2. Чего ждут клиенты…
Клиент рассчитывает, что
пользоваться электронной платежной
системой можно будет:
1. Безопасно
2. 24x7
3. Комфортно
3. …и что получается
• Июнь 2007
– 31709 новых
фишинговых сайтов*
• 50% пользователей опасаются
продолжать (или начинать) пользоваться
онлайн-услугами финансовых
организаций
* Отчет Anti-Phishing Working Group
** Опрос RSA, декабрь 2006
5. EMEA - Top countries hosting
phishing Web sites*
* Отчет Symantec, сентябрь 2007
6. Россия и Украина - 2007
Направленные атаки:
• Яndex-деньги - фишинг
• Альфа-банк – фишинг
• Райффайзен Банк Аваль
(UA) – троян
Универсальные:
• Трояны BanKey.A и
BankFake.A.
Голосовой фишинг (вишинг):
• Альфа-банк, Райффайзен Банк, Банк Москвы,
Мастер Банк …
8. Управление безопасностью
Невозможно защитить всех
участников ото всех угроз
• Управляйте рисками:
– Оценка угроз
– Оценка потерь
• Стройте стратегию управления
безопасностью на основе анализа
рисков
9. Адаптивная система защиты
• Онлайн анализ действий пользователя
• Реакция на подозрительные транзакции
– Дополнительная аутентификация
– Голосовое подтверждение
– Одноразовые пароли
– Биометрия
–…
• Баланс между удобством и
безопасностью
10. Подозрительные транзакции?
• Нетипичное поведение пользователя
• Действия с высоким уровнем «тревоги»
– Вывод денег на счета других платежных
систем
– Переводы значительных сумм денег на
внешние банковские счета
• Действия с подозрением на последствия
фишинга
– «Засвеченные» IP-адреса
– Скомпрометированные учетные записи
11. Проактивная защита
Защита точек доступа к платежной системе
(Endpoint Security)
• Проверка рабочих мест пользователей:
– Антивирусная защита
– Сетевая защита (IDP, FW)
– Антифишинг
– Актуальность всех обновлений системы
и баз антивирусов
• Автоматическая установка
• Удаленное управление
12. Защита на уровне операторов связи
Совместные предложения с
операторами
• Предложите пользователям не
только доступ в Интернет –
предложите им услугу по защите
от внешних угроз
• “Clean pipe” – защита от троянов,
фишинга, вирусов и т.п.
13. Доступность
Клиент ожидает от
электронных платежных
систем работы в режиме 24x7
• Доступность – не обязательно
означает моментальное
исполнение указаний клиента
• Если клиент не может получить
доступа к системе – объясните
ему причину
14. Управление уровнем доступности
• Определите целевые
показатели доступности и
восстановления
• Обеспечьте архитектуру
систем, обеспечивающую их
достижение
• Осуществляйте постоянный
мониторинг доступности
систем
15. Целевые показатели восстановления
• MTPD = Maximum Tolerable Period of Disruption
• RTO = Recovery Time Objective
• RPO = Recovery Point Objective
• Проведите анализ воздействия на бизнес –
все параметры должны быть обоснованны
• Не забывайте пересматривать эти
показатели по мере развития системы
• Не стесняйтесь прописывать их в SLA с
партнерами и клиентами
16. Архитектура решения
• Осуществляйте развитие в
рамках понятной стратегии
параллельно с развитием
бизнеса
• Используйте преимущества
отказоустойчивой
архитектуры «в мирное
время»
17. Мониторинг
Не оставляйте ваши системы без присмотра!
• Внешний мониторинг
– Доступность
– Производительность
– Корректность
• Внутренний мониторинг
– Инженерная инфраструктура
– ИТ инфраструктура
– Информационная безопасность