PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Новые статьи в RSSНовые статьи

Хакеры заинтересовались POS-терминалами

 4 августа 2016   0 комментариев
 Алина Оприско  
Кражи через такие терминалы распространены на Западе, предупредил банкиров Центробанк

В Digital Security подготовили обзор по безопасности высокоскоростных поездов

 2 августа 2016   0 комментариев
 Алина Оприско  
Компания Digital Security открывает цикл аналитических обзоров, посвященных безопасности транспорта и промышленных объектов. Первый обзор серии подготовлен Егором Литвиновым, ведущим специалистом по безопасности АСУ ТП Digital Security, который сосредоточил свое внимание на ИБ высокоскоростных поездов на основе информации из открытых источников. Специалист Digital Security описал инфраструктуру современного поезда, а также представил возможные векторы атак, которые в потенциале имеются в распоряжении злоумышленников. Обзор полностью можно почитать в нашем блоге на Хабре.

ЦБ потребовал киберзащиты

 2 августа 2016   0 комментариев
 Алина Оприско  
От рекомендаций банкам по информационной безопасности ЦБ перешел к однозначным требованиям. Регулятор разработал четкий и обязательный для всех банков регламент кибербезопасности, призванный защитить кредитные организации от хакерских атак. В документе, в частности, вводится обязанность банка в течение трех часов сообщать о готовящейся или свершившейся атаке.

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Статьи

Итоги Уральского форума. Киберпреступники могут наказать гораздо сильнее ЦБ

19 февраля 2016
  
  pdf-версия

Мир стремительно меняется во всех сферах, не является исключением и банковская безопасность. В четвертом квартале 2015 года, по подсчетам ЦБ РФ, из российских банков было украдено более 1,5 млрд руб. Хищений примерно на такую же сумму удалось избежать.

Столь внушительные цифры побудили руководство ЦБ РФ к активным действиям. И теперь мы можем наблюдать за изменениями, происходящими в сфере безопасности отечественной банковской отрасли — прежде всего в практической плоскости. Значимость реформ на уровне председателя ЦБ показала и очередная ежегодная уральская межбанковская конференция по ИБ. Впервые за восемь лет с начала проведения на ней выступили два заместителя председателя ЦБ, и это говорит о многом. На что же стоит обратить внимание и к чему нужно быть готовым всему банковскому сообществу?

Во-первых, Центробанк теперь не просто открыто говорит о проблемах в отрасли, называя цифры потерь, но и приводит конкретные схемы атак на информационные системы банков и процессингов, которые привели к хищениям финансовых средств. И это не может не радовать, так как скрытность в этих вопросах выгодна только киберпреступникам.

Сегодня вся банковская система РФ стоит перед глобальным вызовом: преступники уже почувствовали вкус огромных денег. И теперь они не остановятся, будут и далее «инвестировать» украденные средства в свою деятельность, совершенствуя механизмы атак на банки, благо возможностей и различных векторов атак у них масса. Вчера воровали миллионы, сегодня уже миллиарды, а если не принять срочных мер, то завтра потери будут исчисляться десятками миллиардов. И тогда встанет вопрос уже о доверии ко всей банковской системе РФ в целом. И речь уже пойдет о национальной безопасности.

Руководство ЦБ это отлично понимает. Серьезность намерений злоумышленников наглядно демонстрирует тот факт, что недавно управлением «К» была арестована преступная группа, создавшая свой процессинг первого уровня, подключенный к международным платежным системам. Благодаря данному примеру мы можем оценить колоссальный масштаб и финансовые возможности действующих в этой области организованных преступных групп. Кроме того, злоумышленники постоянно совершенствуют свои атаки, постепенно переходя от прямых атак на АРМ КБР к атакам на АБС. Мы, кстати, неоднократно предупреждали об этом, говоря о незащищенности АБС.

Во-вторых, и это тоже четко показала конференция, нас всех ждут очень серьезные изменения, связанные как с ужесточением практических требований к ИБ, так и контролем за их исполнением. ЦБ РФ прежде всего активизирует меры, предназначенные для постепенного ухода от «условно бумажной» безопасности и перевода ее в более практическую плоскость.

В частности, анонсированная к принятию этой весной новая версия обязательного постановления 382П получит серьезнейшие практические дополнения, сделав по факту обязательным к применению вышедший в 2014 году рекомендательный стандарт Банка России по безопасности жизненного цикла платежных приложений, в разработке которого мы принимали самое активное участие в период 2013–2014 ггодов. Кроме того, в ближайших планах у ЦБ перевести СТО БР ИББС в формат ГОСТа, также сделав его обязательным. Кроме того, будет ужесточен надзор в области ИБ.

Деятельности FinCERT будет уделено серьезное внимание, в его распоряжение поступят солидные финансовые и человеческие ресурсы. Далее, ЦБ планирует внедрить антифрод-решение, чтобы отслеживать рейсовые платежи из АРМ КБР банков в ЦБ.

В любом случае в существующих реалиях можно лишь пожелать регулятору максимально активизировать деятельность по регламентации и контролю ИБ в банковской сфере именно в практической плоскости. Шаги делаются правильные и очень своевременные — это внушает определенный оптимизм. Российским коммерческим банкам стоит посоветовать не ждать обязательных или карающих мер регулятора — гораздо быстрее их «покарает» киберпреступность, а самим срочно начать применять практические регламенты, которые давно уже разработаны ЦБ.

В любом случае, в существующих реалиях можно лишь пожелать регулятору максимально активизировать деятельность по регламентации и контролю ИБ в банковской сфере именно в практической плоскости. Шаги делаются правильные и очень своевременные — это внушает определенный оптимизм. Российским коммерческим банкам стоит посоветовать не ждать обязательных или карающих мер регулятора — гораздо быстрее их "покарает" киберпреступность — а самим срочно начать применять практические регламенты, которые давно уже разработаны ЦБ.

В качестве первоочередной меры нужно внедрять стандарт безопасности жизненного цикла платежных приложений, что в кратчайшие сроки существенно повысит безопасность ключевых банковских систем (ДБО и АБС), снизив риск реализации успешной атаки. Но сегодня, повторюсь, главный риск для банков — это не надзор ЦБ, а преступники, после действия которых банк в том числе может и «выпасть» из обязательных финансовых нормативов ЦБ. В частности, уже три ранее успешно атакованных банка лишились лицензии — регулятор заявил о прямой зависимости этих фактов.

А мир и правда меняется ...

Илья Медведовский, генеральный директор Digital Security

Источник: bankir.ru

КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры