eToken PASS обеспечивает безопасную работу клиентов системы ECASH

Ведущий российский разработчик и поставщик средств аутентификации, продуктов и решений по информационной безопасности компания Aladdin сообщает об успешном завершении проекта компанией «ЮНИКОР ФИНАНС» по обеспечению безопасного удаленного доступа для банков-участников платёжной системы ECASH с использованием персонального ОТР-устройства eToken PАSS.

«ЮНИКОР ФИНАНС» является разработчиком инновационной системы для управления банковскими и небанковскими счетами ECASH, специализируется на создании и интеграции комплексных ИТ-решений моментального приема платежей. ECASH ориентирована на использование физическими и юридическими лицами и позволяет дистанционно управлять банковским счетом или банковской картой и осуществлять платежи за товары и услуги через мобильный телефон или Интернет. ECASH «сопровождает» клиента во всех его расчетах, работая в магазине, банке, расчетном центре, перечисляющем пособия или рассчитывающем платежи за жилье. С ее помощью можно производить денежные операции во многих ежедневных ситуациях, например, оплачивать проезд в транспорте.

Важнейшим преимуществом ECASH является безопасность проводимых платежей, чему разработчик системы - компания «ЮНИКОР ФИНАНС» - уделяет самое пристальное внимание. Для обеспечения высокого уровня защиты ECASH при подтверждении оплаты и списания денег с банковского счета пользователя в «ЮНИКОР ФИНАНС» было принято решение о проведении тендера среди производителей средств аутентификации на поставку соответствующих устройств. К критериям выбора, в частности, относились: возможность аппаратной генерации одноразового пароля, действительного только в течение одного сеанса связи, «безболезненная» интеграция решения в существующую инфраструктуру, оптимальное соотношение цены и качества, а также быстрые сроки поставки. По итогам конкурса в качестве поставщика была выбрана компания Aladdin, а новым этапом обеспечения защиты транзакций в ECASH стало использование специальных персональных устройств eToken PASS – персональных автономных генераторов одноразовых паролей.

eToken PASS не требует подключения к компьютеру и установки дополнительного программного обеспечения, а значит, может использоваться в любых операционных системах, а также при доступе к защищенным ресурсам с мобильных устройств и терминалов. Одноразовый пароль, сгенерированный eToken PASS, действует только в течение одного сеанса связи – пользователь может не беспокоиться о том, что пароль может быть подсмотрен или перехвачен. Каждый раз для подтверждения оплаты, снятия денег со счета или проведения любой другой транзакции, пользователю необходимо ввести уникальный пароль сгенерированный eToken’ом. Таким образом, при совершении оплаты в системе ECASH через мобильный телефон или личный Web-кабинет в Интернете, пользователь может быть спокоен за безопасность своих платежей.

Результаты проекта комментирует Харюшин Николай, директор технологического департамента «ЮНИКОР ФИНАНС»: «Компания Aladdin показала себя клиентоориентированной компанией, идущей навстречу своим заказчикам, и это сыграло значительную роль при выборе поставщика. Интеграция системы генерации одноразовых паролей на базе eToken PASS от Aladdin не создала для нас ни малейших проблем и в настоящее время полностью встроена в инфраструктуру ECASH».

«Система ECASH для физических лиц стала первой платежной системой, в которой в качестве средства защиты транзакций используется автономный генератор одноразовых паролей eToken PASS – комментирует Денис Калемберг, менеджер по работе с корпоративными заказчиками компании Aladdin. - В условиях постоянно растущего риска несанкционированного доступа к аутентификационным данным, предоставление возможности безопасного совершения транзакций для своих клиентов – это объективное требование сегодняшнего дня, и мы надеемся, что со временем обеспечение информационной безопасности станет обязательной превентивной мерой на рынке платежных систем».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Газпромбанк пожаловался на мощную DDoS-атаку

6 сентября на сервисы Газпромбанка натравили ботов. В результате DDoS-атаки пострадали сайт компании, кол-центр и смс-провайдер. ИБ-отдел Газпромбанка жалуется, что бизнесу в кибервойне не помогают силовики.

“Прошли те времена, когда модель угроз состояла из криминала, а целью была нажива. Теперь это политически подкованные группы с идеей что-то обрушить, сделать что-то плохое”, — этими словами начал свое выступление на Business Information Security Summit Александр Егоркин, первый вице-президент Газпромбанка.

