Подпишитесь на еженедельную рассылку
Эл. почта



Как обезопасить свой трафик от злоумышленников

30 декабря 2019

Система IT-безопасности для финтех-сервисов должна быть совершенной и бескомпромиссной, ведь речь не просто о защите трафика, но и о сохранности личных и финансовых данных клиентов. Об основных методах защиты трафика и данных рассказал Сергей Кравченко, начальник отдела IT-безопасности британской финтех-платформы Bilderlings.

Три основных инструмента IT-безопасности, которые мы должны обеспечить — это надежное шифрование данных, двухфакторная аутентификация и систему контроля.

Шифрование

Если мы оказываем услуги через интернет-сайт, клиент использует браузер, то мы должны обеспечить надёжное шифрование данной сессии. Как один из факторов — мы приобретаем сертификат, устанавливаем его на сервер и когда клиент соединяется с нашей финансовой платформой, происходит обмен ключами между браузером клиента и нашим сервером и устанавливается шифрованное соединение. Для обеспечения надежного шифрования используются строгие стандарты — это длина ключа, алгоритм шифрования и т.д. Данные стандарты знающим людям давно известны, такие как NIST, требования PCI DSS и т.д. Сертификат — это одна из гарантий того, что клиент, когда заходит на финансовую платформу компании, попадает именно на тот ресурс, который предоставляет эта компания.

Но здесь часть ответственности лежит на самих пользователях: заходя на страницу сервиса, проверяйте сертификат — является ли он валидным, есть ли он, выдан ли он именно этой организации и не закончился ли у него срок.

Недействительный сертификат может свидетельствовать о двух вещах. Либо у компании проблемы с администрированием, и они забывают обновить сертификат (а хотите ли вы доверять свои деньги тем, кто не справляется со своими ресурсами?). Либо это хакеры или хак-активисты копируют оригинальный сайт один в один и выдают себя за настоящего поставщика услуг. Клиент, ничего не подозревая, заходит туда, вводит свои данные, логин-пароль, и злоумышленники получают доступ к его данным. Чтобы избежать таких сценариев, мы предлагаем двухфакторную аутентификацию.

Как пример, вот два названия поставщика услуг — найдите разницу: bilderlings.com и biIderIings.com. Кто увидит , что я заменил во втором названии маленькую “л” ( “l” ) на большую “И” (“I”)? Ведь визуально они одинаковы, но для покупки домена и сертификата — это совсем разные названия. Будьте внимательны!

Двухфакторная аутентификация

Европейская регула PSD2 форсировала появление двухфакторных технологий. Так, согласно закону, любая организация, оказывающая финансовые услуги, обязана использовать два фактора при допуске клиента в систему. И каждое действие, каждая транзакция должна быть подписана с помощью двух факторов.

Идея проста. Есть три параметра (фактора):

  • то, что человек знает (например, пароль, ПИН код);
  • то, что человек имеет (например, мобильное устройство, токен, карточка);
  • и биометрические данные человека.

Двухфакторная аутентификация требует использование двух различных параметров из этих трех. Поэтому, чтобы зайти в нашу систему, недостаточно ввести логин-пароль, надо еще подтвердить вход через телефон с помощью мобильного приложения.

Требования PSD2 защищают не только клиента, но и компанию: мы можем быть уверены, что зашел клиент, а не мошенник. Два фактора значительно снижают риск мошеннических действий. Это важно и для самой организации: это способ застраховать себя от потенциальных споров с клиентом. Если при двухфакторной аутентификации клиент утверждает, что не совершал платеж, то закон будет на стороне компании — скорее всего, клиент неблагонадежный и передал свои средства аутентификации третьему лицу.

Облачные сервисы и инструменты контроля

Мы используем Google-сервисы — G-Suite и Google Cloud. G-Suite — это предоставление сервисов нашим сотрудникам: gmail, G-Drive, календарь, конференц-звонки, а также системы для предотвращения утечки данных (DLP - Data Leakage Prevention). У них очень богатый набор инструментов контроля. Они сообщают обо всех подозрительных действиях, атаках или фишинговых мейлах. Как пример, мы получили несколько писем на рабочую почту, в которых содержался линк с вредоносным кодом. Google Anti-Malware сервис тотчас же прислал оповещение офицеру по IT-безопасности, что на такой-то имейл-адрес были отправлены письма, содержащие линк на вредоносный код. Также инструменты Google позволяют зафиксировать данный инцидент и провести расследование. Как мера предотвращения, данные электронные письма тут же удаляются из входящих и тем самым мы защищаем свою инфраструктуру.

С помощью инструментов безопасности Google мы контролируем бизнес-процессы и документооборот, а также аномальное поведение с рабочих станций сотрудников. Например, мы видим, как часто человек обращается к той или иной информации, от этого выстраивается своего рода механизм поведения. Скажем, сотрудник за день получает доступ к сотне документов. И если он вдруг начнет получать доступ к тысяче документов, сервис нам тут же сообщит: внимание, аномальное поведение, проверьте. Конечно, может, сотрудник получил кипу документов, которые ему срочно нужно обработать. Но может, это вредоносный код, который пытается все эти данные скачать или зашифровать.

Google G- Suite предлагает отличный контроль за рабочей почтой сотрудника и доступ к документам “shared”, независимо от того, каким он устройством пользуется, и при этом соблюдать требования GDPR (европейский регламент по защите персональных данных). Эти сервисы защищают рабочую информацию сотрудника и не нарушают его приватность как индивидуума.

Нам это очень помогает при прохождении аудита безопасности PCI DSS. Согласно требованию стандарта PCI DSS, мы должны предотвратить отправку полных номеров карт клиента (чтобы никто из сотрудников не мог скопировать карточные данные клиента и переслать). Google DLP блокирует письмо, даже если в нем содержится просто один номер карты, чего не скажешь про системы Microsoft. Более того: мы пробовали сфотографировать карту и отправить ее как картинку письмом, и Google DLP распознал на изображении финансовую информацию и остановил отправку письма как с компьютера, так и со смартфона. Любая информация, похожая на персональные или финансовые данные, будет распознана. И попытки скопировать и передать третьим лицам данную информацию будут замечены и остановлены.

Для наших систем мы используем Google Cloud. До этого мы использовали Microsoft Azure, но на наш взгляде Google представляется более безопасным и более функциональным (например, богатый набор управления через API).

К методам контроля безопасности данных можно отнести также использование VPN, если кому-то из сотрудников понадобился удаленный доступ.

Комментарии

Пока нет ни одного сообщения

Добавление сообщения

наверх