PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Digital Security предупреждает банки об опасности

В связи с участившимися случаями появления критичных уязвимостей (в том числе, представляющих опасность для банковских систем и клиентов финансовых организаций) возникла необходимость в оперативном информировании о возникающих угрозах банковского сообщества. Компанией Digital Security, предоставляющей консалтинговые услуги в области ИБ, совместно с клубом «Антидроп», куда входит более 500 банков, было принято решение о выпуске своевременных оповещений в случае появления таких угроз с детальными рекомендациями по устранению или минимизации рисков.

Данная инициатива возникла в ответ на участившиеся случаи мошеннических действий в банковской сфере, а также на недавние инциденты, поставившие под угрозу конфиденциальные данные (включая информацию о банковских счетах) миллионов пользователей по всему миру. Речь идет, прежде всего, о критичной уязвимости защитного протокола OpenSSL, получившей имя Heartbleed – «кровоточащее сердце», и заключается в следующем: версии (1) TLS и (2) DTLS в протоколе OpenSSL 1.0.1 до версии 1.0.1g неправильно обрабатывают пакеты расширения Heartbeat Extension, что позволяет злоумышленникам удаленно завладевать ценной информацией из памяти процесса. Хакеры используют специально разработанные пакеты, приводящие к переполнению буфера чтения, о чем свидетельствует считывание частных ключей. Злоумышленники могут не только перехватывать данные SSL-соединения, но и напрямую атаковать VPN-системы, получив логины и пароли. Уязвимость Heartbleed является критически опасной угрозой и может иметь далеко идущие последствия, потенциально открывая хакерам доступ к конфиденциальным и бизнес-данным.

Также большую опасность представляет собой уязвимость в Apache Struts, Java-фреймворке с открытым исходным кодом. Она была найдена несколько месяцев назад Takeshi Terada из Mitsui Bussan Secure Directions, но активно используется до сих пор. Достаточно сказать, что Apache Struts применяется во многих платежных веб-приложениях, включая банк-клиенты. В частности, его используют Qiwi, Альфа-Банк.

Илья Медведовский, генеральный директор Digital Security, так прокомментировал данную инициативу: «Осознавая ответственность перед банковским сообществом, с которым мы работаем много лет в тесном сотрудничестве в сфере ИБ, мы приняли решение начать программу оперативного информирования специалистов в случае появления критичных для банков угроз. Быстрое реагирование на появление критичных уязвимостей и их устранение позволит минимизировать риски и вывести уровень оперативной готовности российских финансовых организаций на более высокую ступень».

Александр Виноградов, начальник управления ИБ ЗАО КБ «Златкомбанк»: «18 апреля 2014 года на сайте Центрального банка Российской Федерации (Банк России) (www.cbr.ru ) была вывешена информация «О мерах по минимизации риска, связанного с наличием уязвимости в программном обеспечении “OpenSSL”» ,в которой Банк России просит кредитные организации выполнить необходимые меры по минимизации риска, связанного с наличием указанной уязвимости. С полным текстом можно ознакомиться по ссылке: www.cbr.ru/press/PR.aspx?file=18042014_165029intern1.htm». Источник: dsec.ru

сообщество | pci dss russia | digital security
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 









Партнеры