İstanbul'da iş ilanları

Author: Lallora

  • Cоотношение аспектов банковской безопасности

    Cоотношение аспектов банковской безопасности

    Информационно-коммуникационные технологии, автоматизированные системы управления технологическими процессами всё шире используются во всех сферах деятельности. В том числе в кредитно-финансовой сфере, где появляется всё больше новых высокотехнологичных финансовых услуг. В какой степени банковская безопасность превращается из общей, физической в информационную? Как меняется соотношение разных граней деятельности по обеспечению банковской безопасности?

    К ВОПРОСУ О ТОМ, ЧТО ПЕРВИЧНО

    Расчёты и платежи становятся электронными, всё сильнее сокращая потребность в наличных деньгах, как некогда бумажные деньги заменили золотые и серебряные монеты. В обеспечение физической безопасности проникают информационные технологии – автоматизация, телекоммуникации, хранение, обработка, передача данных и т.п. Всё шире используется высокотехнологичное оборудование, – системы контроля доступа, сигнализации, видеонаблюдения и другие.

    электронные расчёты по прежнему уязвимы
    В некоторых случаях физическая безопасность «ужимается», как, например, по мере развития электронных платежей сокращаются объёмы инкассации. В Швеции бумажные деньги вообще отменяют. Значит ли это, что банковская безопасность всё больше становится информационной, что исторически первичная общая, физическая безопасность всё больше отходит на второй план?

    В определённой мере – да но это лишь одна сторона процесса. Поскольку «дух отягощён материей», физическая безопасность – «человек с ружьём» и т.д. – существовать будет вечно, причём достаточно автономно. Пусть работы тем же инкассаторам становится меньше, но транспортировка ценностей, золотых слитков и т.п., останется всегда.

    Кроме «информатизации» безопасности, действует и противоположная, встречная тенденция – необходимость для специалистов по информационной безопасности всё больше вникать в сущность банковского дела, всех бизнес-процессов, каждого клиентского сервиса. В определённом смысле информационная безопасность всё больше принимает окраску общей банковской безопасности.

    Ещё в «докомпьютерную эру» хорошие специалисты по безопасности тщательно изучали объект, который должны были оберегать. Тогда банковская тайна сохранялась службой режима – надёжной охраной и крепкими замками. Когда стали развиваться информационные технологии, в дополнение к этой замкнутой системе, к замкам физическим, начали добавлять «замки» электронные.

    Автоматизированные банковские системы и электронные платежи начали широко применяться в последние 20 лет. В банках исторически первыми задачами информационной безопасности было обеспечение информационно-технологической безопасности системы. Приходилось заниматься техническими аспектами безопасности, а также приучать сотрудников регулярно делать архивирование, резервное копирование данных. Информационные банковские системы начинали обладать всё больше разраставшейся функциональностью.

    Кроме обеспечения только надежного функционирования технических средств, их постоянной доступности, встала и новая проблема. Поскольку обрабатывались самые разные данные, их надо было по-разному защищать, управлять доступом к корпоративной сети, компьютерным системам, базам данных, то есть разграничить права доступа и обеспечить контроль. Тому были и социальные причины: в 1990-е годы рядовой сотрудник банка мог испытать шок, узнав, сколько денег получает за выполнение своих должностных обязанностей топ-менеджер банка. Приходилось решать задачу разделения по категориям пользования, по функционалу, по глубине доступа к банковской информации.

    Внешние задачи обеспечения информационной безопасности пришлось решать с присоединением банков к электронным системам Банка России для осуществления межбанковских электронных расчётов. Но главным обстоятельством, которое привело к созданию банками самостоятельных подразделений информационной безопасности, стало появление дистанционных клиентских сервисов.

    СЕКРЕТ «ЗОЛОТОГО СЕЧЕНИЯ»

    Банковские пластиковые карты, выпуск которых начался в конце 1990-х годов, тогда считались не полноценным, а очень экзотическим бизнесом и у банков, и у мошенников. Зато начали быстро развиваться сервисы «банк – клиент» через интернет. Дело не только в том, что одному человеку стало трудно справляться с возросшими обязанностями. Формирования самостоятельных подразделений информационной безопасности банков требовали и появление системы удалённого обслуживания «банк – клиент», и отраслевой стандарт, введённый в действие распоряжением Банка России № Р-345 от 28 апреля 2007 года.

    Вначале система интернет-банкинга строилась по принципу «толстого клиента» – компьютер конечного пользователя использовался как удалённый терминал с помощью специальной программы, связанной с банком выделенным каналом. Гораздо более простым, удобным и массовым стал «тонкий клиент» – доступ клиента на банковский сервер через обычный веб-браузер.

    Произошёл переход в открытую агрессивную среду, потенциально враждебную клиентам. Если случаи взлома выделенных каналов можно было по пальцам перечесть, то интернет-банка – тысячи в год. Круг клиентов быстро расширился, но, в основном, за счёт людей с очень низким уровнем знания информационных угроз, понимания необходимости выполнять правила безопасности. Пришлось существенно переосмыслить проблематику информационной безопасности.

    В настоящее время переживаем очередной новый этап развития – переход к мобильным технологиям. Это ещё более серьёзная проблема для безопасности. Мобильные устройства – телефоны, смартфоны, планшеты – используются в ещё более широкой среде. Включая общественные места – торговые центры, транспорт, просто на улице. Защищены мобильные операционные системы пока слабее, чем работающие на обычных персональных компьютерах. И, наконец, в мобильном устройстве объединены рабочее место банкинга и канал связи.

    Взаимосвязь бизнеса и безопасности становится выпуклой, заметной и очевидной. Бизнес хочет всё больше использовать возможности, открываемые мобильными технологиями, но безопасность тормозит и режет крылья, потому что не хочет подрывать тот самый бизнес. Потому что если новые удобные сервисы будут опасными, рискованными – никто не будет ими пользоваться.

    Безопасность, несмотря на свой сдерживающий фактор для развития платёжных мобильных технологий, одновременно – гарантия их успешного развития. Вот такое диалектическое противоречие, двигатель развития. Нужно только найти баланс, «золотое сечение» соотношения преимуществ новых технологий и безопасности.

    Кто первый его вычислит, тот и захватит новый рынок, переделит старый. Функциональность новых сервисов разных банков отличается деталями. Отличаться они могут удобствами и уровнем безопасности, двумя противоположными качествами. Кто умеет правильно их слепить – тот и победил. Безопасность становится конкурентным преимуществом. У кого более безопасный бизнес – тот и впереди.

    К КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ

    Информатизация безопасности и её встречное проникновение в детали бизнеса – это противоположные тенденции, которые взаимно дополняют друг друга. Предпринимать меры, использовать технические средства безопасности нужно, в конечном счёте, для того, чтобы обеспечить функционирование бизнеса в целом. Исходная точка – изучение объекта, информационную безопасность которого предстоит обеспечивать, с точки зрения бизнес-требований, затрат и эффективности. Оценка рисков, связанных с проведением той или иной операции, в первую очередь экономических.

    Экономическая безопасность является самым важным, интегральным показателем для бизнес-системы. Для банка это не только собственная экономическая безопасность, но и структур, связанных с ним, и обслуживания клиентов. Потому что использование информационных технологий позволяет банкам быть институтом, оказывающим финансовые услуги самого широкого спектра, а не только расчётные и кредитные. В том числе и, в определённой мере, безопасности клиента.

    Вот пример: предприниматель хочет получить городской заказ и участвует в конкурсе, который проводит Правительство Москвы. В настоящее время действует система электронных торгов, которая работает с конкурсными депозитами, с мгновенными расчетами. Электронная торговая площадка – элемент бизнес-отношений, участником которых является также и банк.

    Банк может предоставить банковскую гарантию или депозит для участия в торгах, «гарантийный взнос». Предприниматель может не отвлекать собственные средства, которые могут быть ограниченными, а после подведения итогов торгов погасить этот краткосрочный кредит. От того, предоставит банк кредит вовремя или нет, зависит экономическая безопасность бизнеса клиента, минимизация финансовых рисков.

