Все о трудовом праве
  • Москва, Московская область
    +7 (499) 703-47-96
  • Санкт-Петербург, Ленинградская область
    +7 (812) 309-56-72
  • Федеральный номер
    8 (800) 555-67-55 доб. 141

Звонки бесплатны.
Работаем без выходных

Разделы:
Последние новости:

26.12.2019

Законопроект разработан в целях поддержки членов многодетных семей, получающих пенсии по потере кормильца или инвалидности в размере меньшем, чем установленная субъектом Российской Федерации величина прожиточного минимума пенсионера в целом по региону в целях установления социальных доплат к пенсии, предусмотренных Федеральным законом от 17 июля 1999 года № 178-ФЗ "О государственной социальной помощи".

подробнее
28.11.2019

Разработка изменений в главу 52 Трудового кодекса РФ, регулирующей особенности труда педагогических работников, была продиктована ростом преступлений, в т.ч. тяжких и особо тяжких составов, совершаемых именно педагогическими работниками, относящимися к звену  среднего и высшего образования. Увеличивается количество уголовных дел, возбужденных в отношении преподавателей, жертвами которых становятся учащиеся школ, появляются уголовные дела в отношении преподавателей ВУЗов. 

подробнее
01.10.2019

При рассмотрении исковых заявлений от детей-сирот, которым служба занятости населения вынуждена отказывать в регистрации в качестве безработных с выплатой пособия в размере среднего заработка по региону проживания, в связи с тем, что  до обращения в службу занятости у них была трудовая деятельность и они не впервые ищущие работу, судебная практика встает на сторону детей-сирот, что расходится с требованиями Закона о занятости населения (ст.34, 34.1).

подробнее
Все статьи > Иные вопросы > Сети и дыры (Костылев И.)

Сети и дыры (Костылев И.)

Дата размещения статьи: 05.06.2015

Сети и дыры (Костылев И.)

Информационная безопасность для российских банков остается дискуссионной темой. Вендоры утверждают, что их решения безопасны, производители антивирусов пугают хакерами, регулятор хочет все контролировать, а руководство банка не желает выделять средства на защиту.

Ситуация с информационной безопасностью в российском банковском секторе остается напряженной. Как рассказал в интервью РБК генеральный директор компании Group-IB Илья Сачков, за последние два квартала 2013 г. и первые два квартала 2014 г. злоумышленники украли со счетов российских граждан и компаний 2,5 млрд долл. (включая мошенничество с платежными картами и воровство с помощью email-спама). Через онлайн-банкинг граждане лишились 426 млн долл. Из них 68%, или 228 млн долл., преступники украли в системах интернет-банкинга. Из этой суммы 83% - это хищения со счетов юридических лиц, у физических лиц украли 2%, 1% - это хищения с использованием мобильных троянов.
Отметим, что в 2012 г. общий объем рынка киберпреступности составлял, по данным той же компании, 1,938 млрд долл., что было в свою очередь, приблизительно на 6% ниже аналогичного показателя 2011 г. (2,055 млрд долл.). То есть сумма ущерба за два года значительно возросла.
Поскольку статистику Group-IB строит на основе собранных ею данных, не все эксперты согласны с достоверностью этих показателей, однако с тем, что киберпреступники все более активны, мало кто спорит. Прежде всего это связано с развитием онлайн-банкинга и интернет-торговли.

Троянский конь ДБО

Выступая на конференции "Информационная безопасность в финансовом секторе: угрозы и противодействие", организованной CNews, заместитель начальника управления информационной безопасности Пробизнесбанка Мария Воронова рассказала, что как первую из угроз в банке выделяют несанкционированные операции в ДБО с рабочих станций клиентов. Как правило, это происходит посредством заражения компьютера трояном. После этого злоумышленник проводит подмену реквизитов платежного документа, вводит удаленное управление компьютером клиента или строит автоматизированный процесс формирования и отправки незаконных платежей.
Другая угроза - троян, заражающий инфраструктуру самого банка, а также злоупотребление полномочиями со стороны сотрудников банка. Таким образом производится хищение учетных данных клиентов - логинов и паролей, а также может быть инициировано заражение рабочих станций клиентов. Также злоумышленник сможет сам формировать незаконные платежные документы.
Среди новых особенностей атак на ДБО Мария Воронова отметила заражение трояном мобильных устройств с тем, чтобы перехватывать на нем SMS-пароли для подтверждения операции. Наиболее заражаемая платформа, по ее словам, - Android.
Другой метод атаки на мобильный банкинг - замена сим-карты. Злоумышленник получает новую сим-карту по поддельному паспорту, а старая в этот момент оказывается заблокированной. Мария Воронова говорит, что в таких схемах часто бывают замешаны сотрудники самих банковских или телекоммуникационных организаций. Об этом говорит тот факт, что клиентов часто атаковали, когда они находились за границей с выключенным телефоном, то есть воры располагали такой информацией.
Не так давно, кстати, МВД в сотрудничестве со Сбербанком и уже упомянутой Group-IB была обезврежена группа хакеров, создавшая троян для ОС Android и заразившая им 340 тыс. телефонов. Сумму похищенных средств Илья Сачков оценил в 50 млн руб. По его словам, в первую очередь виновата операционная система Android, она действительно уязвима. Сейчас злоумышленник платит 20 - 40 долл. за заражение тысячи устройств под управлением Android, то есть цена заражения одного устройства - меньше цента. В указанном случае клиент получал SMS-уведомление с просьбой обновить Flash player, переходил по ссылке и устанавливал "обновление", которое и являлось трояном.
Мария Воронова выделяет несколько способов защиты от атак на ДБО. Мерами защиты от атак на клиента могут служить установка антивируса на устройство пользователя, использование защищенных носителей ключей, а также средства дополнительной аутентификации платежа. Необходимо привязывать SIM-карту к устройству, что с 20 марта является требованием Банка России. Для защиты и контроля инфраструктуры банка рекомендуется использование технических средств защиты в комплексе (vulnerability management, IPS\IDS, application firewalls, SIEM, app security testing, antiDDoS), а также применение антифрод-систем. Кроме того, важны организационные меры, такие как повышение уровня системы управления информационной безопасностью в банке, SMS-оповещение о входе в систему ДБО и выполнении операций в ней, повышение осведомленности сотрудников банка об информационной безопасности.

Под контроль регулятора

Мысль, что безопасность банковского программного обеспечения должна регулироваться, Банк России доносит до рынка уже достаточно давно. В очередной раз ее сформулировал на Инфофоруме 5 февраля 2015 г. Артем Сычев, заместитель начальника главного управления безопасности и защиты информации Банка России. Он выразил мнение, что необходим контроль защищенности уже созданных работающих систем и контроль качества разработки функциональности безопасности у разработчика. "Совершенно очевидно, что на сегодняшний момент такой системы контроля в России нет. Это не подконтрольно ни Минкомсвязи, ни ФСБ, ни тем более Банку России. Но потребность в этом есть, и банки неоднократно об этом высказывались", - отметил Артем Сычев.
Чтобы решить проблему, как считает представитель Банка России, не нужно изобретать велосипед - контроль можно реализовать через саморегулируемые организации (СРО), которые взяли бы на себя контроль качества разработки и контроль услуг по обеспечению безопасности. Фраза Артема Сычева: "На этом рынке, к сожалению, в последнее время появляется достаточно большое количество случайных игроков", - говорит о том, что Банк России, по всей видимости, видит необходимость существенно проредить и рынок разработчиков и поставщиков ИБ-услуг.
Однако сделать это, по словам Артема Сычева, быстро не получится. "Есть сомнения, что для этого сейчас есть достаточная нормативная и законодательная база. Очевидно, придется вносить изменения либо в Закон о СРО, либо в иные законодательные акты. Придется сформировать отдельные условия для банков в документации Банка России, чтобы устанавливать требования по снижению рисков таким путем. И, безусловно, это не будет возможным без поддержки других регуляторов - ФСТЭК и ФСБ", - высказался регулятор. Впрочем, по его словам, позиция ФСБ во многом пересекается со сказанным выше.
"Если такая система будет создана, она во многом позволит отойти от необходимости полного импортозамещения и даст возможность использовать то, что используется во всем мире, при этом ему доверяя. И это будет способствовать повышению уровня безопасности не только банков, но и клиентских транзакций", - уверен Артем Сычев.

Трудовой договор и трудовые отношения © 2015 - 2020. Все права защищены
↑