SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Безопасность переводов и оплаты товаров через СБП. Часть 1

Безопасность переводов и оплаты товаров через СБП. Часть 1
06.06.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Secutiy Vision


Дал для программы «Доброе утро» на Первом канале небольшой комментарий о платежах по QR- коду https://www.1tv.ru/shows/dobroe-utro/pro-dengi/platim-po-qr-kodu-dobroe-utro-fragment-vypuska-ot-25-05-2022. А после решил осветить тематику платежей через СБП более подробно.


В настоящее время у населения и даже у специалистов возникает множество вопросов к переводам и оплате товаров с помощью Системы быстрых платежей Банка России, как к самой механике процесса, так и по поводу обеспечения информационной безопасности.


Изначально СБП была анонсирована в части переводов денежных средств между физическими лицами - клиентами разных банков, с использованием в качестве идентификаторов только номера телефона получателя. Данный сервис обозначается как альтернатива переводам по номеру карты между банками, особенно популярным (до внедрения СБП) в РФ. При этом международные карточные платежные системы в 2020 году поняли угрозу своему бизнесу и стали активно требовать внедрения в течение года возможности перевода по номеру телефона внутри платежной системы. Также вспоминается ряд банков, которые заключили соглашения между собой, провели интеграцию ИТ-систем и предоставляют сервис перевода по номеру телефона, но только своим клиентам. Таким образом, система Банка России, обязательная для подключения, за счет своего масштаба и охвата всех жителей страны обладает безусловными конкурентными преимуществами.



Рис. 1. Объем переводов через СБП


Судя по сопротивлению крупнейших банков и дальнейшим действиям по изменению тарифной политики, данная система сильно ударила по доходам ряда банков с большой клиентской базой. Однако СБП создала единое конкурентное пространство и, по сути, снизило издержки клиентов банков, а также предоставила дополнительные возможности для небольших банков. За счет того, что переводы осуществляются в режиме онлайн между банками и изменения по их корреспондентским счетам отражаются мгновенно – снизились затраты банков на резервирование средств под проведение операций, ускорилось проведение переводов.



Рис. 2. Количество операций и пользователей СБП


Рассмотрим базовый процесс – а именно, перевод между пользователями СБП (C2C перевод).


СБП представляет собой многоуровневую систему:


  • Расчетный центр Платежной системы Банка России

Выполняет роль хранителя денег банков и проводит в режиме онлайн расчеты между банками при переводах денежных средств через СБП. Для банка-участника СБП на уровне ПС БР выделяется отдельный подсчет для обеспечения ликвидности для переводов СБП. Требования к работе определяются подразделами положения Банка России от 24.09.2020 №732-П «О платежной системе Банка России». Фактически, любой перевод на 100 рублей по номеру телефона в СБП порождает моментальное уменьшение на 100 рублей корреспондентского счета банка отправителя и увеличение на эту же сумму счета банка получателя средств. Расчетный центр взаимодействует только с ОПКЦ при проведении перевода в СБП. Но в части управления ликвидностью для СБП банки используют основную инфраструктуру взаимодействия с ПС БР (прием/отправка сообщений через ПК АРМ КБР-Н).


  • Операционный платежный и клиринговый центр

Выполняет роль «посредника» между банками и разгружает Центральный банк, выполняя задачу взаимодействия с банками, их подключения СБП (а это тоже отдельный сложный процесс, в ходе которого выстраивается техническая поддержка, происходит подключение к точке обмена и решение задач обеспечения информационной безопасности), а также обеспечивает накопление и точку обмена информацией о клиентах банков.


  • Банки и их клиенты

Непосредственно участники перевода. Ими используется уже существующий надежный и защищенный канал ДБО. При этом есть так называемый Стандарт ОПКЦ, который на участке ОПКЦ-Банки-Пользователи выставляет требования к взаимодействию, криптографии и т.д., вплоть до требований к дизайну мобильного приложения банка. Также для этого участка взаимодействия действуют общие требования к защите информации, определенные положением Банка России от 04.06.2020 №719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».



Рис. 3. Упрощенная схема перевода в СБП между физическими лицами.


Для защиты электронных сообщений СБП при передаче от банков до расчетного центра ПС БР применяется целый комплекс мер, в том числе криптография, оценка рисков и т.д., описанные в детализированных стандартах ОПКЦ и в требованиях нормативных документов Банка России. Требования ряда нормативных актов сводятся к обеспечению безопасности инфраструктуры, отсутствию уязвимостей в прикладном ПО, а также к безопасности технологии. Рассмотрим особенности именно безопасности технологии, т.к. требования к инфраструктуре и анализу ПО в принципе единообразны (универсальны) и почти не отличаются от тех требований, которые реализуют банки в своей основной деятельности. Выстраивание безопасности технологии неотрывно от самой технологии и реализации процесса.


Все переводы С2С (процесс перевода «физик-физику») условно можно разделить на 3 вида:

  • С2С push - «традиционный перевод» между клиентами банков

  • Me2Me – перевод сам себе, даже в разных банках

  • C2C pull – по сути, запрос к отправителю об отправке денег (сейчас работает для собственных счетов, позволяет из одного банка собирать средства со своих счетов в других банках).


Отдельно можно упомянуть процесс установки клиентом своего банка в качестве банка по умолчанию. При попытке перевести средства такому клиенту ОПКЦ сразу отвечает банку отправителя, что есть банк получателя, где он готов принять средства.


По сути, механика единая, подробно шаги процесса видны на Рисунке 4.


Рис. 4. Шаги процесса C2C перевода СБП.


Также, в процессе можно выделить 2 этапа – согласование перевода в рамках шагов 1-5 (получение идентификаторов, проверка готовности к переводу) и непосредственно сам перевод с изменением по корреспондентским счетам банков (шаги 6-10).


Не будем подробно рассматривать этот процесс и коснемся только тех моментов, которые касаются безопасности переводов, а также вопросов, часто возникающих у обычных потребителей банковских услуг:

  • Подмена или передача (например, продали красивый номер или мошенники перевыпустили сим карту) номера телефона

  • Поиск тёзки для навязывания перевода (например, в Me2Me push и pull) или смена банка по умолчанию

  • Изменения реквизитов при передаче внутри СБП

  • Переборы банков владельцев телефонных номеров


Минимизация рисков обеспечивается:

  • Отображением отправителю PAM фразы (имя, отчество и первая буква фамилии получателя).

  • Строгой идентификацией получателя его банком, т.е. в банке проверяются данные клиента и его владение номером телефона.

  • Использованием для перевода внутри СБП не номера телефона, а номеров счетов отправителя и получателя – даже при перевыпуске сим-карты мошенниками деньги будут переведены на счет получателя, который был заведен в банке в момент владения номером, и мошенники не получат доступ к счету.

  • Применением антифродовых механизмов, в частости, так называемых скор-векторов оценки операции, которые формируются банками и ОПКЦ и которыми обмениваются все участники процесса перевода (например, геолокация отправителя, типична ли сумма перевода для участников операции и т.д.).

  • Множественными сверками на каждом шаге процесса – сверяются полные ФИО, номера счетов, номера телефонов, контролируется платежная сессия и т.д. Также на каждом шаге применяются криптографические методы защиты информации, обеспечивающие целостность и конфиденциальность данных.

  • Механизмами контроля переборов – в случае множественных запросов (даже от 5-7 запросов) без проведения непосредственно операции проводится блокировка определенного отправителя до момента проведения разбирательств.

  • Оповещением/подтверждением от пользователей о смене банка по умолчанию, сообщения отправляются непосредственно от ОПКЦ.

  • Мониторингом аномалий на уровне ОПКЦ, как на инфраструктурном уровне, так и на бизнес-уровне, что позволяет проводить раннее обнаружение деятельности злоумышленников и выявлять нетиповые попытки мошенничества.

  • Подводя итоги, можно выделить следующие механизмы обеспечения информационной безопасности при переводах C2C в СБП:

  • Безопасность инфраструктуры – обеспечивается за счет использования существующих безопасных каналов ДБО Банков и выполнения требований ЦБ к новым участкам взаимодействия (ЦБ – НСПК – Банки). Это и требования ГОСТ Р 57580, отраслевых СТО БР и бизнеса.

  • Безопасность прикладного ПО – оценка прикладного ПО на наличие ошибок и уязвимостей. Она также определяется нормативным актами Банка России (в т.ч. 747-П, 683-П, 719-П). Особое внимание уделяется фронту, доступному для злоумышленников извне.

  • Безопасность технологии – это антифродовые механизмы и применение криптографии, а также общая организация процесса перевода.


Совокупность данных мер позволила реализовать в рамках всей страны общую безопасную систему переводов с применением простых удобных идентификаторов. А на базе этого опорного процесса C2C Банк России развивает другие сервисы – различные комбинации переводов между C (физические лица), B (бизнес) и G (государство). 

Подкасты ИБ ГОСТ 57580 Управление ИБ СЗИ ГОСТы и документы ИБ Финансы в ИБ Управление ИТ-активами

Рекомендуем

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS

Рекомендуем

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы