Comments 66
ИМХО лояльность сотрудника это лучшая защита в таких случаях.
Другой вопрос как ее добиться, но я на своем опыте знаю что так вполне можно выстраивать отношения.
Другой вопрос как ее добиться, но я на своем опыте знаю что так вполне можно выстраивать отношения.
UFO just landed and posted this here
Очень верный комментарий.
Возможно для огромных компаний имеет смысл более глубокая фрагментация чтобы получить требуемый эффект.
Возможно для огромных компаний имеет смысл более глубокая фрагментация чтобы получить требуемый эффект.
Лояльность звучит хорошо, но имхо, в банках ей вообще пахнуть не может. Лояльность требует того, чтобы работодатель что-то предлагал в ответ. Имхо, опять же, банкам наплевать на сотрудников настолько, что как только он перестаёт быть нужным, от него пытаются максимально дёшево избавиться. Когда банки из-за разных причин вышвыривают сотрудников на улицу (иногда со словами «У нас в банке нет сокращения, просто увольняйтесь»), адекватный человек не будет верить в сказки про командный дух, ответственность и лояльность. Он просто будет пытаться получить максимум в рамках своих возможностей и моральных границ.
Крупные банки ввели для сотрудников прямые запреты на фотографирование экранов компьютеров с помощью личных мобильных телефонов, пишет РБК.
Угу, а давайте еще запретим убийцам — убивать и насильникам — насиловать, а так уже запретили в УК, но чего-то убивают и насилуют…
что сотрудников, уличённых в этом, немедленно увольняют
неважно, данные уже ушли кому надо
полный запрет проносить личные мобильные телефоны на рабочее место
полумеры, пускай вкладываются в технологии удаления воспоминаний
Нет, ну серьезно. Сначала для открытия счета начали требовать как можно больше личных данных, потом стали нанимать на работу студентов за копейки и давать им доступ к пользовательской базе, а теперь заплакали.
А страдают в итоге конечные вкладчики, кто-то по своей воле (ССЗБ) открывшие счет, а кто-то по принуждению (зарплатные карты) работодателя.
Альтернатива — разрешить убийцам убивать и насильникам насиловать? А кто не отбился сам дурак, ведь по закону «не запрещено»? Да и в Apple (к примеру) нанимают исключительно студентов, что так и норовят сфотографировать новинки? И совсем никаких происков конкурентов или мошенников?
Пока человек ходит на работу «за деньги», исключить возможность продажи информации можно только под угрозой затрат, больших чем вероятная прибыль.
Пока человек ходит на работу «за деньги», исключить возможность продажи информации можно только под угрозой затрат, больших чем вероятная прибыль.
Альтернатива (в контексте банков) — не спрашивать личные данные при открытие счета. Но я прекрасно понимаю, что такого никогда не случится (привет силовым структурам, налоговой и пр.). Так что не использовать банковские карты, что тоже с каждым годом делать все сложнее (привет зарплатные проекты).
Всего лишь старательно подтягиваются до уровня «развитого капитализма», когда на крупную сумму наличности начинают косо смотреть в любом приличном магазине.
Имея деньги, легко потратить часть на грамотного бухгалтера/юриста и провести их выгодным маршрутом, а простому работнику лишь выбирать дизайношейника кредитной карты.
Имея деньги, легко потратить часть на грамотного бухгалтера/юриста и провести их выгодным маршрутом, а простому работнику лишь выбирать дизайн
Альтернатива (в контексте банков) — не спрашивать личные данные при открытие счета. Но я прекрасно понимаю, что такого никогда не случится (привет силовым структурам, налоговой и пр.).
А причём тут силовые структуры, налоговые и пр.?
Как в вашей картине мира без личных данных при открытии счёта и любых банковских операций сами банки будут производить идентификацию клиента?
Вот пришел человек в банк, никак себя не идентифицировал, личные данные не записывались — открыли счёт 123.
Пришёл завтра другой человек, сказал, что хочет снять деньги с счёта 123 и как вы убедитесь, что это именно тот же человек(или его доверенное лицо), который вчера открыл счёт?
С помощью криптографической подписи, например. Всё, что нужно знать обо мне — мой pubkey, который и так лежит в открытом виде в куче мест. Тогда, кстати, и с доверенными лицами очень просто — для каждого счета создаем новый keypair, приватный ключ оставляем себе и доверенным лицам, pubkey — банку.
Неплохой вариант, на самом деле.
Однако, сразу ряд проблем с использованием исключительно подобной подписи.
Как-то не особо безопасненько и доступно. В будущем этот вариант может сработать, согласен — можно много что придумать для устранения как минимум этих минусов. Но в текущей ситуации — одной ЭЦП мало для подобных операций. Как минимум, связка эцп + фотография и второй вариант для работы без ЭЦП.
Однако, сразу ряд проблем с использованием исключительно подобной подписи.
- Во-первых, подобная подпись электронная. Иными словами, если у человека нет доступа к технологиям(не важно по какой причине) — он не сможет её получить и соответственно лишится возможности открывать счета и пользоваться банковскими услугами
- Во-вторых, заполучив секретную часть ключа — можно сказать, что мы украли личность и имеем беспрепятственный доступ к любым банковским услугам от лица другого человека. Могу ошибаться, но в текущем формате ЭЦП хранится в флешках и соотвественно достаточно украть эту самую флешку и все документы, подписанные этой подписью скомпроментированы. Это так же относится к утере носителя с ЭЦП.
Как-то не особо безопасненько и доступно. В будущем этот вариант может сработать, согласен — можно много что придумать для устранения как минимум этих минусов. Но в текущей ситуации — одной ЭЦП мало для подобных операций. Как минимум, связка эцп + фотография и второй вариант для работы без ЭЦП.
Совсем не обязательно на флешке хранить такую подпись. Её можно хранить, например, на достаточно доверенном телефоне (и подписывание осуществлять с помощью, скажем, NFC). При этом сам приватный ключ должен быть зашифрован с помощью passphrase. Тогда даже если кто-то украдет телефон, ему придется вскрыть защиту (телефона) и подобрать passphrase. Это уже гораздо дольше и сложнее.
Согласен, можно защитить конкретно ключ. Ещё можно ЭЦП хранить в импланте на руке с тем же NFC, к примеру. Но это для будущего, а не настоящего.
А в настоящем эта защита секретного ключа ложится на плечи клиента, для которого это лишние заморочки и большинство не будет этим запариваться. В итоге у большинства ключи будут защищены… никак. И из-за этого делать ЭЦП единственной точкой идентификации будет некорректно. Удобно, спору нет, но невозможно в текущих реалиях.
А в настоящем эта защита секретного ключа ложится на плечи клиента, для которого это лишние заморочки и большинство не будет этим запариваться. В итоге у большинства ключи будут защищены… никак. И из-за этого делать ЭЦП единственной точкой идентификации будет некорректно. Удобно, спору нет, но невозможно в текущих реалиях.
огда даже если кто-то украдет телефон, ему придется вскрыть защиту (телефона) и подобрать passphrase
это ерунда по сравнению с тем как вы будете возвращать себе доступ к своим деньгам
p.s. только не надо про копии ключей, тут не все админы бекапы делают, куда уж про простых людей говорить
А страдают в итоге конечные вкладчики, кто-то по своей воле (ССЗБ) открывшие счет
Странный комментарий. А где вы предлагаете хранить деньги?
Дома в банке? В крипте? Инвестировать?
неважно, данные уже ушли кому надо
Еще как важно, коллеги сотрудника пять раз подумают, прежде чем будут делать тоже самое
Эксперты считают, что это довольно логичная и правильная мера.
С такими «экспертами» становится понятно, почему вся кибербезопасность в жопе.
Ну, эксперты здесь вполне правы, кстати.
Других мер ИБ эта мера не отменяет, а лишь дополняет, причём ничего нового в ней нет — я и сам работал в организации, где был запрет на пронос любой фото/видеотехники в определённых зонах. Обыскивать, конечно, не обыскивали, но если кто-то попадался, то масса неприятных последствий была гарантирована. Лично у меня был телефон без камеры :)
Других мер ИБ эта мера не отменяет, а лишь дополняет, причём ничего нового в ней нет — я и сам работал в организации, где был запрет на пронос любой фото/видеотехники в определённых зонах. Обыскивать, конечно, не обыскивали, но если кто-то попадался, то масса неприятных последствий была гарантирована. Лично у меня был телефон без камеры :)
Эта мера — т.н. «театр безопасности».
В ней ровно столько же смысла, сколько в «ежемесячной смене пароля». Только по поводу второго у людей уже в голове что-то начинает проясняться (и то, ДЕСЯТКИ ЛЕТ для этого понадобились), а по поводу первой всё ещё глухо, как в танке.
В ней ровно столько же смысла, сколько в «ежемесячной смене пароля». Только по поводу второго у людей уже в голове что-то начинает проясняться (и то, ДЕСЯТКИ ЛЕТ для этого понадобились), а по поводу первой всё ещё глухо, как в танке.
Спорно.
Как по мне, это одна из мер трудовой дисциплины в области ИБ. «Данные компании не должны покидать устройств компании». Она напоминает о правильном отношении и ответственности за утечки.
И в отличие от требований менять пароль раз в месяц, она неудобств сотрудникам не доставляет.
Но не панацея, да.
Как по мне, это одна из мер трудовой дисциплины в области ИБ. «Данные компании не должны покидать устройств компании». Она напоминает о правильном отношении и ответственности за утечки.
И в отличие от требований менять пароль раз в месяц, она неудобств сотрудникам не доставляет.
Но не панацея, да.
«Эксперты» вообще шикарны. Очень похожий список банков отличался тем, что сливал (или все ещё сливает, кто знает) данные о балансах и операциях клиентов через IVR меню и Call-центры, а сейчас они говорят, что пытаются бороться с утечками.
Сразу вспоминаю как ипотеку оформляли. Нужно скинуть пакет документов (скан), но у них корпоративная почта не принимает «такой объем информации» (из 6 банков 1 принял), остальным менеджерам тупо кидали на личные почты/вайберы и т.п. чтобы не ездить в банк не отдавать то же самое. Не говорю, что так правильно, просто так было :(
К сожалению, это пока часто встречается.
Я вот клиент одного крупного банка. Несколько лет назад мне потребовалась выписка, но у них что-то в системе повисло. Милая девушка-оператор спросила, может ли она отправить мне выписку на почту после того как проблему решат? Я согласился.
Через час получил выписку со своего счёта в PDF. С её личной (на мейл.ру) почты :)
Я вот клиент одного крупного банка. Несколько лет назад мне потребовалась выписка, но у них что-то в системе повисло. Милая девушка-оператор спросила, может ли она отправить мне выписку на почту после того как проблему решат? Я согласился.
Через час получил выписку со своего счёта в PDF. С её личной (на мейл.ру) почты :)
Такие меры умиляют на фоне существования отделений банков, где мониторы с рабочих мест смотрят в сторону окон (пример Сбербанка, просматриваемые окна в левой части здания, на фото видны частично прикрытые плакатами справа). О да, усилили безопасность, конечно.
Косательно утечки данных из банка не забывайте, что ряд банков при открытии вкладов стал требовать биометрические данные (пока на законодательном уровне это добровольно, но кто знает что будет дальше).
>>DLP (Data Leak Prevention). Они отслеживают любые внешние и внутренние коммуникации сотрудников: почта, мессенджеры, мобильная связь и т д
Тут что, признались в прослушивании мобильных ???
Тут что, признались в прослушивании мобильных ???
Если телефон по Wi-Fi подключился к корпоративной сети, то да, через DLP.
Некоторые для отслеживания 3G требуют установить специальный модуль на телефон сотрудника, например InfoWatch Device Monitor.
Некоторые для отслеживания 3G требуют установить специальный модуль на телефон сотрудника, например InfoWatch Device Monitor.
Модуль на телефон? А как же фемтосоты? habr.com/ru/post/393959
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Дороже. Дольше. Менее надёжно — на бумажке можно данные из головы написать и это не сложнее, чем с экрана, а достоверно подделать фото с монитора — уже стараться надо.
Запрет в общем случае — так себе защита, но возможность слива данных в пару нажатий в компаниях, где доступ к критичной информации есть в т.ч. у рядовых сотрудников — штука довольно стрёмная. Красивых путей решения проблемы не вижу.
Запрет в общем случае — так себе защита, но возможность слива данных в пару нажатий в компаниях, где доступ к критичной информации есть в т.ч. у рядовых сотрудников — штука довольно стрёмная. Красивых путей решения проблемы не вижу.
Мне не понятно почему информационная система позволяет открыть данные кого попало, какой нахер пробив просто по желанию оператора? Система должна давать доступ только после идентификации клиента и обязательно по одноразовым токенам.
Правильно, раздать все клиентам токены с ключами и пока он токен не приложил — доступ не открывать.
В любой нормальной АБС есть аудит по обращениям к счетам/клиентам, если этот аудит нормально настроен банку ничего не стоит узнать кто и когда получал данные по клиенту. Если случился слив, всегда можно узнать кто и когда что-либо смотрел. Службе информационной безопасности банка достаточно заказать данные по клиенту на подобном форуме и поймать оператора с поличным. Но вот что-то мешает безопасникам это сделать.