    Благодаря высоким технологиям банк стал участником гораздо более широкого спектра экономических отношений, чем прежде. Информационная и физическая безопасность стали важными аспектами экономической безопасности. Надо говорить о безопасности в целом, элементы которой – экономическая безопасность, информационная безопасность и физическая безопасность. Порой они очень тесно переплетаются, так что трудно выделить тот или иной аспект.

    Выявление мошеннических операций в системах ДБО – это обеспечение экономической безопасности, но по принципам и технологиям, инструментам – ближе к информационным технологиям. Получается смычка экономической и информационной безопасности, порождаемая развитием бизнес-процессов с использованием новых возможностей, которые открываются информационными технологиями. Как, исходя из развития бизнес процессов, формировать бюджет и составлять штатное расписание? Ещё не выработано общего рецепта, как решать возникшую проблему, и каждый делает это по-своему.

    Следующий уровень развития – неотчуждаемые от клиента средства обеспечения безопасности. В мобильном банке должны быть новые средства аутентификации, привязанные не к средству проведения платежа, а к самому человеку. Если у меня есть отчуждаемая от человека вещь, и она является платежным инструментом, то должна быть её привязка к самому человеку. А это могут быть только параметры владельца. Поэтому следующим этапом могут стать биометрические способы аутентификации.

    ИНТЕГРАЦИЯ ДИСЦИПЛИН

    Назревшая проблема уже сегодняшнего дня – потребность в кадрах с соответствующей новой квалификацией. Внедрение антифродовых систем, с одной стороны, требует сотрудников-специалистов, которые бы вели мониторинг транзакций, умея анализировать присущие риски, формировать правила выявления мошеннических операций. То есть способных и заниматься настройкой антифродовых систем, и принимать решения о конкретных платежах. У этих специалистов должно присутствовать понимание экономической сути платежей, сформированное достаточно богатым опытом аналитической и экономической работы. А также хорошее практическое знание информационных технологий, при помощи которых выявляется фрод.

    «Чистые» специалисты, подготовленные по специальности «информационная безопасность», как и просто «безопасность», становятся всё менее востребованными на рынке труда. Квалификация, полученная ими согласно диплому о высшем образовании, становится для работы недостаточной, в значительной степени бесполезной. Напротив, прямо сейчас требуются специалисты, получившие междисциплинарную подготовку, на стыке безопасности, информационных технологий, экономики и финансов, а также других дисциплин. Потребности диктуются увеличением количества новых разнообразных финансовых сервисов: банковских, платёжных, брокерских, инвестиционных, страховых, государственных электронных платных услуг и т.п.

    Таких специалистов в настоящее время вузы не могут выпускать. Потому что внедрение новых автоматизированных систем информационной безопасности банков происходит быстрее, чем способно меняться инерционное высшее образование. Цикл подготовки по новым специальностям, согласно федеральному законодательству, составляет 7 лет. Потому что ранее требовалось 2 выпуска для прохождения аккредитации, плюс 5 лет на полный курс очного обучения. Можно прибавить 1 год на подготовку учебных программ. Будем учитывать и то, что выпускнику вуза, даже самой подходящей специальности, предстоит 3 года набираться опыта на рабочем месте, чтобы окончательно стать готовым специалистом.

    Какая специальность должна быть базовой? Готовить специалистов информационной безопасности в технических вузах или в тех, по профилю которых выпускник будет потом работать – финансовых, экономических и т.п.? В настоящее время базовыми выступают технические вузы. «Междисциплинарная» кафедра, готовящая специалистов по информационной безопасности банков, была создана в НИИЯУ МИФИ.

    Проблема вырастает из новых возможностей, которые открываются именно информационными технологиями. Оказывается проще обучать технических специалистов особенностям банковских процессов, чем наоборот, финансистов – информационной безопасности. Во многих банках системами антифрода занимаются специалисты по IT, а не по безопасности и не экономисты.

    ТРЕБУЮТСЯ МНОГОГРАННЫЕ СПЕЦИАЛИСТЫ

    Для того, чтобы своевременно готовить специалистов по информационной безопасности для конкретных отраслей, для кредитных, финансовых и платёжных организаций разного профиля, нужны соответствующие преподаватели и учебные программы. Либо обучающимся информационным технологиям преподавать экономическую безопасность, либо экономистам – информационные технологии. Деление возможно по направлениям: безопасность финансового сектора, отдельно технологических процессов, безопасность каналов связи, безопасность разработки и применения пользовательских приложений.

