Обновить
4K+
86

ИБ / IT / AI

289
Подписчики
Отправить сообщение
Если сильно упростить, то SWIFT — это транспорт передачи платежных документов между банками. Он привычен и удобен всем банкам во всем мире, как обычная электронная почта. Но даже если страну отключат от SWIFT (банковской электронной почты), то все равно у ее банков есть и другие, правда менее удобные механизмы управления своими корр. счетами, открытыми в банка в других странах.
Важно что-бы кредиты обеспечивались банковскими резервами, как раз теми, что лежат на счете ЦБ, в количестве 1 к 10, если я не ошибаюсь.

Суть резервирования в следующем.
Банк, условно, имеет 1 млрд. рублей капитала, по нормам ЦБ он может привлечь не больше 10 млрд. рублей депозитов. Если 2 млрд. капитал, то 20 млрд. депозитов и т.д.

ЦБ следит чтобы банки не падали и для этого он установил (Положение 254-П) нормы резервирования на возможные потери. Суть этих норм в следующем. Предположим банк выдал кредит. Проходит время и клиент перестает его возвращать. Риск того, что он его не вернет увеличивается с каждым днем просрочки и чем больше риск, тем больше должен быть резерв, зачастую достигая 100% от суммы кредита по «плохим» кредитам. Резервирование нужно чтобы банки не раздавали кредиты «направо-налево» с учетом того, что кредитные деньги, это деньги вкладчиков.

Касательно мирового единого центра не скажу, но в России все деньги в итоге лежат ЦБ. Смотрите, у вас есть платежная карта, деньги с которой лежат в банке-эмитенте. Свободные деньги банка-эмитента лежат на корр. счете в ЦБ. Наличные из касс банков, кроме разрешенного лимита, ежедневно передаются в ЦБ.
Да, так и есть. Но тарифицируется именно каждая транзакция.
При обналичке комиссия взымаеться банком экваером (то есть банком в чьем банкомате происходит операция) у банка эмитетнта (того, кто выпустил карту). Это правила международных платежных систем MasterCard / VISA.

Содержание собственной сети банкоматов довольно дорого удовольствие, но в то же время для клиентов очень критично снимать нал. без комиссии. Поэтому некоторые банки для лояльности клиентов компенсируют клиентам комиссию за снятие в чужом банкомате. Комиссии взымаются с операции и чем больше операций тем больше комиссий. Поэтому и делают ограничение в 3000 р.
Надеемся, что в 2018 году мы исправим эту расклад в пользу WYSIWYG-редактора, на который у нас большие планы.


Очень нужная вещь. Сейчас перевод из Word в Habr-статью очень длительный и крайне неудобный.

К функционалу редактора и верстки хотелось бы также:
1. Возможность выделять ячейки таблиц цветов.
2. Возможность сохранить написанную статью в PDF/RTF или другом формате.
Да, это так, АРМ КБР-Н как раз должен это поправить.
Но надо смотреть на всю картину в целом, а не только на КБР.
По Альбому УЭФБС применение ЗК для банков не обязательно, применяют только КА.

По-моему, ЗК на сообщение и шифрование уже сейчас, со старым АРМ, могут быть сделаны на разных ключах. Только пока это по желанию банка.

Да, могут.

По-моему, ЦБ при переходе на АРМ КБР-Н будет обязывать использовать раздельные ключи, АРМ КБР-Н уже предварительно проверяет верность ЗК в сообщениях, полученных от АБС.

Пока таких требований не видел.

В общем, платежная система Банка России довольно неплохо защищена, если грамотно применять защитные меры. Другое дело в том, что банки не всегда это делают, и как мне кажется основная причина в том, что до конца не осознают системность проблемы.

Данное исследование и было предпринято, как раз что бы и банки и ЦБ смогли в комплексе увидеть все нюансы безопасности.
Если грамотно строить безопасность проблем не будет вообще.
Безопасность платежей на 99% обеспечивается применением шифрования и ЭП.

То и другое может быть вскрыто, как путем похищения закрытых ключей, так и вмешательством в работу в самого СКЗИ.

Соответственно, применение второго СКЗИ, добавляет место откуда могут быть похищены ключи или на которое может быть оказано вредоносное воздействие.

Если оба СКЗИ работают на разных ключах, и оба выполняют и шифрование и ЭП (эшелонированная защита), то подобных проблем не будет.

