Халатность службы безопасности банка

Когда он мне пожаловался, что мошенники списали с его банковской карты крупную сумму, я не поверила: как же так - взрослый человек, журналист, в конце концов, то есть умеет с людьми общаться и информацию "фильтровать". Но факт остается фактом: коллегу "уболтали", и он сам сообщил все данные, которые были нужны, чтобы увести деньги. Чтобы не потерять деньги, нужно научиться безопасному обращению с картой. Фото: Сергей Михеев Спасибо, что рассказал и подготовил меня к тому, как это бывает. Потому что через пару месяцев я сама столкнулась с той же проблемой.

Халатность службы безопасности банка

Информационная безопасность банков: допустимо ли в сложившейся ситуации экономить на ней? Потому что в основе успеха любого банка лежит доверие, а это чувство неизбежно "испаряется" в тот момент, когда клиент узнаёт, что на его банковский счёт была проведена успешная хакерская атака.

Поэтому без всякого преувеличения можно сказать: ИБ — всё для банка! NBJ: Очередное заседание нашего круглого стола посвящено анализу вопросов и проблем, возникающих в рамках обеспечения информационной безопасности в банках.

Хотели бы сразу отметить, что эту тему мы поднимаем регулярно, не реже двух раз в год. И сейчас мы не видим причин отступать от традиции, поскольку количество рисков в сфере ИБ возросло, проблем у финансово-кредитных организаций с защитой информации наверняка прибавилось.

С учётом этого первый вопрос мы хотим сформулировать следующим образом: как участники круглого стола, представители банков и компаний-разработчиков, видят основные вызовы в сфере ИБ в настоящее время? Ни для кого не секрет, что бюджеты, отведённые под развитие ИБ, стараются урезать или оставить без изменений. Так что априори понятно — кредитные организации будут приобретать меньше инструментов ИБ, чем раньше.

В этой связи я хотел бы расширить вопрос модератора: какие выходы для себя из сложившейся ситуации видят банки, на что они готовы пойти ради экономии средств? Поменялись ли взгляды банкиров на такой инструмент, как виртуализация, поскольку, с нашей точки зрения, её использование — это возможность оптимизировать затраты финансово-кредитных организаций? И посыл в результате тоже получается неправильным: давайте не будем рассматривать виртуализацию как панацею от всех бед.

Между тем ни для кого из присутствующих, я думаю, не является секретом, что в нормальном банке есть и нормальные серверы, и виртуальные серверы, и гросс-серверы, и супер-гросс-серверы.

Есть процессы, которые можно и нужно виртуализировать, а есть те, которые являются чисто внутренними, и ни один нормальный "безопасник" не будет призывать к перемещению их в "виртуал". Это надо иметь в виду, когда мы обсуждаем данный вопрос. ЦАЛЬП:У меня сложилось впечатление, что мы поддались на провокацию представителя компании-разработчика и стали обсуждать частный вопрос вместо темы, которая была сформулирована в качестве главной.

Мы собрались для того, чтобы понять, где мы находимся, что нам угрожает и что нам в этой ситуации делать. Потому как нынешняя ситуация непроста и неординарна: мы вынуждены бороться не только с хакерами и вредоносными программами, но и с вендорами, которые не хотят идти ни на какие уступки по ценовым условиям. Мы боремся за выживание наших коллективов, за решение задач, поставленных перед нами. Вот об этом мы должны говорить, а не о конкретных инструментах или решениях.

NBJ: Не могли бы Вы подробнее объяснить, что означает в нынешнем контексте борьба с вендорами? Мы задаём представителям этой компании прямой и очевидный вопрос: где гарантии, что вы не развернёте против нас санкции?

То есть нам ничего нельзя — им можно всё. И единственное спасение — нахождение компромисса с российскими продавцами продуктов Oracle.

Понятно, что это небыстрый процесс, нельзя за день или за месяц трансформировать те договорённости, которые были наработаны в течение нескольких лет.

Но всё же очень хочется, чтобы появились наши российские компании, которые поставляли бы решения если не идентичные, то сходные по качеству с теми продуктами, которые поставляют Cisco, IBM и Oracle.

Это было бы правильным, потому что совершенно ясно — мы переживаем не первый и не последний кризис, подобные ситуации будут повторяться. К настоящему моменту мы уже готовы предоставлять аналог решения SAP — многовендорную платформу. Один из наших партнёров предоставляет "железо", по качеству и возможностям не уступающее тому, которое поставляет компания IBM.

То есть говорить, что мы не проводим никакой работы в сфере импортозамещения, было бы несправедливо. Банки никогда не ориентируются исключительно на западные или на российские продукты — все предложения они рассматривают, что называется, по совокупности характеристик.

То, что российские продукты при этом хуже продаются, объяснимо: у них хуже соотношение "цена — качество" — именно оно является ключевым при совершении выбора. Поэтому если они хотят увеличивать свои продажи и расширять круг партнёров, то им нужно работать над улучшением этого соотношения, а не напирать на призывы правительства к импортозамещению. Банки не будут ждать, пока он завершится — им надо работать здесь и сейчас. Поэтому процесс, о котором вы говорите, будет идти плавно, постепенно и очень медленно, поскольку он по определению является достаточно болезненным для наших финансово-кредитных организаций.

Если всё же вернуться к первому вопросу, заданному модератором, то я бы оценил главные вызовы в сфере ИБ в следующей последовательности. Первый из них — печально известная атака хакеров, использующих уязвимость нулевого дня.

Второй вызов — борьба с фродом в сфере ДБО, соответственно, ответ на него — обмен информацией между банками, использование антифродов. И в качестве третьего вызова я бы выделил развитие мобильного банкинга — выбор и использование решений, связанных с мобильными устройствами.

И ещё одно — это использование услуг аутсорсинга. Наверное, это будет отдельный вопрос, который мы будем разбирать в рамках нашего круглого стола, но я позволю себе забежать немного вперёд и высказаться по нему сразу. Мы работаем по схеме аутсорсинга, поскольку считаем эту схему прозрачной и эффективной. В рамках неё можно ответить на вопросы: сколько стоят услуги ИБ, что это за услуги, каким образом они предоставляются?

Все организации, входящие в группу "Открытие", работают по этой схеме, чего и другим желаем, поскольку наш опыт в данном вопросе исключительно позитивный. Мне доводилось слышать заявления, что если санкции против России ужесточат и западные разработчики будут отказывать российским банкам в предоставлении своих продуктов, то банкиры будут… "пиратить" софт!

Я надеюсь, что это была шутка. Опустим юридическую сторону вопроса, но чисто технически не стоит забывать, что речь идёт о закрытом программном обеспечении, в котором невозможно ничего исправить или доработать без поддержки западного производителя. Без этого "бинарная болванка" быстро устареет и обрастёт кучей уязвимостей.

Наивно думать, что можно использовать закрытое ПО без поддержки оригинального разработчика, уже не говоря о сценарии противодействия с его стороны. К счастью, в России есть ряд решений, разработанных российскими вендорами, в том числе на базе международного открытого ПО. Для них внутри страны есть полные исходные коды, средства разработки и компетентные специалисты, что делает возможным поддержку и развитие такого ПО независимо от самых жёстких санкций.

Я призываю участников нашего обсуждения обратить пристальное внимание на этот факт. ЕФАНОВ: Если посмотреть на статистику, то можно убедиться — и международные, и российские эксперты сходятся в том, что сейчас главным вызовом для ИБ являются киберпреступления.

Это логично, если учесть, что объём транзакций в Интернете растёт и что на острие атаки оказываются в первую очередь платёжные системы. Совсем недавно был опубликован прогноз, в соответствии с которым масштабным атакам будут подвергаться в году системы ДБО и мобильные платформы. Они будут разными, но в то же время полностью их разделить никому не удастся, потому что вызовы, с которыми сталкиваются производители, будут проецироваться на потребителей и наоборот.

Для производителей сейчас главными вызовами, безусловно, являются сокращение бюджетов заказчиков на ИБ и снижение количества заказов. Что они вынуждены делать в такой ситуации? Сокращать людей, снижать зарплаты. Это, к сожалению, реальность. Второй вызов — импортозамещение. Мне приходилось принимать участие во многих обсуждениях по данному вопросу, в том числе и в заседании Совета безопасности РФ.