    Сейчас московские вузы находят временный выход из положения за счет компаний, которые предоставляют своих специалистов. Примерно треть предметов по информационной безопасности, защите информации в вузах читают совместители – люди, профессионально занимающиеся этой деятельностью. Ресурс хороший, но ограниченный.

    Можно использовать исторический опыт решения проблематики высшего междисциплинарного образования, накопленный ещё в «докомпьютерную эру». Похожая проблема вставала при подготовке специалистов для разных отраслей. Специалисты по проектированию автоматизированных систем управления технологическими процессами ещё в 1960–70-е годы должны были хорошо знать предметы защиты, технологические процессы. Потому что система защиты влияет на управление всем технологическим процессом.

    На производстве безопаснику было необходимо, зная «правило Жуковского», помнить о том, что гидродинамический удар при простом закрытии вентиля может привести к разрыву трубы или объёмному воздушно-масляному взрыву. Даже в вузах, готовивших оперативных работников, считалось, что тех, кому предстоит работать «на земле», и тех, кому на транспорте, нужно готовить как специалистов разного профиля.

    Вспомним, что начало полётов человека в космос, создание орбитальных станций, медицинские эксперименты на них сделали актуальной новую междисциплинарную профессию – инженер медицинской техники. Чтобы спроектировать медицинский прибор, нужно было иметь и медицинское, и техническое образование. Взаимодействие выстроили МВТУ им. Н.Э. Баумана и Первый Московский медицинский институт имени И.М. Сеченова. Обучение и выпуск специалистов были начаты, хотя новая междисциплинарная специальность появилась в официальном перечне лишь спустя два десятка лет. Этот успешный опыт актуален и по сей день.

    Банки по прежнему страдают от утечек информации клиентов

    Изменения соотношения между разными гранями банковской безопасности – общей, экономической и информационной безопасностью – процесс естественный. Тот, кто этого еще не понимает, столкнется с большими проблемами. Старые законы продолжают действовать, но лишь как частный случай более широких, порой противоположных закономерностей. Впрочем, это уже проходили, – при переходе от классической механики к квантовой.

  • Проникновение ВКонтакте не возымело последствий

    Проникновение ВКонтакте не возымело последствий

        В ночь с субботы на воскресенье несколько молодых людей проникли в главный офис ВКонтакте в Санкт-Петербурге, располагающийся на последнем этаже Дома
    Книги. Сами молодые люди называют себя руферами, людьми, лазающими по невероятно
    большому количеству петербургских крыш ради развлечения.

    руферы проникли в офис ВКонтакте

    Молодые люди залезли в офис создателей крупнейшей российской сети не получив
    никакого сопротивления – сработавшая сигнализация никаких последствий взломщикам
    не принесла. Сами руферы просто зашли в кабинет, включили компьютер на котором
    был авторизован Павел Дуров, владелец ВКонтакте, обновили его постоянный статус,
    оставили запись на стене и ушли тем же путём.

    Первым официальным объяснением от пресс-секретаря ВКонтакте, Владислава
    Циплухина, стало: “Взломать аккаунт “ВКонтакте” без невнимательных действий
    самого пользователя невозможно. Павла Дурова ни разу за историю существования
    сайта не взламывали – и это символично для нашей безопасности. Сам статус был
    опубликован из нашего же штаба невоспитанными детьми, которые оказались там на
    экскурсии. А мой начальник-тролль им это позволил”.

    Затем к нему добавился иной комментарий: “Ребятам хотели простить инцидент,
    если бы они с такой наглостью об этом не рассказывали и все это не ушло в
    прессу. Если они думают, что это останется безнаказанным, то сильно
    заблуждаются. Спасибо им, что выложили фотографии. Мы их сохранили. В офис и на
    крышу теперь никто попасть не сможет. Ну, а самая неприятная новость для этих
    друзей: они больше никогда не попадут в офис ВКонтакте, даже когда там будут
    официально проводить экскурсии”.

