Cash Management and International Business & IT Security | Saint Petersburg | ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)» Неделя Германии в Санкт-Петербурге, , Российско-Германская внешнеторговая палата Практические аспекты безопасности систем Банк-Клиент

2 Cash Management and International Business & IT Security | Saint Petersburg | ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)» Коммерцбанк АГ в России Акционер: 100% Commerzbank AG ЗАО «Коммерцбанк (Евразия)»: - головной офис в Москве и филиал в С.-Петербурге Представительство с 1976 г Дочерний банк с 1993/1999 (Дрезднер Банк / Коммерцбанк) Основное направление – обслуживание корпоративных клиентов Сотрудников: место среди немецких банков в России* 10-е место среди международных банков в России* Опыт и традиции Головной офис в Москве Филиал в Санкт-Петербурге ____________________ *по капиталу, banki.ru, дек Дочерний банк в Москве с филиалом в С.-Петербурге

3 Cash Management and International Business & IT Security | Saint Petersburg | ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)» Содержание 1.Несанкционированный доступ в систему Банк-Клиент Способы и нарушители Как это выглядит? Что делать? Превентивные меры 2.Фишинг / фальшивый сайт 3.3.Global Payment Plus: современный уровень удобства и безопасности Обзор EBICS USB stick Обмен ключами 4.Дополнительнoе решение: разделение счетов Клиента 5.Ответы на вопросы

4 Cash Management and International Business & IT Security | Saint Petersburg | ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)» Несанкционированный доступ в систему Банк-Клиент Способы: -перехват управления компьютером; -кража логина и пароля клиента для входа в систему, а также ключа электронной подписи; -перехват данных в процессе соединения с Банком. Нарушители: -штатные сотрудники; -нештатные сотрудниками, обслуживающие компьютеры; -злоумышленники, получившие доступ к компьютерам через сеть Интернет или иные каналы связи.

5 Cash Management and International Business & IT Security | Saint Petersburg | ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)» Как это выглядит? -наличие в системе неавторизованного платежного поручения или запроса на выписку; -«самостоятельная» (независимая от действий пользователя) работа компьютера: перемещение курсора, открытие и закрытие окон программ, заполнение форм и документов и пр.; -нестабильная работа компьютера или полная его неработоспособность; -невозможность входа в систему со своим паролем; -не работает ключевой носитель.

6 Cash Management and International Business & IT Security | Saint Petersburg | ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)» Что делать? -срочно позвоните в отдел сервисной поддержки банковских операций Банка по телефонам (495) или (812) и проинформируйте об имеющихся подозрениях или фактах; -проверьте содержание всех выполненных за последнее время платежей; -направьте в Банк заявление о блокировке операций в системе; -произведите смену ключей ЭП.

7 Cash Management and International Business & IT Security | Saint Petersburg | ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)» Превентивные меры Технические -выделенный компьютер для работы с системой банк-клиент; -правильная настройка и обновление операционной системы и антивирусного ПО; -доступы только для пользователей системы банк-клиент и только в рамках работы с этой системой. Организационные -ограничение доступа к компьютеру и ключам электронной подписи; -политика использования ключей электронной подписи и ответственность за её нарушение; -при возможности использовать распределенное право подписи (первая и вторая подпись) вместо права единственной подписи.

8 Cash Management and International Business & IT Security | Saint Petersburg | ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)» Фишинг / фальшивый сайт -при входе в систему банк-клиент Банка контролировать наличие защищенного соединения, а именно: в начале адресной строки должен отображаться тип протокола httpshttps://ic.commerzbank.ru -Для проверки данных владельца сайта щелкнуть по значку защищенного соединения.

9 Cash Management and International Business & IT Security | Saint Petersburg | ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)» Global Payment Plus: обзор -Канал доступа: Интернет -EBICS = Electronic Banking Internet Communication Standard Стандарт безопасности и средства безопасности EBICS технология 3-х ключей: электронной подписи + аутентификации + шифрования дает возможность работы с несколькими банками с одним набором ключей -Персональный GPP stick все в одном: Защищенные Операционная Система + браузер + ПО Автоматически обновляемое ПО (защищенный режим, только с портала GPP) SIM-карта для хранения и использования неизвлекаемых ключей независимость от компьютера пользователя необходимо только интернет-соединение Блокировка доступа ко всем сайтам кроме портала GPP -Доверенная среда

10 Cash Management and International Business & IT Security | Saint Petersburg | ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)» Global Payment Plus: EBICS 2008: EBICS обязателен для банков в Германии 2014: EBICS для наших клиентов в России

11 Cash Management and International Business & IT Security | Saint Petersburg | ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)» Global Payment Plus: USB stick

12 Cash Management and International Business & IT Security | Saint Petersburg | ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)» Global Payment Plus: обмен ключами -Отправка ключа ЭП со смарт-карты на сервер GPP -Создание уникальных ключей аутентификации и шифрования сервером GPP -Распечатка СКПП с тремя ключами -Собственноручная подпись пользователя на СКПП -Предоставление оригинала подписанного СКПП в Банк -Пользователь активирован! Регистрация сервером GPP всех операций с ключами

13 Cash Management and International Business & IT Security | Saint Petersburg | ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)» Дополнительнoе решение: разделение счетов Клиента Клиент ДБО Банковская система RUB счет A RUB счет B счет Aсчет B Получатели Плательщики

Cash Management and International Business & IT Security | Saint Petersburg | ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)» Сергей Егоров Head of IT Security, IT department Sergei. Александр Шумилов Head of Client service, Cash Management & International Business Alexander. Спасибо за внимание!