В случае применения АРМ КБР-Н, такого нет. ЭП подпись выполняется на стороне АБС, а шифрование выполняется на стороне АРМ КБР-Н.

Более чем уверен, что будут банки которые это будут делать на базе одних и тех же ключей.
СКЗИ — одно из наиболее критичных с точки зрения атаки мест. Появление второго СКЗИ, создает дополнительное критичное место.
Да, есть.
Но с *nix тема в том, что СКЗИ может не подойти именно под ваш *nix.
Многие АБС построены на базе СУБД, работающей под ОС *nix семейства. Далеко не факт, что технически будет возможно установить на сервер АБС СКАД Сигнатуру, а с учетом того, что в больших АБС серверов значительно больше 1, то идея установки «СКЗИ на АБС» превращается в сложно реализуемую.

Таким образом в большинстве случаев криптография будет реализовываться внешним отношению к АБС модулем. В данном исследовании мы их называем модуль интеграции АБС-АРМ КБР. То есть то, о чем вы и сказали — «кроилово».

В данном случае незащищенный канал АБС-АРМ КБР, может поменяется на незащищенный канал АБС-модуль интеграции АБС-КБР. Плюс к этому появятся дополнительные угрозы свалянные с еще одним СКЗИ. Если раньше оно было только одно на АРМ КБР, то теперь их будет 2: АРМ КБР-Н и модуль интеграции АБС-АРМ КБР.

Конечно можно сделать все и по уму — защищая канал АБС-модуль интеграции АБС-АРМ-КБР. Все будет зависеть от конкретной реализации.
Угрозы ИБ будут рассмотрены в следующих частях. Забегая вперед можно сказать что АРМ КБР-Н увеличит безопасность только при ОЧЕНЬ качественной реализации функций подписи в модулях интеграции АБС. Если все будет как обычно, то станет только хуже.
В целом мы говорим об одном и том же. То что вы называете «деловым общением с клиентом», я в статье называю «договоренностью» или «согласием клиента на возврат платежа».
Следите за следующими публикациями, в них будет рассказано, как с помощью этого «глупого» вектора из «мегазащищенных» объектов уходят сотни миллионов рублей.

Если было бы все так хорошо, то Банк России не стал бы выпускать 552-П, но об этом в следующих сериях.
Выписка — юридически значимый документ, который может быть представлен, как в бумажном, так и электронном виде. Бумажные выписки ЦБ не отменял, а разрешил предоставлять должным образом заверенные (ЭП или АСП) выписки в виде электронных документов.

Если у клиента на руках есть выписка в виде электронного документа заверенного усиленной электронной подписью (банк не сможет изменить содержащуюся в ней инфу, в отличии от выписки в виде заверенной АСП), и в котором указано что ему на счет поступил платеж, то банк «откатить» платеж может только по согласованию с клиентом. В противном случае любой суд встанет на сторону клиента. Хотя конечно есть нюанс связанный с ошибочными платежами и требованиями ГК РФ по возврату «необоснованного обогащения».

При «межбанке», в какой-то мере даже проще, если банк-отправитель быстро очухался то платеж может быть завешен на «не выясненные» и с минимальными издержками возвращен отправителю.

А то, что банки гоняют платежи «туды-сюды», так и некоторые из них и вклады только в тетрадку записывали. Это вовсе не говорит о том, что они действуют в рамках правового поля.
Согласен с вами на 100%, но угрозы связанные с кредитованием, все таки это отдельная песня. Если будут желающие можно расписать и о них, но текущая наша цель — безопасность платежей в общем случае и АРМ КБР в частности.
Описание безналичных расчетов приведенное в посте максимально упрощено. Для того, чтобы дать полное описание того, как есть на самом деле, пришлось бы несколько Положений Банка России сюда впихнуть, что было бы крайне сложным для восприятия.

Основная цель этой части дать базовые понятия, чтобы было понятно дальнейшее описание функционирования безналичных платежей, информационной инфраструктуры, угроз и атак с ними связанных.

Информация

В рейтинге
Не участвует
Откуда
Москва, Москва и Московская обл., Россия
Зарегистрирован
Активность

Специализация

Директор по информационным технологиям, Руководитель ИБ (CISO)
Ведущий
Защита информации
Информационная безопасность
Сетевая безопасность
Криптография
Форензика
IDS
Firewall
Администрирование сетей
Виртуализация
Системное администрирование