Банки vs кибер-мошенники: многообразие угроз и технологии для защиты информации
Тенденциям и перспективам в сфере информационной безопасности в российских финансовых организациях был посвящен V форум «Информационная безопасность для финансового сектора», организованный компанией AHConferences 29 марта в столичном Sheraton Palace Hotel. В форуме приняли участие более 80 профессионалов по информационной безопасности из ведущих банков и страховых компаний, а также представители компаний – поставщиков ИТ-решений для обеспечения информационной безопасности в финансовой отрасли.
Открыл программу форума Михаил Левашов, советник генерального директора по информационной безопасности ФК «Открытие», докладом об отраслевой стандартизации информационной безопасности в финансовом секторе. По мнению г-на Левашова, единые отраслевые стандарты не только уменьшают совокупные расходы финансовой организации на информационную безопасность, но и консолидируют требования законодательства и регуляторов, учитывают специфику информационных систем, модели угроз и нарушителей.
Рассказывая о повышении прозрачности управления ИБ, начальник политик безопасности автоматизированных систем Росбанка Михаил Гиленко отметил: «ИБ-стратегия должна быть согласована с бизнес-стратегией компании, она должна учитывать привлечение инвестиций и планируемое публичное размещение акций, выходы на новые рынки и бизнес-направления. При этом ИБ-политика должна описывать роли и ответственность ключевых участников процессов, механизмы взаимодействия и принятия решений, а также учитывать принципы корпоративного управления, законодательное регулирование и индустриальные стандарты».
Безопасности систем дистанционного банковского обслуживания посвятил свой доклад Павел Головлев, член комитета по информационной безопасности Ассоциации российских банков (АРБ). Г-н Головлев детально рассмотрел факторы риска для современного ДБО, привел ряд интересных примеров электронного мошенничества, остановился на мерах противодействия кибер-преступникам и способах снижения рисков возникновения инцидентов, а также пояснил, что нужно делать держателю счета, если все-таки мошенничество произошло.
Начальник департамента ИТ КБ «Альба Альянс» Сергей Тихонов посвятил свой доклад применению процессного подхода при обеспечении безопасности дистанционного банковского обслуживания. Г-н Тихонов проанализировал основные причины мошенничества в ДБО, продемонстрировал варианты взлома защищенных систем, подробно остановился на видах защиты электронных транзакций и компонентах реализации защиты транзакций в системах ДБО.
О комплексной защите систем дистанционного банковского обслуживания на базе решений RSA рассказал Александр Вологдин, директор по развитию бизнеса RSA в России и СНГ компании EMC. Особое внимание г-н Вологдин уделил новым технологиям для защиты финансовых учреждений от атак: «Набор сервисов RSA позволяет вне ДБО остановить трояны и фишинг-атаки, при входе дает возможность использовать двустороннюю аутентификацию, а также обеспечивает проверку и защиту транзакции внутри системы дистанционного банковского обслуживания».
О страховании информационных рисков и ответственности ИТ-подрядчиков финансовых структур говорил в своем выступлении начальник отдела страхования финансовых институтов ОСАО «Ингосстрах» Антон Казиев. Он рассказал о страхуемых рисках, а также о дополнительных видах страхования, касающихся оборудования вычислительных центров и компьютерных сетей, гражданской ответственности перед клиентами, а также юридических расходов.
C аналитическими докладами на V форуме «Информационная безопасность в финансовом секторе» выступили президент RISSPA Евгений Климов, старший аудитор департамента консалтинга и аудита компании «Информзащита» Алексей Бабенко и руководитель департамента аудита информационной безопасности консалтинговой компании Digital Security Алексей Синцов.
Г-н Климов уделил внимание актуальной сейчас концепции Buy Your Own Device в финансовом секторе, отметил растущую долю использования персональных мобильных устройств, подробно рассказал о том, как с их помощью управлять финансовыми документами.
Анализируя защищенность банковских систем, г-н Бабенко остановился на комплексном подходе к обеспечению безопасности, описал «модель нарушителя» и проблемы автоматического анализа, а в качестве примера привел кейс по оценке уровня безопасности одного из российских интернет-банков.
В продолжение темы обеспечения безопасности систем ДБО г-н Синцов познакомил слушателей с результатами исследования защищенности банк-клиентов за период 2009–2011 гг. и указал на ряд наиболее распространенных проблем. При этом многие банки не осведомлены о проблемах с ПО. По мнению г-на Синцова, для дистанционного банковского обслуживания характерно, как правило, наличие ошибок в коде, слабая архитектура и отсутствие защит.
Завершил работу форума круглый стол по проблемам взаимодействия ИБ-департамента и ИТ-отдела банка, где рассматривались вопросы повышения эффективности совместной работы данных подразделений.
Компания AHConferences благодарит всех участников, партнеров и докладчиков V форума «Информационная безопасность в финансовом секторе».
Источник: www.wiki-ins.ru, 03.04.12< Предыдущая | Следующая > |
---|