    Сам Владислав уже связался со взломщиками, благо это несложно, но какие
    реальные действия будут предприняты в их отношении.

  • Booz Allen Hamilton организует летние стажировки для студентов ИТ-специальностей

    Booz Allen Hamilton организует летние стажировки для студентов ИТ-специальностей

    Когда директор по информационной безопасности Макс Келли (Max Kelly) уволился из компании Facebook в 2010 году, он пошел не в Google, не в Twitter и не в какую-то другую компанию Кремниевой долины. Специалист, который защищал персональные данные более миллиарда пользователей крупнейшей социальной сети, перешел на работу в другую организацию, которая тоже работает с большими объемами данных — Booz Allen Hamilton, являющуюся главным подрядчиком Агентства национальной безопасности (NSA).
    XKEYSCORE surveillance
    Макс Келли хорошо иллюстрирует ситуацию, которая сложилась в компьютерной индустрии США, хотя об этом не принято говорить, но к настоящему времени сформировались довольно прочные связи между IT-фирмами и АНБ, потому что они занимаются практически одним и тем же делом. Все они собирают, анализируют и используют большие массивы информации о миллионах пользователях.
    Единственная разница в том, что ИТ-компании делают это ради прибыли, а АНБ — для разведки.
    После того как Сноуден разболтал всему миру о шпионской программе АНБ PRISM,  ИТ-компании открестились от предоставления «прямого доступа к серверам» для АНБ, но в реальности все отлично понимают современные возможности дата-майнинга и тот факт, что сотрудничество может осуществляться и без «прямого доступа», а более тонкими и изысканными методами.
    АНБ и её глава Gen Keith Alexander — это организация с большой властью и большими деньгами, которая тесно интегрирована в инфраструктуру Кремниевой долины. Они финансируют перспективные технологии в области дата-майнинга, раздают солидные гранты и нанимают лучших IT-специалистов из коммерческих фирм. 
  • Как начать работать на площадке процессинга

    Как начать работать на площадке процессинга

    Почему в современной сетевой среде одни данные не представляют высокой ценности для дроповодов с площадки Darkmoney со своими заливщиками и дроповодами, тогда как стоимость других очень высока? 


    Рыночной стоимость персональных данных, нелегально полученых из сферы здравоохранения может составлять от $20 до $1,200-1,300 за единицу персональных данных одного пациента частной клиники. Однако в банковской сфере цифры варьируются от $1 за CVV код до $1000 за полный доступ к банковскому счету холдера или корпорации. И то и другое – ценник за “сырье”. Кроме этого есть еще и “услуги”, средствами которых добывается это “сырье”. 

    selling your structured settlement



    Не так давно всплыл случай обвинения 18 людей в краже более $200 млн. В деталях обвинения фигурировали такие цифры: создание более 7,000 ложных ID в целях получения более 25,000 мошеннических кредитных карт. Используя несложные вычисления, подсчитаем, что 7,000 ложных ID должны быть оценены, по крайней мере, в 500$ (как fullz на рыночном сленге), а более вероятно в 1,300$ (как kitz) каждый. Это диапазон примерно от $3.5 до $9 млн. Фактически, эти ложные ID были основой для 25,000 мошеннических кредитных карт, вместе с адресами и хорошими кредитными рейтингами, по-видимому за самую высокую оценку для kitz или еще выше, что в итоге даст значение между $30 и $35 млн. Общая сумма потерь банков превысила $200 M, и это значит, что дроповоды и нальщики получили от $165 M до $170 M от фактических обнальных расходов. 


    Другими словами, выгода от обнальных операций составляет: 
    – прибыль возрастает в 3,5-10 раз при переходе от простой кражи личности к полному комплекту украденных персональных данных, готовому к работе; 
    – сумма обнала возрастает ещё в 6 раз при переходе от полноформатных комплектов персональных данных к реальному осуществлению переводов денег, займов и трат. 


    В перспективе стоимость ложных личностей близка к авторским отчислениям по лицензионному соглашению, которые получает разработчик в сфере высоких технологий – около 4-5 центов на каждый доллар дохода, полученного от обнала банковских карт, оформленных на виртуального дрона! 


    Похоже, что бизнес есть бизнес независимо от его законности.