К сожалению, независимо от формата, никаких конкретных шагов в этом направлении не предпринимается, хотя красивых и вдохновляющих слов говорится немало. Так давайте мы хотя бы в рамках нашего круглого стола скажем: да, надо обращать внимание на отечественную продукцию! Пусть она уступает пока по своим качествам западным аналогам, но она всегда будет уступать, если её игнорировать.

Я могу сказать с полной ответственностью — есть решения, разработанные национальными компаниями, которые можно эффективно использовать и которые намного привлекательнее по цене, чем импортные.

Это общее состояние нашей экономики — все компании, независимо от рода деятельности, сейчас уменьшают свои расходы. Так что, на мой взгляд, нет смысла останавливаться на данном пункте. Я, можно сказать, собираю коллекцию ответов вендоров, к которым обращаюсь с теми или иными запросами.

Безопасность данных при обработке в информационной системе обеспечиваете вы, то есть банк-покупатель. Мы, вендоры, ничего делать не будем и ни за что отвечать не будем!

Если это так, то, возможно, эту проблему следует решать организованно, а не по принципу "каждый за себя". Это один момент, который хотелось бы отметить. Второй момент, точнее, вторая важная проблема: поставщики ИТ-продуктов и руководители бизнес-подразделений банков считают, что главное в решениях — это их функционал. А выполнение требований к соблюдению информационной безопасности, к защите данных, в том числе и регуляторных требований, должны обеспечивать банковские "безопасники".

Пусть у них об этом голова болит! Я думаю, от этого надо уходить, и тут нам поможет и регулятор рынка, и, как ни странно, Запад, вводящий сейчас санкции против нашей страны.

Нас призывают активнее обращать внимание на разработки отечественных компаний. Хорошо, тогда я задам очень простой вопрос: мы можем здесь и сейчас заменить IBM-серверы на российские аналоги? Мы можем что-либо поменять в АIX? Так о чём мы тогда говорим? О том, что наша страна выбирает для себя новую дорогу? Да, конечно. И мы пойдём этой дорогой, когда она её выберет, а сейчас мы должны решать конкретные задачи сегодняшнего дня. Давайте я поставлю на повестку дня такой вопрос: сокращение бюджетов на ИБ влечёт за собой сокращение персонала?

Специалисты уходят, мягко говоря, недовольные, а значит, повышаются риски нежелательного использования полученных ими знаний об ИТ-инфраструктуре и о системах ИБ в банках. В то же время растёт нагрузка на оставшихся сотрудников, следовательно, возникает необходимость внесения корректировок в системы прав доступа. Нужно усиливать контроль за тем, что выносится из банков, и неважно как — в головах, портфелях, через Интернет, на флешках. NBJ: Подобные каналы всегда были защищены — другое дело, что какие-то банки обеспечивали эту защиту более эффективно, а какие-то — менее эффективно.

Но сейчас, в тех условиях, которые я описал, и на фоне жёсткой конкуренции, актуальность этой задачи многократно возрастает. Я уже не говорю о том, какие риски могут возникнуть в случае, если увольняют — или увольняются — ключевые сотрудники ИБ-департаментов и управлений, люди, которые фактически являются идеологами ИБ в тех или иных банках. На самом деле эта проблема существует не в теории, она актуальна, и здесь, что называется, мы все под Богом ходим.

Это своего рода "розовый слон" — все его видят, но никто не хочет в этом признаваться. Есть ещё другие проблемы: увеличение в три раза объёма мошеннических операций в году по сравнению с годом, появление новых технологий, которые пока непонятно, как защищать, например технология использования мобильных телефонов в качестве платёжных карт. Понятно, что данное направление будет развиваться, что банкам это выгодно, но именно это развитие добавляет головной боли руководителям департаментов информационной безопасности.

Это действительно вызов, и ни один из вендоров на сегодняшний день не может дать удовлетворяющий нас ответ на вопрос, как бороться с угрозами и рисками в данном направлении. Но беда в том, что в эти годы мало кто думал о проблемах защиты и информационной безопасности.

Сейчас наступил тот момент, когда данные вопросы оказались на повестке дня. Есть необходимые компетенции, высококлассные специалисты и компании конечно, в первую очередь крупные , которые с помощью использования этого инструмента избавляются от многих проблем в сфере ИБ.

Банкиры экономят… для грабителей. Но расплатятся… сроками

Договор должен обязательно заключаться в письменной форме, в противном случае он считается ничтожным. Еще одно обязательное условие — наличие паспорта. Многие опасаются, что если их паспортные данные станут известны злоумышленникам, то они смогут оформить по ним кредит.

служба безопасности

СКР ищет признаки халатности и бездействия в сгоревшем лагере под… Должностная инструкция начальника службы безопасности Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Безопасность банка — это не только охрана на входе или технические новинки. Правильно организованная служба безопасностиконтролирует все риски банка — и криминальные,и конкурентные, и операционные. Любое начинание в банковской сфере должно пройти через стадию моделирования угроз. Выбрав соответствующий вашей ситуации образец доверенности , вы уточняете действия, на совершение которых вас уполномочивает ваша организация в лице руководителя. Обращайте внимание на срок, на который выдается доверенность.

Банкиры предпочитают «защищаться» от госохраны и НБУ, а не от грабителей

Что делать если на ваш паспорт оформили кредит? Автор: Ростовцева Ирина В последнее время в связи с распространением различных программ кредитования позволяющих получить деньги при предъявлении одного лишь паспорта, участили случаи мошенничества, когда злоумышленники берут кредиты на чужие паспорта и паспортные данные. То есть мошенник оформляет кредит на человека, который совершенно ни о чем не подозревает. Как же действовать в случае когда вы узнали, что на вас кто то оформил кредит? Законы которые вам помогут защититься от неправомерных действий банков! В соответствии со статьей ГК РФ, по кредитному договору, банк или иная кредитная организация обязуется предоставить кредит заемщику, в размере и на условиях предусмотренных договором, а заемщик в свою очередь обязуется вернуть сумму займа и уплатить проценты за пользование денежными средствами. Все мы знаем, что для того, чтобы оформить кредит, необходимо иметь хотя бы паспорт, поэтому как правило взятие кредита на чужое имя происходит при утере, краже паспорта или по поддельным документам.

Полезное видео:

Что делать если на ваш паспорт оформили кредит?

Поскольку в процессе исполнения своих служебных обязанностей сотрудники ежедневно и ежечасно встречаются с бизнес-партнерами, ведут с ними переговоры, заключают договора, руководитель должен быть уверен в том, что действия персонала не поставят его бизнес под угрозу. На помощь приходит служба безопасности компании СБ , работа которой позволяет лучше узнать сотрудников и предусмотреть их действия. К сожалению, нельзя сказать, что в отечественном бизнесе дело обстоит иначе. Вот почему вопросы кадровой безопасности должны оставаться в фокусе внимания руководителей даже и особенно в том случае, когда финансово-экономические показатели компании благополучны. Задача СБ — с одной стороны, выявлять лиц, склонных к мошенничеству, хищениям, недобросовестной работе и прочее, с другой — способствовать созданию единой команды проверенных добросовестных сотрудников. Для этого проводятся организационные и организационно-технические мероприятия, используются личные наблюдения и беседы, а также результаты информационно-аналитической работы. Выстраивая свою деятельность в компании таким образом, СБ должна стремиться проводить ее бесконфликтно, но принципиально и компетентно. Цель информационно-аналитической работы СБ с персоналом — выявление позитивных и негативных моментов, связанных с поведением сотрудников.

Статьи и публикации

Информационная безопасность банков: допустимо ли в сложившейся ситуации экономить на ней? Потому что в основе успеха любого банка лежит доверие, а это чувство неизбежно "испаряется" в тот момент, когда клиент узнаёт, что на его банковский счёт была проведена успешная хакерская атака. Поэтому без всякого преувеличения можно сказать: ИБ — всё для банка! NBJ: Очередное заседание нашего круглого стола посвящено анализу вопросов и проблем, возникающих в рамках обеспечения информационной безопасности в банках. Хотели бы сразу отметить, что эту тему мы поднимаем регулярно, не реже двух раз в год. И сейчас мы не видим причин отступать от традиции, поскольку количество рисков в сфере ИБ возросло, проблем у финансово-кредитных организаций с защитой информации наверняка прибавилось. С учётом этого первый вопрос мы хотим сформулировать следующим образом: как участники круглого стола, представители банков и компаний-разработчиков, видят основные вызовы в сфере ИБ в настоящее время?

Что делать, если на ваше имя взяли кредит

Однако в целом там отметили: утечек клиентских данных за пределы корпоративной сети финансовой организации не выявлено, по всем зафиксированным инцидентам со звонками мошенников проводится внутреннее расследование. Директор департамента информбезопасности Росбанка Михаил Иванов подчеркнул, что сейчас отмечается очередной рост активности мошенников, которые в телефонном разговоре представляются сотрудниками банка и пытаются получить от собеседника одноразовые коды подтверждения из SMS, часть звонков происходит с подменой номера через виртуальный сервер. В первом сообщили, что за это время сливы не зафиксированы и обращений о случаях мошенничества с использованием конфиденциальных данных не поступало.

Мы страдаем из-за халатности службы безопасности банка Траст Мы астраханцы. В нашей семье нет клиентов банка Траст, но от безалаберности и халатности его сотрудников страдаем уже 3 года! Более 3 лет назад мы купили квартиру в новом доме и обратились на телефонную станцию, провести домашний телефон. У нас есть дети и старенькие бабушки, которым проще общаться именно по домашнему телефону. На станции нам выдали номер. И вот с тех пор нам регулярно звонят из банка Траст в поисках должника Абидиной.

Служба безопасности банка не предприняла ни единой попытки предотвратить такие подозрительные операции и не заблокировала.

А последние стоят на своем: охрана наших денег - наша проблема… Вот уже четвертый месяц банковское сообщество пребывает в напряженном ожидании — на что же решится Нацбанк, чтобы принудить финучреждения к повышению собственной безопасности. Естественно, Национальный банк не может стоять в стороне, когда Генпрокуратура берется за его подопечных. На днях НБУ направил банкам предписание до 1 марта представить ежеквартальные графики по дооснащению расчетно-кассовых узлов защитным оборудованием. По оценке Украинского кредитно-банковского союза, для выполнения поставленных задач потребуется около 2 млрд. Рефлексируя, финансисты бросились искать признаки лоббирования интересов Государственной службы охраны и производителей этого самого оборудования и, конечно, жаловаться на огромные убытки в кризис. При этом меньше всего внимания уделяется первопричине истории — грабителям, которые для банкиров оказались меньшим злом, чем ГСО и НБУ… НБУ удивил последовательностью Судя по реакции банкиров, они никак не ожидали от своего регулятора таких жестких действий.

Иркутской милицией возбуждено 90 уголовных дел по фактам мошенничеств в сфере кредитования, подавляющее число которых было совершено сотрудниками служб безопасности банков. За последний месяц в отдел по борьбе с экономическими преступлениями Кировского РОВД поступило 40 заявлений от банков на общую сумму более 60 миллионов рублей. В результате многочисленных проверок выяснилось, что во многом, необоснованной выдаче крупных денежных сумм и последующим невыплатам кредиторских взносов способствовали именно представители служб безопасности. В пресс-службе ГУВД по Иркутской области отмечают, что сотрудники служб безопасности банка в сговоре с кредитуемыми лицами оформляют все документы на получение кредита без каких-либо проверок. Зачастую предоставленные заемщиком документы, удостоверяющие личность, подтверждающие заработок и место работы, являются поддельными. Такой период в среднем составляет около двух лет, в течение которых, на самом деле никакие периодические взносы на банковские счета не поступают. Закон обязателен для всех Службой собственной безопасности Управления Федеральной налоговой службы по Амурской области, в ходе плановых мероприятий по выявлению и предотвращению фактов коррупционных проявлений в налоговых органах, выявлены факты существенных несоответствий в документах, представленных тремя налоговыми инспекторами к авансовым отчетам по крупным денежным суммам, полученным ими из федерального бюджета на командировочные расходы. Для определения в их действиях состава преступления и принятия решения о возбуждении уголовных дел соответствующая информация в установленном порядке передана в правоохранительные органы.