Службе информационной безопасности банка достаточно заказать данные по клиенту на подобном форуме и поймать оператора с поличным.Довольно интересны юридические последствия этого. А то было бы забавно посмотреть, как безопасник отправляется в камеру через коридор от того, кого так поймали, мало ли как это можно повернуть.
Call-центр представляете? Или вот тётеньку-операционистку, к которой клиент якобы «сам пришёл», ногами. Как за ними всеми следить?
Хотя конечно ограничивать доступ кому попало — нужно. И логировать тотально — тоже.
Хотя конечно ограничивать доступ кому попало — нужно. И логировать тотально — тоже.
В call-центрах все звонки записываются, и обычно доступ к банковским данным через некую оболочку, технически можно реализовать доступ к данным только во время звонка, сравнивать номер входящего телефона с телефоном клиента в базе (при несовпадении вешать флаг для дополнительной проверки). При приходе ногами клиент тоже «авторизуется» показывая паспорт, можно поставить сканеры паспортов (как в аэропортах) и давать доступ к данным клиентам только после скана паспорта. Можно много всего придумать, но банкам проще и дешевле придумать идиотские запреты для работников, которые легко обойти.
Ну ок, есть вторая-третья линия, которая контролирует первую. Сколько в Сбере старших смен и эникеев на местах?
Я не защищаю банки, у них всё так. Тупо запрещать и не пущать, по крайней мере без бумажки. Если они к клиентам так относятся, то было бы странно видеть иное отношение к сотрудникам.
Я не защищаю банки, у них всё так. Тупо запрещать и не пущать, по крайней мере без бумажки. Если они к клиентам так относятся, то было бы странно видеть иное отношение к сотрудникам.
но банкам проще и дешевле придумать идиотские запреты для работников, которые легко обойти.
а вы не забывайте что в банке есть очень много офисных сотрудников которые не обслуживают клиентов но имеют доступ к базе
Например сотрудники ИТ отдела, админы, dba и т.п.(а если вспомнить что есть тестовые базы данных для разработчиков, которые по регламенту должны быть обезличены… но вопрос… всегда ли это так?.. лучше не буду отвечать на этот вопрос сам...) Потом сотрудники всяких отделов статистики, претензионщики, бухгалтерии (банковской),… можно много перечислять, скажем так что операторы лишь небольшая часть которая имеет туда доступ
UFO just landed and posted this here
UFO just landed and posted this here
сотрудникам запретили фотографировать экраныНу, как бы, езда по встречке тоже запрещена. Как и убийство человеков. Что-то это мало какого злоумышленника останавливает.
А до этого то есть можно было? :)
У меня есть лучше идея, выдавать сотрудникам специальные телефоны во время работы без камер (и возможно без микрофонов, правда это будет мешать разговаривать). И никакой проблемы не будет, никаких ущемлений прав. Да, придется раскошелиться, но мы говорим же о банках…
А как запрет на личную болтологию в рабочее время влияет на неприкосновенность частной жизни?
А еще можно показательно наказать банки, сливших данные клиентов (приостановка лицензии, отзыв лицензии), и другие банки сами быстро придумают необходимые меры для защиты от слива. Было бы желание у власть имущих…
Например, в корейском Samsung камеры на телефоне заклеиваются спец-наклейками, целостность которых на выходе проверяют. Если _очень_ надо, то можно считерить, но все равно риск спалиться будет. Не самая плохая мера.
Выглядит как дешевый костыль.
Адекватным решением был бы запрет доступа на уровне систем хранения данных, с этим пробив резко бы потерял ценность, а массовый слив обрабатываемых в текущий момент коррумпированным оператором — малоценным в силу объема и легко обнаружимым по даже нескольким записям.
Конечно, из-за багов в софте качество обслуживания может упасть, зато безопасность и условия работы честных сотрудников станут нормальным в этой части
выписка по карте, кодовое слово
Сотрудник колл центра не имеет доступа к кодовому слову.
Опять не там копают похоже.
надо иметь на экране поляризационный фильтр, где изображение видно только в специальных активных поляризационный очках, действие которых прекращается при сьеме с головы.
Есть же специальные решения для таких случаев, Printer Guard тот же или DRM-сервисы.
Sign up to leave a comment.
В крупных банках сотрудникам запретили фотографировать экраны компьютеров