«Сбербанк», ВТБ, «ЮниКредит» и «Открытие» запретили сотрудникам фотографировать экраны компьютеров Статьи редакции
При этом сам факт съемки доказать очень тяжело, считают эксперты.
«Сбербанк», ВТБ, «ЮниКредит» и «ФК Открытие» запретили сотрудникам снимать экраны компьютеров с личных мобильных устройств. Об этом пишет РБК.
Замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин считает, что такой запрет — способ борьбы с «пробивом» данных о клиентах. Злоумышленники размещают объявление в даркнете, чтобы выяснить баланс карты жертвы, паспортные данные и другое. Фотографии с такими данными стоят от 800 до 8 тысяч рублей, и их делают сообщники мошенников — инсайдеры в разных банках.
Также Никитин пояснил, что распространенность фотографирования экранов можно объяснить новыми системами защиты банков от внутренних угроз и утечек. В результате сотрудникам легче сфотографировать экран. Кроме того, добавляет Никитин, сам факт съемки доказать очень тяжело.
Директор департамента информационной безопасности «ФК Открытие» Владимир Журавлев считает, что на основе фотографий клиентских данных можно изготовить поддельные документы. Их могут использовать для снятия денег с чужого счета и участия в мошеннических схемах.
Зампред «Сбербанка» Станислав Кузнецов рассказал, что системы банка, как правило, не позволяют передавать служебные данные в третьи руки.
Почему бы с правами и логированием не поиграться? Изучать обоснованность и цель доступа сотрудника к данным, например.
на масштабах сотен тысяч запросов этих данных в день, будет трудно изучать логи и обоснованность
имхо, логи смотреть легко. Систему логирования только надо качественно спроектировать. и вопрос будет решаться 2-3 SQL запросами (условно)
логи чего посмотреть легко? что кто-то открыл конкретный счет? да
а чтобы подтвердить легитимность, надо выяснить почему это произошло - личный визит клиента в офис, звонок в кол центр, запрос от другого сотрудника и тп. это не автоматизировать в разумных пределах
Присылать пуш\смс прямо клиенту в отделении.
звонок в кол центрСпрашивать кодовое слово.
Вот эти два варианта в общем случае не нужно даже проверять, достаточно политику безопасности нормальную иметь.
а в чем смысл спрашивать кодовое слово в данном случае, как это что-то меняет?
Без кодового слова сотрудник никакой значимой информации не получит.
как не получит, если сотрудник видит это кодовое слово у себя на экране еще до того как клиент его назвал. в этом суть аутентификации клиента перед банком.
Ничего он не видит, он его в поле набивает и узнаёт правильное оно или нет.
Серьезно? А откуда сотрудник знает, латиницей или кириллицей записано кодовое слово у клиента? И, если девичья фамилия матери (наиболее популярное у большинства кодовое слово) у него какая-нибудь сложная (с обилием, скажем, "ч" и "щ"), то с какого раз он сможет правильно ввести ее в поле на латинице?
- Назовите кодовое слово
- Пишите латиницей: Эс как доллар, эс, эйч, эм, ай с точечкой, дэ, тэ.
Это Вы от пользователя такого грамотного спеллинга ожидаете? Ну-ну. А если звонит дама с какого-нибудь южного региона, про "эйч-эм-ай с точкой" не в курсе от слова совсем, а девичья фамилия ее мамы, скажем, "Голопущенко". Причем, в силу особенностей местного говора, она эту фамилию произносит, как "ГхалапушченкА". И? Если у сотрудника эта фамилия не написана на экране, то с какого раза он введет ее правильно? Даже на кирилице (про латиницу вообще молчу).
Ну и как она тогда, не зная алфавита, умудрилась латиницей фамилию написать?
Причем, в силу особенностей местного говора, она эту фамилию произносит, как "ГхалапущенкА". И?Ну и пусть произносит. Если есть сомнения - спросить никто не запрещает.
А ей сотрудники банка в отделении помогли ее на латинице написать, когда она счет открывала. И как именно они букву "Щ" записали, она, естественно, не помнит.
Пример проще. На днях я переоформлял телефонный номер в "Мегафоне". Попросили создать кодовое слово и сказали, что можно как на кириллице, так и на латинице.
Как Вы думаете, когда теперь я звоню в "Мегафон", сотрудник вводит слово с моих слов, или оно у него уже видно на экране?
Зачем?
Как Вы думаете, когда теперь я звоню в "Мегафон", сотрудник вводит слово с моих слов, или оно у него уже видно на экране?Понятия не имею.
Сотрудник мегфона не знает, на латинице или на кириллице у меня кодовое слово. Однако, уже через доли секунды после того, как я его назвал, он готов со мной разговаривать. Ввести за это время даже один вариант нереально. Значит, это слово показывается у него на экране.
Это значит, что в мегафоне довольно хреновая политика безопасности.
это значит что по всему миру это нормальная практика с точки зрения безопасности, так проводить аутентификацию клиентов для предоставления базовых сервисов, не связанных с переводами денег
Поделитесь мировой статистикой?
по статистике, секретное слово защищают как пароль ровно в 0 компаний в мире
У вас пруфы отклеились.
15 лет в этой сфере работаю, знаю каковы требования регуляторов, знаю какова практика в банках и телекомах.
если кодовое слово бы защищали как пароль, то это был бы пароль. велью ноль
Уточните в каком вы банке работаете, а-то вдруг у меня там деньги лежат.
а вы лучше сразу несите в тот, где кодовое слово защищают как пароль, чтобы надежнее)
Понятия не имею, но надеюсь везде, кроме того в котором вы работаете, особенно в том, где мои деньги лежат.
я то тут причем? в сбере, в альфе, в тинькове, в росбанке, в юникредите, в открытии - кодовое слово не защищают как пароль. в мегафоне, мтс, билайне, что характерно, тоже так не защищают.
А почему никто из них(ну по крайней мере те, чьими услугами я пользовался) не предоставляет услуги восстановления кодового слова? У всех только сменить можно. Или сотрудникам отделений там доверяют меньше, чем макакам в кол-центре ? Это вот прям основной столп моей веры в нормальное шифрование кодового слова.
потому что это хорошая ИБ практика, менять, а не восстанавливать средства аутентификации.
я тебе гарантирую, что ни один из банков не скрывает кодовые слова от сотрудников обслуживающих клиентов
Ну и почему бы тогда не предлагать клиенту каждый раз при посещении банка его сменить?
я тебе гарантирую, что ни один из банков не скрывает кодовые слова от сотрудников обслуживающих клиентовУ вас печать отклеилась.
трудно приводить пруфы тому, чего нет и не было :(
> Ну и почему бы тогда не предлагать клиенту каждый раз при посещении банка его сменить"чтобы что? еще одна гениальная идея, которая не имеет велью, ни для банка, ни для клиента
Потому что периодически менять "средства аутентификации" ещё более хорошая практика.
она не более хорошая, она просто хорошая. а периодичность это компромисс между юзабилити и риском. в виду низкого риска, это средство аутентификации можно менять никогда, например.
Я не успеваю следить за скоростью ваших переобуваний. Если можно не менять никогда, то почему бы его не восстанавливать?
ты сам себе придумал что между необходимостью периодической смены и вынужденным восстановлением (его отсутствием) есть какая-то связь и меня об этом спрашиваешь.
на мой взгляд связи нет, поэтому я тебе ответить не смогу
Связь тут самая прямая, но человеку, который узнал об обратимом и необратимом шифровании несколько часов назад простительно её не видеть. Всего вам хорошего на вашей никак не связанной с ИБ работой и больших успехов.
что за болезнь такая?