграничении прав архитекторы и программисты довольно часто вспоминают в последнюю очередь.

То, что на данный момент в общем доступе в рамках 122-го комитета обсуждаются требования к экспертам в сфере ИБ – это факт. В данной части мы не стоим на месте. Мировое сообщество ничего нового не придумало, в Базельских требованиях все обрисовано.

Многие банки также думали, что требования регулятора ерунда, пока им счета не почистили на миллионы рублей. Анализ рисков никто не отменял, легко в случае если раньше все сосредотачивалось в области финансов, на данный момент каждая новая разработка несет за собой новые риски в ИБ. И их необходимо учитывать. Быть может, новыми способами ИБ, вероятно трансформациями архитектуры.

И в то время, когда говорим о возврате инвестиций, в их оценку нужно вкладывать затраты на новые риски.

Рынок падает, но преступники крадут все больше

И.М. В ИБ вкладывают, в то время, когда начинают опасаться по-настоящему. Все большие вендоры начинают вкладывать деньги, в то время, когда все делается совсем не хорошо.

Рынок падает, но преступники крадут все больше. Для банков безопасность делается вопросом выживания. Падает рынок, не падает — не имеет значение.

А.С. Ничего не бывает на ровном месте. Сперва нарабатываются разработке, позже они запускаются. Идет необычная индустриализация. Но наряду с этим этап с инвестированием в безопасность почему-то многими отвергается, как ненужный.

Возможно, это стоит поменять?

И.М. У финтеха молодого имеется шанс не повторить неточности ветхих финтехов. Сделайте сходу прекрасно.

Думайте, в то время, когда программируете. Вам самим будет несложнее продаться, по причине того, что “дырявая” разработка через чур сложна в имплементации и может не отыскать спроса.

Перспективные тенденции развитие ФинТех рынка в 2017 году

Интересные записи

Похожие статьи, которые вам, наверника будут интересны: