Страницы

Совещание на тему безопасности и ЗИ в ГУ ЦБ по КК 11.05.2012

11 мая в краснодарском управлении Центрально Банка прошло совещание на тему обеспечения безопасности и защиты информации в банковском секторе Краснодарского края.
Интересность:       ▃ ▄ ▅ ▆ 
Организация:        ▃ ▄ ▅ ▆ ▇
Питание:               ▃ ▄ ▅ ▆ 

Участие в совещании как для участников, так  и для организаций, представивших свои стенды в холле ЦБ было открытым и бесплатным, что, в целом, беспрецедентно для ГУ ЦБ КК и очень правильно. О проведении совещания ЦентроБанк объявил заранее и громко, поэтому зал был полон, а во время перерывов не смолкали дискуссии между участниками в холле банка.

Открыл совещание начальник ГУ ЦБ по КК Войлуков Алексей Арнольдович.

Алексей Арнольдович описал динамику  банковских процессов в крае. Отдельно коснулся Олимпиады. 
ЦБ разрабатывает концепцию банковского обслуживания Олимпиады в 2014. ЦБ считает, что хакеры со всего мира тоже примут участие в Олимпиаде и мы должны быть готовы.
По словам Алексея Арнольдовича, на олимпиаде в Пекине было зафиксировано 12 млн. инцидентов ИБ. 



12 из 15 банков края приняли СТО БР ИББС. 1 отказался. Кто не сказали. Я не догадался. Может в комментах подскажут...
В целом доклад отличался хорошим подбором статистических данных и обзором текущей ситуации в банковском крае с высоты ЦБ. 

Славинский Игорь Анатольевич, руководитель Департамента по финансовому и фондовому рынку Краснодарского края
Игорь Анатольевич сообщил, что ВВП края превысил триллион рублей и на данный момент составляет 1 300 000 000 000.
Залог роста ВВП - стабильная работа банков.
Однако в Краснодаре наблюдается повышенный процент задолженности по кредитам - порядка 5%, что в 2 раза выше нормы.
В связи с этим он предложил банкам делится информацией о должниках (а как же 152-ФЗ?).
Ряд банков используют вчерашние навязчивые механизмы привлечения клиентов - рассылку карточек по почте - которыми могут воспользоваться и злоумышленники. 

Далее был доклад Зике Регины Владимировны, заместителя начальника ГУ ЦБ КК.
Регина Владимировна говорила, в основном, о финансовых рисках. Она напомнила слушателям о рекомендациях Базельского комитета по причислению рисков ИБ к операционным, что может дать возможность снизить резерв финансовых средств банка. Сказала, что факторами, увеличивающими риски, является наличие непрофильных активов у банка (оставшихся от должников) и отдельного бизнеса у собственника, который он будет спасать в первую очередь, а банк - во вторую. Так же в Краснодаре наблюдается резкий рост кредитования физ. и юр. лиц. С чем это связано не объяснила.

Начальник управления безопасности и ЗИ Пастухов Валерий Владимирович начал с упоминания дела Рогачева, которого арестовали в Сочи по обвинению в обналичивании 2 млрд. рублей.
Валерий Владимирович рассказал, что атакам хакеров в России подверглись 96 банков и пострадали 457 компаний. От электронного хищения в 2011 году удалось спасти 1 млрд долларов.
Сказал, что традиционно в банках информационной безопасностью занимаются ИТ отделы, а СБ занимается проверкой клиентов и контрагентов. Это неправильно. СБ должна взять на себя и ИБ.
ЦБ готов делиться базой с фальшивыми дипломами. Говорят, это очень актуально :)











Дальше выступали москвичи из ГУБиЗИ Банка России: Бабаков Сергей Алексеевич и Фролов Дмитрий Борисович.
Сергей Алексеевич осветил общую статистику преступлений в России и крае. Особо отметил коррупцию в Сочи - объём по данным МВД - 6 млрд. рублей. Думаю, на порядок занижен :)
По словам Сергея, за первый квартал 2012 года совершенно 362 случая мошенничества с кредитными картами. За весь (!) 2011 год - всего 397 случаев. Т.е. в этом году у нас минимум 4х кратный прирост. Рулят в картонном бизнесе, по-прежнему, молдаване. Взрывной рост, по всей видимости, связан с массовым переходом Европы на чиповые карты (взамен магнитных) и последующую миграцию преступных групп в Россию, где уровень магнитных карт что-то около 80%.
Ежедневно в России осуществляется 2 млн операций по банковским картам.

Дмитрий Борисович рассказывал, в основном, про СТО БР ИББС.
Сказал интересную фразу про наличие словесной договоренности с Роскомнадзором о том, что банки, принявшие СТО БР ИББС, надо проверять по старой редакции 152-ФЗ, т.к. текущая версия СТО БР ИББС не учитывает внесенных изменений.

По моим данным, краснодарский РКН не в курсе этих договоренностей и руководствуется нормами июльской редакции 152-ФЗ при проверках кредитных организаций.
1 июля 2012 года выйдет нормативный акт Банка России по защите информации в национальной платежной системе (НПС). Документ должен сохранить максимальную преемственность со Стандартом и банкам, принявшим Стандарт, нечего волноваться.
Еще Дмитрий Борисович сказал, что Банк России ожидает от присоединившихся к стандарту проведения аудитов или самооценок не реже 1 раза в 2 года.

Курилов Николай Юрьевич (начальник отдела ТЗИ УБиЗИ ЦБ КК) рассказывал про обмен ключевой информацией. ЦБ КК на сегодняшний момент работает с 6 тысячами криптографических ключей. Они готовы обмениваться ключевой информацией в рамках электронного взаимодействия, значит ездить за новыми ключами к ним уже больше не прийдётся. Это хорошо.
Ещё сказал, что иногда банки путают закрытый ключ с открытым и присылают им распечатанный закрытый ключ с курьером :).
ЦБ КК проводит проверки выполнения требований ИБ при работе с криптоключами. По результатам проверок несколько КО было отключено от электронного взаимодействия с ЦБ.
Выявленные недостатки достаточно интересны, чтобы привести тут слайды целиком.


Следующим выступал директор института информационных технологий и безопасности Симанков Владимир Сергеевич

Институт ведет НИР по разработке системы ситуационных центров органов гос.власти. Эта система должна агрегировать сведения из различных информационных систем органов гос.власти края в режиме онлаин и снабжать аналитикой руководство края. Пока что проект находится на стадии НИР.
Кроме того ИИТиБ готовит специалистов по защите информации по 5 летней программе! Удалось обойтись без бакалавров. Действует аспирантура и докторантура.
Специально для новых требований ФСБ готовят 500 и 1000 часовую программу обучения по ЗИ.
Вообще говоря эти 500 часов явный перебор. Под новые требования не проходят много отличных банковских спецов по ИБ, которых я знаю лично.

Начальник отдела платежных систем ГУ ЦБ КК  Гостев Александр Сергеевич поделился интересной статистикой:
 

Далее был единственный доклад интегратора. Выступал технический директор компании Россигнал Федоров Виталий Юрьевич.
Виталий Юрьевич описал ситуацию с системами ДБО - у большинства производителей нет лицензий ФСТЭК/ФСБ, => говорить о возможности создания цельного комплекса система ДБО + сертифицированное средство защиты не приходится.







 Карта взломов. Ломают всех.

   Причины взломов по версии Россигнала.

 Анализ средств защиты для ДБО. На этом слайде был сделан вывод о том, что т.к. ни одно средство защиты не защищает на 100%, => защитится от мошенничества с ДБО невозможно. 
Собственно факты говорят об обратном. В 99.9% случаев ПК с ДБО были заражены через известные уязвимости flash, java, PDF, IE, либо соц.сети и фишинг. Поэтому лучший способ защиты клиентской части ДБО - это соблюдение базовых правил компьютерной гигиены + патчи и обновления ОС, браузеров и прикладного ПО.
Если бы все так делали - тема кражи денег со счетов клиентов ДБО так и не вышла бы за пределы специализированных форумов.
В целом доклад оставил положительные впечатления, но вот количество слайдов с саморекламой лучше сократить до 1-2х. 


Воропаев Владимир Анатольевич  из Крайинвестбанка поделился опытом поимки молдовских кардеров
Крайинвестбанк постоянно сталкивается с попытками ограблений банкоматов и они выработали схемы противодействия мошенникам - автоматические системы сигнализации о физическом воздействии на банкомат, единая диспетчерская служба и налаженные контакты с правоохранительными органами на местах. 
Все это помогло выявить и задержать группу молдаван, занимавшихся скиммингом на территории края. Один из них устанавливал вот такое устройство в банкомат в ночное время суток
которое блокировало выдачу наличных денег. В результате банкомат выдавал ошибку, клиент уходил без денег, а кардер снимали накладку и забирали наличные себе, при этом двое соучастников стояли "на шухере". При задержании преступников в машине обнаружили множество скиммеров, поддельных карт и материалов для их изготовления.

Фролов Сергей Алексеевич, начальник  отдела ЗИ в банке "Кубань Кредит" рассказал о внедрении СТО БР ИББС в их банке и о трудностях, с которыми они столкнулись:
1. Большинство АБС не имеет контроля целостности электронных сообщений при обмене. Их собственные программисты дорабатывали коммерческую АБС, т.к. производитель на это не пошел.
2. Очень много журналов у различных средств защиты. Трудно вести, трудно учесть, трудно контролировать.
3. Сложности в сопровождении процессов идентификации при большом количестве информационных систем, а так же из-за отпусков сотрудников и увольняющихся. 
4. Низкая осведомлённость пользователей в вопросах ИБ. 

Вот собственно и все интересные мне доклады и докладчики на этом мероприятии. 

Оборудование зала для совещаний было на высоте. Несколько экранов, сплиты и хорошая акустика. На обед был кофе с эклерами и закусками, однако хватило не всем, поэтому 4 балла за питание. Четыре бала за интересность мероприятие получило за отсутствие на совещании представителей ФСТЭК, ФСБ, РКН и небольшой перекос в сторону докладчиков из ЦБ, всё-таки интересней слушать про практику ИБ, чем про операционные риски и формы отчетности.
Совещание прошло практически без рекламы, с большим объёмом статистики и конкретики, что просто поразительно контрастирует с недавним мероприятием АРБР. Т.ч. планка поднята очень высоко и я не думаю, что кто-то сможет ЦБ в этом году обогнать... (в Краснодаре, естественно :))...

PS Тут обзор мероприятия от Сергея Борисова.

2 комментария:

  1. Отличный отчет о мероприятии.
    Мне было лень всё консперктировать, отмечал себе только самое ключевое ну и на диктофон записывал кое что.

    А ты прям по каждому докладу заметки сделал как настоящий журналист от ИБ.

    ОтветитьУдалить
  2. спасибо!

    заметки помогают не "уплыть" и не заснуть на скучных докладах =)

    да и нужно собирать статистику для собственных презентаций.

    ОтветитьУдалить