Егоркин рассказал о масштабной DDoS-атаке, которой подверглись сервисы Газпромбанка 6 сентября. Хактивисты настроили тысячи ботов, которые одномоментно заполняли анкеты на сайте банка. Злоумышленники вбивали в форму данные из утечек интернет-провайдера, а тот автоматически рассылал сообщения по указанным номерам телефонов.

В итоге “упали” сайт и кол-центр Газпромбанка, а также сам смс-провайдер, рассказывает Егоркин.

“Надо отдать должное, атакующие серьезно готовились”, — оправдывается Егоркин. В тот же день атакам подвергся банк-клиент и сетевой экран Газпромбанка. По словам топ-менеджера, на восстановительные работы ушло примерно четыре часа.

Егоркин считает, что в сегодняшних сложных условиях кибервойны банки остаются один на один с хактивистами. Силовые структуры не уделяют должного внимания ни предотвращению, ни расследованию инцидентов.

Нас “дидосили” с российских, белорусских и китайских IP-адресов, добавляет ИБ-специалист. “Интернет-проксеры” и правоохранительные органы могли бы оперативно найти центр управления атаками и заблокировать сервер. Но этим никто не занимается.

“Каждый сам за себя в этом киберпространстве”, — сожалеет Егоркин.

Представитель Газпромбанка считает, что государство должно активнее помогать бизнесу в борьбе с атаками.

Уже на другой дискуссии, участников круглого стола “Ландшафт и стратегия ИБ голосами практиков” спросили, нужно ли государству больше вмешиваться в “разборки” больших бизнесов с киберпреступниками.

Крупные финансово-коммерческие организации должны сами оценивать свои риски, высказался Роман Морозов, руководитель Управления информационной безопасности Департамента безопасности, Capital Group.

Государство уже и так достаточно делает, добавили другие спикеры.

На рост атак жаловался и представитель коммерческого банка Кыргызстана.

Все мошенники, которые до этого терроризировали своими звонками российских пользователей, перешли на наших граждан, — уточнил начальник Службы ИБ Батырбек Абдрашитов. — В том числе потому, что официальный государственный язык в Кыргызстане — русский”.

Аферисты масштабировали свои сценарии на киргизских граждан.

После введения антироссийских санкций Кыргызстан стал плацдармом для поддержки “изъятых” в России банковских услуг, напоминает Абдрашитов. Риски при этом возросли.

“Нам было бы полезно и приятно принять участие в киберучениях вместе с российскими коллегами”, — добавляет Абдрашитов.

Есть вопросы у бизнеса и к импортозамещению, которое теперь принято называть “цифровой независимостью”.

В Газпромбанке больше половины систем уже импортозамещены, рассказывает Егоркин. Еще несколько десятков продуктов проходят тесты. По словам топ-менеджера, основные претензии к российским решениям — нагрузочные характеристики, слабая функциональность, сбои и “недружелюбный” интерфейс.

С такой оценкой согласен и Юрий Забавин, начальник отдела ИБ РусГазШельф:

“Многие российские решения, которые предлагают сейчас наши вендоры вместо ушедших, имеют костыли. Многие топовые решения ушли с рынка. Российские же не могут полноценно заменить. Интерфейс, нагрузочные характеристики не справляются, многое в стадии разработки. Мы ищем отечественные аналоги, которые бы нас удовлетворили. Но многие иностранные решения по деньгам были дешевле, чем наши. Сейчас я формирую бюджет. Пока не знаю, как буду защищать этот бюджет, если решения в 2022 году на такое же количество людей, стоят намного дороже, чем в 2021”.

Сдержанные эмоции вызвала у представителей бизнеса инициатива оборотных штрафов за утечки. На первой пленарной сессии BISS’22 регуляторы активно требовали большей ответственности для игроков.

По мнению вице-президента Газпромбанка, если банк внедрил все нужные ИБ-решения и соответствует требованиям, его не за что наказывать.

“Любая система уязвима, — считает Егоркин. — Тот, кто говорит, что можно построить неуязвимую систему, ничего не понимает в ИБ. Имея неограниченный денежный и временной ресурс, можно взломать любую систему”.

Кроме того, высокие оборотные штрафы могут спровоцировать шантажистов, считают участники дискуссии.

Оборотные штрафы за утечки — это философский вопрос, готового решения пока нет, заключили эксперты ИБ от бизнеса.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru