Комментарии 23
Например, криптографические средства шифрования персональных данных, передаваемых по открытым каналам, должны иметь сертификат
Сколько лет наблюдал раздуваемые щёки производителей подобного сертифитицированного софта, а потом читаю в новостях, как данные о пересечении границ за 11 лет доступны любому вшивому "пробивщику". Начинают закрадываться некоторые сомнения о пользе этой сертификации.
Так речь только о шифровании. Про незащищённые концы соединения, обмен ключами и хранилища речи не идёт. А крадут скорее всего именно там. Но да, требования безопасности бывают очень формальные, раздутые, требовательные к ресурсам. К сожалению, раздолбайство, некомпетентность или злой умысел конечного исполнителя бумажкой так просто не прикрыть.
все очень просто - инсайдеры и человеческий фактор.
как говорил мне один старый безопасник "с людьми надо работать".
но как конкретно надо работать с людьми - он не объяснял, а я и не интересовался.
А вот я работаю в личном кабинете Госуслуг со своими (и не только своими - например детей) персональными данными (обработка, как минимум создание, изменение). И где там СКЗИ (сертифицированное шифрование)?
То, что web-сертификат выписан отчечественным CA не значит, что там ГОСТ-шифрование. У меня в Linux не установлено СКЗИ КриптоПро/ViPNet/etc, а из коробки с ГОСТовым шифрованием он не может работать.
Или это другое? :)
На банковские ИТ-системы распространяется достаточно большой объем требований в области информационной безопасности
Далеко не полный списочек. Например, нет СТО БР, включая свежак СТО БР БФБО-1.5-2023
Если где то полный список с иерархией встретится - ссылочку дайте.
Когда вы, господа банковские безопасники, избавитесь от смс, как единственного фактора аутентификации (а он единственный, т.к. по коду из смс можно сбросить пароль) и внедрите уже норманую 2FA, где в качестве второго фактора будут TOTP и FIDO2 ключи, а пароль можно будет сбросить только при явке с паспортом в отделение банка?
А то как-то стрёмно, что доступ ео всем деньгам может быть ролучен "маринкой" из дагестанского аула.
Когда эта проблема станет угрозой безопасности для банка, а не для клиента.
А что вы на безопасников гоните, бизнес не хочет отказываться, для них все ваши модные TOTP это длинный UX и отказ от пенсионеров с кнопочными телефонами. Не у всех вход по SMS то есть, до сих пор логин и пароль однофакторные.
А кто должен объяснять бизнесу аспекты, связанные с безопасностью? Разве не его собственные специально нанятые безопасники?
Не у всех вход по SMS то есть, до сих пор логин и пароль однофакторные.
Это гораздо лучше. Логин и пароль у меня в голове или в защищенном хранилище. Его "маринка" не перевыпустит. А сим карта мне не принадлежит.
отказ от пенсионеров с кнопочными телефонами
На кнопочный телефон не установишь приложение банка, значит пенсионер пользуется интернет-банком с компьютера. На компьютер можно установить и TOTP и USB ключ в него тоже можно воткнуть. Странные у вас аргументы. однако.
А кто должен объяснять бизнесу аспекты, связанные с безопасностью?
В банках этим занимаются совсем другое подразделение зачастую, рисковики, так как риск перехвата SMS нереален либо не посчитать
Логин и пароль у меня в голове или в защищенном хранилище
Статистически средний возраст населения страны высокий, а таких как вы продвинутых из них очень маленький процент. Не мерьте всех на себя.
значит пенсионер пользуется интернет-банком с компьютера
Ну да и что, заставить такого пользователя еще и TOTP установить безопасно, куда?, или купить ФКН проще и дешевле? Затем банку же управлять ключевой системой или проверки генерации TOTP
так как риск перехвата SMS нереален либо не посчитать
Что тут нереального. Начиная с того, что внук может взять бабушкин телефон и заканчивая тем, что симку вашу перевыпустят, пока вы в походе по Алтаю или лежите в больнице.
Статистически средний возраст населения страны высокий, а таких как вы продвинутых из них очень маленький процент. Не мерьте всех на себя.
Запишут в блокнот бумажный. Это всё равно лучше смс, по которой любой мошенник ваш пароль сбросит. По крайней мере, раз уж вы в эти смс уперлись, должен быть полный и абсолютный запрет на сброс пароля по коду из смс. Иначе пароль, как фактор, просто исчезает.
Ну да и что, заставить такого пользователя
Не надо никого заставлять, дайте мне возможность использовать TOTP и ключи вместо смс и сделайте нормальную 2FA. Даже на госуслугах TOTP уже есть вместо смс, поэтому ваши аргументы не состоятельны.
что внук может взять бабушкин телефон
Что мешать ему взять ноут с TOTP или ФКН?? ????????
Вы издеваетесь? Это был ответ на замечание "риск перехвата SMS нереален". Хватит этой демагогии и постоянных попыток сменить тему.
Но ваши аргументы опять не состоятельны:
для чтения смс телефон у большинства пользователей разблокировать не требуется. Даже если телефон разблокирован, TOTP приложение защищено отдельным пин-кодом или биометрией
по коду TOTP или ключу залогиниться невозможно и пароль сбросить невозможно, в отличие от кода из смс
TOTP или ключ не сможет перевыпустить "маринка" из горного аула
Согласен завершаем, банку это обойдется в десятки если не сотни лямов сходу и десяток/два в год на поддержан е и развитие
О, опять смена темы. Значит, по поводу всего вышенаписанного возражений теперь у вас нет? Конечно, запрет смены пароля по смс, это сотни лямов с ходу, даже лярдов, ага.
Так я вернул к первому моему комменту. Вы, видимо, не покупали фидо2 миллионами штук, не сопровождали их, не тратили деньги фронта на инструктирование клиентов. Вам только кажется, внедрил и забыл. С тем же тотп не сопровождали их, не теряли доступ к банку когда сервак с тотп падает и т.п.
Как страшно жить. Весь мир как-то справляется, paypal справился, даже госуслуги справились. А лучшая в мире банковская система (нет) справиться никак не может, у них лапки. Ясно, понятно.
Только вот главная задача банка с моей, как клиента, точки зрения - обеспечивать безопасность моих денег. И если бенк на это забивает, а его работник пишет какие-то детские отмазки, это плохой банк.
У них куда больше затрат из-за Банка России, когда им каждое очередное неожиданное Указание требует интеграции с очередным сервисом за пол года, внедрение бесполезной ЕБС, оправославливание всего софта и т.д. За внедрение отвечает бизнес, если бы это приносило денег, уже давно внедрили бы.
За внедрение отвечает бизнес, если бы это приносило денег, уже давно внедрили бы.
Безопасность не должна приносить денег, она должна быть обеспечена на хорошем уровне по умолчанию. Когда в банке, де-факто, отсутствует даже 2FA, это не безопасность, это фикция. Это шарага, а не банк, даже если у него в приложении сторисы и прочие свистоперделки. За безопасностью должен следить регулятор, но там тоже чем-то другим заняты. Все их инновации направлены не на безопасность клиентов банков и их денег, а на доп контроль, сбор биометрии и установку анальных зондов.
А больше всего меня поражает, что вы, судя по всему, работник банка, всю эту дичь защищаете.
То есть шарогой вы назвали все банки просто потому, что у них нет тотп как в банках Гондураса?
Сбор биометрии повторюсь не прихоть банков, а Банка России. Не путайте.
Про безопасность почитайте про сложность и стоимость реализации хотя бы ГОСТ 57580, одно только это обходится в бесчисленные суммы.
И про статистику по снижению мошенничества почитайте на сайте Банка Росси за лет 10.
Я не работаю в банке, но работал в финтехе и ни один банк не желал даже за свой счет реализовать тотп в своем банке, чтобы он появился сразу в 100 банках. Банк это про прибыль в первую очередь как и в любой коммерческой компании.
То есть шарогой вы назвали все банки
Не все, а те, которые плюют на безопасность.
потому, что у них нет тотп как в банках Гондураса?
Нет, потому что они плюют на безопасность. Вам правда нравится занималься демагогией? У вас плохо получается.
Сбор биометрии повторюсь не прихоть банков, а Банка России. Не путайте.
Попробуйте начать читать, что вам пишет оппонент. Про биометрию претензия была к регулятору.
Про безопасность почитайте про сложность
Мне наплевать на то, как вам тяжело. Также, как вам наплевать, насколько я тяжело трудился, чтобы заработать деньги, на безопасность которых банк положил болт.
Банк это про прибыль в первую очередь как и в любой коммерческой компании.
Поэтому существует регулятор, который должен ставить банки раком, чтобы они не относились к безопасности наплевательски. Но он занят чем-то другим. А мы ходим по кругу, что мне уже надоело, если честно.
Как требования в банках к ИБ усложняют архитектуру прикладных сервисов: кейс внедрения ВКС