9 50 potanin ygroza i_zashita_sistem_dbo_март_2015_7
-
Upload
andrew-paymushkin -
Category
Documents
-
view
116 -
download
1
Transcript of 9 50 potanin ygroza i_zashita_sistem_dbo_март_2015_7
![Page 1: 9 50 potanin ygroza i_zashita_sistem_dbo_март_2015_7](https://reader035.fdocuments.net/reader035/viewer/2022062711/55c39318bb61ebe42a8b45a3/html5/thumbnails/1.jpg)
Продолжение № 7
![Page 2: 9 50 potanin ygroza i_zashita_sistem_dbo_март_2015_7](https://reader035.fdocuments.net/reader035/viewer/2022062711/55c39318bb61ebe42a8b45a3/html5/thumbnails/2.jpg)
Что мы имеем сейчас на март 2015 г. ?
Существенное расширение класса угроз при использовании
Персональных компьютеров!В настоящее время (как и должно быть!) появляются все новые и новые угрозы связанные с различными механизмами хищений и модификации информации (подмены подписываемых параметров, и т.д.) при дистанционном обслуживании клиентов использующих ПК, вот последний пример:
В феврале 2015 года компания «Лаборатория Касперского» (ЛК) заявила, что обнаружила уникальную программу кибершпионажа, с помощью которой можно получить доступ к информации на большинстве компьютеров в мире. ЛК тогда уточнила, что программа тесно связана с вирусом Stuxnet, который был разработан по заказу АНБ. Подробнее:http://top.rbc.ru/politics/19/03/2015/550b02a29a79479cd82198d5
![Page 3: 9 50 potanin ygroza i_zashita_sistem_dbo_март_2015_7](https://reader035.fdocuments.net/reader035/viewer/2022062711/55c39318bb61ebe42a8b45a3/html5/thumbnails/3.jpg)
Предотвращение хищений в системах ДБО, и не
только! В данном выступлении я остановлюсь на том,
как уже сейчас, используя один достаточно известный механизм, без каких либо
глобальных изменений в системах существующих ЭДО и ДБО, можно создать
надежную защиту от возможной несанкционированной модификации
создаваемых пользователем (клиентом) электронных документов (с учетом всех уже известные, и всех будущие возможных угроз
при использовании ПК ).
![Page 4: 9 50 potanin ygroza i_zashita_sistem_dbo_март_2015_7](https://reader035.fdocuments.net/reader035/viewer/2022062711/55c39318bb61ebe42a8b45a3/html5/thumbnails/4.jpg)
Что мы сейчас имеем в системах ДБО ?
![Page 5: 9 50 potanin ygroza i_zashita_sistem_dbo_март_2015_7](https://reader035.fdocuments.net/reader035/viewer/2022062711/55c39318bb61ebe42a8b45a3/html5/thumbnails/5.jpg)
Чем нужно дополнить уже существующие механизмы
защиты Давайте предположим, что у нас в дополнение
к уже существующим механизмам безопасности ДБО, есть :
однонаправленное с использованием сертифицированной криптографии устройство ввода информации в контрольные поля.
Тогда давайте посмотрим как изменится картинка возможных атак на ДБО.
![Page 6: 9 50 potanin ygroza i_zashita_sistem_dbo_март_2015_7](https://reader035.fdocuments.net/reader035/viewer/2022062711/55c39318bb61ebe42a8b45a3/html5/thumbnails/6.jpg)
Возможный путь нейтрализации проблемы
Что осталось? Это Атака № 5 (нарушение клиентом правил использования однонаправленного интерфейса ввода, это вина клиента) и Атаки №2 и №4 (в АБС есть проводка без ЭП устройства клиента, это вина Банка).
![Page 7: 9 50 potanin ygroza i_zashita_sistem_dbo_март_2015_7](https://reader035.fdocuments.net/reader035/viewer/2022062711/55c39318bb61ebe42a8b45a3/html5/thumbnails/7.jpg)
Теперь с данным интерфейсом ввода у всех Банков появляется комплект механизмов
безопасности, который обеспечивает качественную
безопасность систем ДБО (Я считаю, что это на данный момент очень
важно). . Для клиента появляется реальный механизм, который обеспечивает защиту его финансовых операций от он-лайн фрода, и обеспечивает предупреждение хищений при использовании им электронных денег в систем ДБО и не только!
В результате клиенту предоставляется на выбор полный комплекс механизмов безопасности, клиент может сам выбирать, уровень безопасности, от самого слабого до самого мощного.
![Page 8: 9 50 potanin ygroza i_zashita_sistem_dbo_март_2015_7](https://reader035.fdocuments.net/reader035/viewer/2022062711/55c39318bb61ebe42a8b45a3/html5/thumbnails/8.jpg)
Зависимость (примерная) рисков ДБО при атаке клиентского места из Интернета от использовании различных механизмов безопасности в ДБО.
![Page 9: 9 50 potanin ygroza i_zashita_sistem_dbo_март_2015_7](https://reader035.fdocuments.net/reader035/viewer/2022062711/55c39318bb61ebe42a8b45a3/html5/thumbnails/9.jpg)
Также с данным однонаправленным интерфейсом существенно облегчается расследование инцидентов в ДБО .
Данный интерфейс позволяет однозначно определять спорные транзакции, клиент и банк равноправны.
Законы 161 и 63 могут выполняться в полном объеме банками без изменений, и без риска для банков и клиентов.
![Page 10: 9 50 potanin ygroza i_zashita_sistem_dbo_март_2015_7](https://reader035.fdocuments.net/reader035/viewer/2022062711/55c39318bb61ebe42a8b45a3/html5/thumbnails/10.jpg)
Выбор универсального устройства
Устройство должно обеспечивать гарантированный (сертифицированная криптография) уровень защиты ЭД в ДБО;
Устройство должно быть универсальным и легко встраиваться без доработки в клиентскую часть любой существующей системы ДБО;
Механизмы безопасности в устройстве должно быть универсальны для использования как физическими, так и юридическими лицами.
![Page 11: 9 50 potanin ygroza i_zashita_sistem_dbo_март_2015_7](https://reader035.fdocuments.net/reader035/viewer/2022062711/55c39318bb61ebe42a8b45a3/html5/thumbnails/11.jpg)
Возможная схема стандартизации при эксплуатации систем ДБО
![Page 12: 9 50 potanin ygroza i_zashita_sistem_dbo_март_2015_7](https://reader035.fdocuments.net/reader035/viewer/2022062711/55c39318bb61ebe42a8b45a3/html5/thumbnails/12.jpg)
Для автоматизированных систем ДБО
![Page 13: 9 50 potanin ygroza i_zashita_sistem_dbo_март_2015_7](https://reader035.fdocuments.net/reader035/viewer/2022062711/55c39318bb61ebe42a8b45a3/html5/thumbnails/13.jpg)
Предлагается использовать дополнительные универсальные
однонаправленные интерфейсы ввода информации (клавиатура, сканер, голосовой ввод и
т.д.)
Данные интерфейсы должны быть однонаправленные (полудуплексные);
Должно обеспечиваться подключение к USB-порту или по средствам Bluetooth;
Устройство не должно требовать установку дополнительных драйверов;
Значения защищаемых полей в ДБО должны вводиться с использованием вышеперечисленных интерфейсов.
![Page 14: 9 50 potanin ygroza i_zashita_sistem_dbo_март_2015_7](https://reader035.fdocuments.net/reader035/viewer/2022062711/55c39318bb61ebe42a8b45a3/html5/thumbnails/14.jpg)
Заключение
Использование данных интеллектуальных однонаправленных интерфейсов ввода информации позволяет полностью решить проблемы связанные с выполнением действующих Федеральных Законов (ФЗ-63, ФЗ-161).
По желанию заказчика в интерфейсы может быть встроен любой механизм формирования контрольного признака, любая ЭП, а также имеется возможность использования любого современного USB – хранилища ключей ЭП.
Системы использующие данные интерфейсы ввода могут применяться в любом электронном документообороте, где есть необходимость защиты вводимой информации.
![Page 15: 9 50 potanin ygroza i_zashita_sistem_dbo_март_2015_7](https://reader035.fdocuments.net/reader035/viewer/2022062711/55c39318bb61ebe42a8b45a3/html5/thumbnails/15.jpg)
Альтернативная концепция развития систем ДБО в России
![Page 16: 9 50 potanin ygroza i_zashita_sistem_dbo_март_2015_7](https://reader035.fdocuments.net/reader035/viewer/2022062711/55c39318bb61ebe42a8b45a3/html5/thumbnails/16.jpg)
Спасибо за внимание!
Потанин Сергей Сергеевич
Начальник Управления Информационной безопасности ДЗА АКБ «СОЮЗ» (ОАО)
тел. +7 (495) 729-55-00 (доб. 425-41) E-mail: [email protected]