SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Безопасность переводов и оплаты товаров через СБП. Часть 1

Безопасность переводов и оплаты товаров через СБП. Часть 1
06.06.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Secutiy Vision


Дал для программы «Доброе утро» на Первом канале небольшой комментарий о платежах по QR- коду https://www.1tv.ru/shows/dobroe-utro/pro-dengi/platim-po-qr-kodu-dobroe-utro-fragment-vypuska-ot-25-05-2022. А после решил осветить тематику платежей через СБП более подробно.


В настоящее время у населения и даже у специалистов возникает множество вопросов к переводам и оплате товаров с помощью Системы быстрых платежей Банка России, как к самой механике процесса, так и по поводу обеспечения информационной безопасности.


Изначально СБП была анонсирована в части переводов денежных средств между физическими лицами - клиентами разных банков, с использованием в качестве идентификаторов только номера телефона получателя. Данный сервис обозначается как альтернатива переводам по номеру карты между банками, особенно популярным (до внедрения СБП) в РФ. При этом международные карточные платежные системы в 2020 году поняли угрозу своему бизнесу и стали активно требовать внедрения в течение года возможности перевода по номеру телефона внутри платежной системы. Также вспоминается ряд банков, которые заключили соглашения между собой, провели интеграцию ИТ-систем и предоставляют сервис перевода по номеру телефона, но только своим клиентам. Таким образом, система Банка России, обязательная для подключения, за счет своего масштаба и охвата всех жителей страны обладает безусловными конкурентными преимуществами.



Рис. 1. Объем переводов через СБП


Судя по сопротивлению крупнейших банков и дальнейшим действиям по изменению тарифной политики, данная система сильно ударила по доходам ряда банков с большой клиентской базой. Однако СБП создала единое конкурентное пространство и, по сути, снизило издержки клиентов банков, а также предоставила дополнительные возможности для небольших банков. За счет того, что переводы осуществляются в режиме онлайн между банками и изменения по их корреспондентским счетам отражаются мгновенно – снизились затраты банков на резервирование средств под проведение операций, ускорилось проведение переводов.



Рис. 2. Количество операций и пользователей СБП


Рассмотрим базовый процесс – а именно, перевод между пользователями СБП (C2C перевод).


СБП представляет собой многоуровневую систему:


  • Расчетный центр Платежной системы Банка России

Выполняет роль хранителя денег банков и проводит в режиме онлайн расчеты между банками при переводах денежных средств через СБП. Для банка-участника СБП на уровне ПС БР выделяется отдельный подсчет для обеспечения ликвидности для переводов СБП. Требования к работе определяются подразделами положения Банка России от 24.09.2020 №732-П «О платежной системе Банка России». Фактически, любой перевод на 100 рублей по номеру телефона в СБП порождает моментальное уменьшение на 100 рублей корреспондентского счета банка отправителя и увеличение на эту же сумму счета банка получателя средств. Расчетный центр взаимодействует только с ОПКЦ при проведении перевода в СБП. Но в части управления ликвидностью для СБП банки используют основную инфраструктуру взаимодействия с ПС БР (прием/отправка сообщений через ПК АРМ КБР-Н).


  • Операционный платежный и клиринговый центр

Выполняет роль «посредника» между банками и разгружает Центральный банк, выполняя задачу взаимодействия с банками, их подключения СБП (а это тоже отдельный сложный процесс, в ходе которого выстраивается техническая поддержка, происходит подключение к точке обмена и решение задач обеспечения информационной безопасности), а также обеспечивает накопление и точку обмена информацией о клиентах банков.


  • Банки и их клиенты

Непосредственно участники перевода. Ими используется уже существующий надежный и защищенный канал ДБО. При этом есть так называемый Стандарт ОПКЦ, который на участке ОПКЦ-Банки-Пользователи выставляет требования к взаимодействию, криптографии и т.д., вплоть до требований к дизайну мобильного приложения банка. Также для этого участка взаимодействия действуют общие требования к защите информации, определенные положением Банка России от 04.06.2020 №719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».



Рис. 3. Упрощенная схема перевода в СБП между физическими лицами.


Для защиты электронных сообщений СБП при передаче от банков до расчетного центра ПС БР применяется целый комплекс мер, в том числе криптография, оценка рисков и т.д., описанные в детализированных стандартах ОПКЦ и в требованиях нормативных документов Банка России. Требования ряда нормативных актов сводятся к обеспечению безопасности инфраструктуры, отсутствию уязвимостей в прикладном ПО, а также к безопасности технологии. Рассмотрим особенности именно безопасности технологии, т.к. требования к инфраструктуре и анализу ПО в принципе единообразны (универсальны) и почти не отличаются от тех требований, которые реализуют банки в своей основной деятельности. Выстраивание безопасности технологии неотрывно от самой технологии и реализации процесса.


Все переводы С2С (процесс перевода «физик-физику») условно можно разделить на 3 вида:

  • С2С push - «традиционный перевод» между клиентами банков

  • Me2Me – перевод сам себе, даже в разных банках

  • C2C pull – по сути, запрос к отправителю об отправке денег (сейчас работает для собственных счетов, позволяет из одного банка собирать средства со своих счетов в других банках).


Отдельно можно упомянуть процесс установки клиентом своего банка в качестве банка по умолчанию. При попытке перевести средства такому клиенту ОПКЦ сразу отвечает банку отправителя, что есть банк получателя, где он готов принять средства.


По сути, механика единая, подробно шаги процесса видны на Рисунке 4.


Рис. 4. Шаги процесса C2C перевода СБП.


Также, в процессе можно выделить 2 этапа – согласование перевода в рамках шагов 1-5 (получение идентификаторов, проверка готовности к переводу) и непосредственно сам перевод с изменением по корреспондентским счетам банков (шаги 6-10).


Не будем подробно рассматривать этот процесс и коснемся только тех моментов, которые касаются безопасности переводов, а также вопросов, часто возникающих у обычных потребителей банковских услуг:

  • Подмена или передача (например, продали красивый номер или мошенники перевыпустили сим карту) номера телефона

  • Поиск тёзки для навязывания перевода (например, в Me2Me push и pull) или смена банка по умолчанию

  • Изменения реквизитов при передаче внутри СБП

  • Переборы банков владельцев телефонных номеров


Минимизация рисков обеспечивается:

  • Отображением отправителю PAM фразы (имя, отчество и первая буква фамилии получателя).

  • Строгой идентификацией получателя его банком, т.е. в банке проверяются данные клиента и его владение номером телефона.

  • Использованием для перевода внутри СБП не номера телефона, а номеров счетов отправителя и получателя – даже при перевыпуске сим-карты мошенниками деньги будут переведены на счет получателя, который был заведен в банке в момент владения номером, и мошенники не получат доступ к счету.

  • Применением антифродовых механизмов, в частости, так называемых скор-векторов оценки операции, которые формируются банками и ОПКЦ и которыми обмениваются все участники процесса перевода (например, геолокация отправителя, типична ли сумма перевода для участников операции и т.д.).

  • Множественными сверками на каждом шаге процесса – сверяются полные ФИО, номера счетов, номера телефонов, контролируется платежная сессия и т.д. Также на каждом шаге применяются криптографические методы защиты информации, обеспечивающие целостность и конфиденциальность данных.

  • Механизмами контроля переборов – в случае множественных запросов (даже от 5-7 запросов) без проведения непосредственно операции проводится блокировка определенного отправителя до момента проведения разбирательств.

  • Оповещением/подтверждением от пользователей о смене банка по умолчанию, сообщения отправляются непосредственно от ОПКЦ.

  • Мониторингом аномалий на уровне ОПКЦ, как на инфраструктурном уровне, так и на бизнес-уровне, что позволяет проводить раннее обнаружение деятельности злоумышленников и выявлять нетиповые попытки мошенничества.

  • Подводя итоги, можно выделить следующие механизмы обеспечения информационной безопасности при переводах C2C в СБП:

  • Безопасность инфраструктуры – обеспечивается за счет использования существующих безопасных каналов ДБО Банков и выполнения требований ЦБ к новым участкам взаимодействия (ЦБ – НСПК – Банки). Это и требования ГОСТ Р 57580, отраслевых СТО БР и бизнеса.

  • Безопасность прикладного ПО – оценка прикладного ПО на наличие ошибок и уязвимостей. Она также определяется нормативным актами Банка России (в т.ч. 747-П, 683-П, 719-П). Особое внимание уделяется фронту, доступному для злоумышленников извне.

  • Безопасность технологии – это антифродовые механизмы и применение криптографии, а также общая организация процесса перевода.


Совокупность данных мер позволила реализовать в рамках всей страны общую безопасную систему переводов с применением простых удобных идентификаторов. А на базе этого опорного процесса C2C Банк России развивает другие сервисы – различные комбинации переводов между C (физические лица), B (бизнес) и G (государство). 

Подкасты ИБ ГОСТ 57580 Управление ИБ СЗИ ГОСТы и документы ИБ Финансы в ИБ Управление ИТ-активами

Рекомендуем

Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Пентесты
Пентесты
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Принципы информационной безопасности
Принципы информационной безопасности
Модель зрелости SOAR
Модель зрелости SOAR
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Что за зверь Security Champion?
Что за зверь Security Champion?
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты

Рекомендуем

Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Пентесты
Пентесты
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Принципы информационной безопасности
Принципы информационной безопасности
Модель зрелости SOAR
Модель зрелости SOAR
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Что за зверь Security Champion?
Что за зверь Security Champion?
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты

Похожие статьи

Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Динамические плейбуки
Динамические плейбуки
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Что за зверь Security Champion?
Что за зверь Security Champion?
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения

Похожие статьи

Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Динамические плейбуки
Динамические плейбуки
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Что за зверь Security Champion?
Что за зверь Security Champion?
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения