Аутентификация – основа безопасности мобильных решений Павел Есаков Компания CompuTel Заместитель директора по продажам в финансовом секторе

2 Содержание Аутентификация как краеугольный камень безопасности Механизмы аутентификации «на вооружении» мобильных решений «Ахиллесова пята» мобильных приложений Перспективы развития мобильных решений в плане повышения безопасности Выводы

3 Выбор средства аутентификации пользователя Типовые требования к средству аутентификации: Возможность генерации одноразового пароля и формирования электронной подписи транзакции Умеренная стоимость средства аутентификации Соответствие требованиям российского законодательства Возможность работы без создания доверенной среды на клиентском компьютере Удобство для клиентов банка

4 Ахиллесова пята мобильных решений Основные методы подтверждения операций в мобильном банке: Одноразовый пароль по SMS Программные реализации токенов ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ Автономные токены и персональные кардридеры

5 Безопасность мобильных решений Смартфон клиента по определению менее защищенное устройство, чем компьютер: Пользователь смартфона зачастую не имеет каких-либо ограничений по установке приложений Смартфон практически постоянно подключен к Интернету Наличие SIM карты позволяет оператору мобильной связи устанавливать приложения без ведома клиента

6 Финансовые учреждения по-прежнему являются наиболее привлекательным объектом для онлайн-мошенников Количество атак на системы ДБО не снижается – системы ДБО входят в список наиболее уязвимых мест финансовых учреждений На смену простейшим видам мошенничества приходят все более сложные виды Анализ ситуации в области онлайн-мошенничества Banking Trojan hijacks out-of-band SMS security - Trusteer Security outfit Trusteer has discovered a new attack used by the SpyEye Trojan that can circumvent mobile SMS security measures used by many banks. In a blog post, Trusteer says it has found a two- step Web-based attack that allows fraudsters to change the mobile phone number in a victim's online banking account and reroute SMS confirmation codes used to verify transactions. Firstly, SpyEye steals the victim's online banking details in the standard Trojan style.

7 Соответствие средств подписи закону 63-ФЗ Требования к средству формирования подписи: позволяют установить факт изменения подписанного электронного документа после момента его подписания; обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки. При создании электронной подписи средства электронной подписи должны: показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает; создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи; однозначно показывать, что электронная подпись создана.

8 Мобильный банк – где выход? Использование элемента безопасности (SE) в телефонах с поддержкой NFC Создание доверенной среды для исполнения приложений ( Trusted Execution Environment – TEE) Использование решений класса MDM (Mobile Data Management) Использование голосовой аутентификации для подтверждения транзакций

9 Заключение Анализ решений в области безопасности мобильного банка: Необходимо наличие системы лимитов для разных методов подтверждения Использование одноразовых СМС паролей создает наиболее существенные риски для мобильных решений Банку необходимо найти правильный компромисс между удобством использования, безопасностью и общей стоимостью владения Сегментация клиентов в зависимости от их потребностей облегчает решение задачи

10 Спасибо за внимание! Вопросы?