Как власть имущие хотят знать знать сколько денег у Васи Пупкина на счету и что но вчера купил. А вот сколько денег у чиновничьего ворья в Швейцарии или других офшорах, гостайна. Следующий логический шаг этой инициативы — запрет наличных денег.
Интересные высказывания у этих вроде бы экспертов: произвольная смесь из дельных и совершенно идиотских мер.
Тот же модный PCI DSS, он в своей-то области приносит в основном гемморой и не решает задач собственно безопасности, а уж применить его к другой области, вообще каша получится.
Про мониторинг фишинговых сайтов и скомпрометированных учетных записей тоже смешно. Простой вопрос: как вы определите по-настоящему опасные случаи компрометации, а не когда пользователь просто потерял бумажку с паролем? Эти случаи обнаруживаются аккурат после злоумышленного использования скомпрометированного пароля, а там уже мониторить поздно, отслеживание источников входа как-то слабо помогает при современном количестве различных каналов связи.
В чем заключается геморрой? Все достаточно конкретно, а требования элементарны.
По статье — пиар Groop-IB с их продуктом мониторинга мошеннических сайтов и бот-нет сетей.
Проблема не в банках и их банк-клиентах. Проблема в пользователях дистанционных банковских услуг. Если для доступа к моему счету надо ввести пароль, подключить токен и получить подтверждающую СМСку- вот это геморрой, я лучше уйду в другой банк, там надо только логин правильно ввести. Так думают многие, совершенно не задумываясь о своей безопасности.
Приведи мне выдержку из PCI DSS где описываются необходимые функции веб-гэйтвея например. Там требуется только его наличие. А веб-гэйтвэй легко может быть настроен с нулевым уровнем безопасности, то есть не влиять никак.
А СМСка с кодом это один из немногих надежных способов авторизации, потому что используется независимый от компьютера канал передачи данных. Естественно банк-клиент НЕ ДОЛЖЕН использоваться на том же телефоне. На десктопном компьютере или другом телефоне.
Вы вообще похоже в информационной безопасности слабо разбираетесь, а пытаетесь по теме того же PCI DSS высказывать "компетентное" мнение :-)
А вот детальное выполнение каких либо требований по детальной настройке какого то там веб-гейтвея ... Как раз вот это то и будет ГЕМОРРОЙ.
Задача политик дат вектор развития и общие требования. Детали — на совести исполнителя и аудитора.
А вот вы наверное не читали стандарт, а если бы читали, то знали бы что с нулевым уровнем настроек безопасности ничего не прокатит, так как будет взломано при аудите.
Ну да, как только вектор определил, так все волшебным образом становится безопасным ... особенно если аудитор поможет — ну это вообще праздник жизни. Аудиторы это ведь незаменимые и бесценные товарищи в создании системы безопасности :-)
Как и ожидалось, вы очень далеки от реальной работы в области ИБ :-)
Кстати, все прокатит, да, потому как в стандарте таки уровень не определен :-)
Аудитор не имеет права фантазировать, а обязан проверить соответствие стандарту, а не своим фантазиям.
Кстати я еще могу подбросить испытание вашей вере в могущество стандарта PCI DSS: необходимость контроля за администратором в стандарте прописана, но совсем не прописано в чем этот контроль должен заключаться :-)
Отрицательные отзывы были есть и будут по поводу любой из массовых услуг. И их будет тем больше, чем больше массовость, независимо от качества этих услуг.
Довольные пишут редко, недовольные — почти всегда.
Ну а насчет воровства со счетов клиентов это вообще туфта, которую может озвучить только человек, который понятия не имеет о механизмах внутреннего контроля в любом банке :-)
И, чтобы не возникало вопросов об ангажированности Сбербанком — я не то что там не работаю, а вообще не из России.
воровство есть с карт сбера, но явно не сотрудниками банка. и происходит это именно из-за популярности сбера. недавно такой случай был во владивостоке — через ломанный банкомат.
Сколько раз воровали с пайпалки? С али? Правильно, они ОТВЕЧАЮТ за платежи. А вот с российскими банками, где отвечает клиент не всё так просто. И кста, а как Наебуллина за кризис "подняла" своё доход в 7 раз?
давай не будем путать электронные системы платежей с доступом до железа (банкомата, терминала и т.п.)? вероятность потери с электронного paypal и электронной же визы (н-р), которая принадлежит сберу — одинакова. и причина всегда одна — вирусня и тупость юзера.
+ по ситуации с ответственностью. в ситуацию про которую я говорю — всем деньги вернули в течении 3-7 дней.
Тогда СОВСЕМ не понял смысла статьи. Если это не тупое бла-бла-бла, то учитывая Ваш ответ юзер пластика при покупке коробка спичек ОБЯЗАН будет а: подтвердить голосовой пароль, после чего б: получить СМС, в: отправить полученый ответ на сайт, г: подтвердить капчу на сайте, д: отправить Почтой России завереное нотариально обоснование в налоговую. Не?
Комментарии
Тот же модный PCI DSS, он в своей-то области приносит в основном гемморой и не решает задач собственно безопасности, а уж применить его к другой области, вообще каша получится.
Про мониторинг фишинговых сайтов и скомпрометированных учетных записей тоже смешно. Простой вопрос: как вы определите по-настоящему опасные случаи компрометации, а не когда пользователь просто потерял бумажку с паролем? Эти случаи обнаруживаются аккурат после злоумышленного использования скомпрометированного пароля, а там уже мониторить поздно, отслеживание источников входа как-то слабо помогает при современном количестве различных каналов связи.
По статье — пиар Groop-IB с их продуктом мониторинга мошеннических сайтов и бот-нет сетей.
Проблема не в банках и их банк-клиентах. Проблема в пользователях дистанционных банковских услуг. Если для доступа к моему счету надо ввести пароль, подключить токен и получить подтверждающую СМСку- вот это геморрой, я лучше уйду в другой банк, там надо только логин правильно ввести. Так думают многие, совершенно не задумываясь о своей безопасности.
Приведи мне выдержку из PCI DSS где описываются необходимые функции веб-гэйтвея например. Там требуется только его наличие. А веб-гэйтвэй легко может быть настроен с нулевым уровнем безопасности, то есть не влиять никак.
А СМСка с кодом это один из немногих надежных способов авторизации, потому что используется независимый от компьютера канал передачи данных. Естественно банк-клиент НЕ ДОЛЖЕН использоваться на том же телефоне. На десктопном компьютере или другом телефоне.
Вы вообще похоже в информационной безопасности слабо разбираетесь, а пытаетесь по теме того же PCI DSS высказывать "компетентное" мнение :-)
Вы пишите про геморрой, я отвечаю — нет его.
А вот детальное выполнение каких либо требований по детальной настройке какого то там веб-гейтвея ... Как раз вот это то и будет ГЕМОРРОЙ.
Задача политик дат вектор развития и общие требования. Детали — на совести исполнителя и аудитора.
А вот вы наверное не читали стандарт, а если бы читали, то знали бы что с нулевым уровнем настроек безопасности ничего не прокатит, так как будет взломано при аудите.
P.S. gj;fkeq vbyec gjcnfdk. nj ;t/
Детальные разработки это значит гемморой :-)
Вектор развития ... хех :-)
Ну да, как только вектор определил, так все волшебным образом становится безопасным ... особенно если аудитор поможет — ну это вообще праздник жизни. Аудиторы это ведь незаменимые и бесценные товарищи в создании системы безопасности :-)
Как и ожидалось, вы очень далеки от реальной работы в области ИБ :-)
Кстати, все прокатит, да, потому как в стандарте таки уровень не определен :-)
Аудитор не имеет права фантазировать, а обязан проверить соответствие стандарту, а не своим фантазиям.
И позитивхак совсем не пример, там искусственная упрощенная среда. В реальной жизни все сложнее.
Я, кстати, лично присутствовать не могу на этой конференции, в Казахстане живу.
Доклады читаю оттуда.
К тому же есть альтернативы, не менее надежные: либо железный ОТP либо программа-генератор на телефоне того же ОТР.
Кстати можно было все интересные доклады в режиме трансляции через интернет видеть, да и сейчас можно запись посмотреть.
Совсем не порадовал перевод, совсем, дикое путанье и непонимание сленга.
Про OTP, да, но еще раз скажу. Клиент уйдет туда где проще, а не туда где безопаснее, но сложнее. Пока так.
100500 исключительно "положительных" отзывов от СберБанке
banki.ru
Довольные пишут редко, недовольные — почти всегда.
Ну а насчет воровства со счетов клиентов это вообще туфта, которую может озвучить только человек, который понятия не имеет о механизмах внутреннего контроля в любом банке :-)
И, чтобы не возникало вопросов об ангажированности Сбербанком — я не то что там не работаю, а вообще не из России.
Но это именно преступления, а не одобренное руководством шельмование с клиентскими счетами.
+ по ситуации с ответственностью. в ситуацию про которую я говорю — всем деньги вернули в течении 3-7 дней.
Они просто грамотно используют доступ к настоящим платежным системам с реальными деньгами.
Что еще раз показывает, что грамотное использование карточной системы банков защищает от неприятностей. :-)
А то, что вы не умеете соблюдать минимум мер предосторожности, это ваша вина, а не банка.
У меня с карточки вот уже в течении лет 15 ни копейки не увели ни с одной из карточек разных банков.