Риски возникающие на торговых точках которые могут привести к потери конфиденциальной информации и потери прибыли банка:
1) Открытый канал доступа в Интернет, что может привести к хищению конфиденциальной информации, путем удаленного подключения к компьютеру. На компьютере хранятся данные клиентов: паспортные данные, номер лицевого счета, прописка, в зависимости от того какой использовался второй документ при оформлении кредита (ИНН, пенсионное удостоверение, полис мед страхования, права и т.д.) Телефоны организации в которой работает клиент, домашние телефоны и т.д. Хищение этой информации может привести к нежелательным последствиям для клиента Альфа-банка.
Эти данные злоумышленники могут использовать в корыстных целях для получения выгоды, что приведет к возбуждению уголовного дела (как крайняя мера) или финансовым потерям человека.
2) Блокировка компьютера и создание учетных записей с обязательным паролем. Работники Альфа-банка, которые выдают кредиты на Торговых Точках ( далее ТТ) обязаны блокировать компьютер когда выходят работать в зал по привлечению клиентов, когда идут на обед и даже когда в туалет выходят. Они проходят специальный курс обучения по вопросам безопасности. В случае, если компьютер не был заблокирован, может произойти хищение конфиденциальной информации о клиентах Альфа-банка. Что может привести к ситуации, описанной выше.
3) Ограбление магазина, в котором расположена ТТ. При ограблении могут унести оборудование Альфа-банка, на котором хранится информация о клиентах, бравших кредит. Что опять нас приводит к ситуации описанной выше.
4) Махинации с кредитными продуктами. Фиктивная выдача кредитов с целью получения денег. Пример: Заключаем договор с фирмой по производству пластиковых окон. Данная фирма на месте оформляет кредит, их сотрудник проходит обучение в банке (Альфа-партнер). Ситуация: Директор или другой сотрудник магазина- мошенник, находит человека или принуждает к тому, чтоб он взял кредит в его фирме, но товар не будет выдан. После того как определенная сумма за якобы выданный кредит придет на счет организации, счет обналичивается. Человек, взявший на себя кредит, вынужден выплачивать эту сумму банку + проценты. Если он опасается за свое здоровье или благополучие он будет платить. Или может обратиться в банк, в Службу Экономической Безопасности (СЭБ) и его случай будут разбирать, искать пути решения.
Кредитные продукты – это акции, по которым выдается кредит (10-10-10, 0-0-36, Оптимальный, Универсальный и т.д.)
Рассчитаем примерные потери банка:
Пусть X – количество выданных кредитов в месяц,
X = 5;
Пусть Y – сумма кредита (возьмем максимально возможную) в рублях,
Y = 84000;
Пусть P – затраты банка,
И тогда получается
P = X * Y, P = 5 * 84000 = 420000;
Отсюда следует, что 5 человек было обмануто или насильно принужденны оформить эти кредиты на себя, не все из этих людей обратятся в СЭБ банка или милицию, соответственно мошенник добивается желаемого.
2.2 Анализ технологических подходов:
Криптографический протокол SSL (Secure Socket Layer) был разработан в 1996 году компанией Netscape и вскоре стал наиболее популярным методом обеспечения защищенного обмена данными через Интернет. Протокол SSL является промышленным стандартом и используется миллионами web-сайтов для обеспечения безопасности транзакций пользователей. Технология SSL поддерживается всеми основными интернет- браузерами и операционными системами, совместимость более 99%.
Цифровые сертификаты в основном служат двум целям: установить личность владельца и сделать доступным первичный ключ владельца.
Цифровой сертификат выпускается проверенной полномочной организацией - источником сертификатов (certificate authority - CA) и выдается только на ограниченное время. После истечения срока действия сертификата его необходимо заменить. Протокол SSL использует цифровые сертификаты для обмена ключами, аутентификации серверов и, при необходимости, аутентификации клиентов. Протокол SSL использует сертификаты для проверки соединения. Эти SSL-сертификаты расположены на безопасном сервере и служат для шифрования данных и идентификации Web-сайта. Сертификат SSL помогает подтвердить, что сайт действительно принадлежит тому, кто это заявляет, и содержит информацию о держателе сертификата, домена, для которого был выдан сертификат, и название источника (CA), выдавшего сертификат. Есть три способа получить SSL-сертификат:
1. использовать сертификат от источника сертификатов;
2. использовать самоподписанный сертификат;
3. использовать "пустой" сертификат.
Использование сертификата от источника сертификатов:
Источники сертификатов (CA) - это организации, которым доверяет вся отрасль и которые занимаются выдачей Интернет- сертификатов. Например, такой сертификат можно получить от компании VeriSign. Чтобы получить сертификат, подписанный источником, необходимо предоставить достаточно информации источнику, чтобы он смог проверить вашу личность. Тогда источник создаст новый сертификат, подпишет его и доставит его вам. Популярные Web-браузеры заранее настроены доверять сертификатам, выданным определенными источниками, так что не нужно никакой дополнительной конфигурации для подключения клиента через SSL к серверу, для которого был выдан сертификат.
Использование самоподписанного сертификата:
Самоподписанный сертификат - это сертификат, созданный самим пользователем. При использовании такого сертификата издатель совпадает с владельцем сертификата. Удобство такого решения в том, что для создания самоподписанного сертификата нужно меньше времени, чем для получения сертификата, подписанного источником сертификатов. Однако самоподписанный сертификат требует, чтобы любой клиент, подключающийся по SSL к серверу, установившему такой сертификат, был настроен доверять подписавшему сертификат. Так как сертификат был подписан самим пользователем, такая подпись скорее всего не окажется в файле списка доверенных источников клиента и поэтому должна быть туда добавлена. Если получить доступ к такому файлу любого клиента невозможно, то не стоит использовать такую конфигурацию, лучше получить сертификат от проверенного источника. Самоподписанные сертификаты полезны только тогда, когда каждый клиент, взаимодействующий с сервером, можно настроить так, чтобы он доверял данному сертификату.
Использование "пустого" сертификата:
Это решение по функциональности ничем не отличается от предшествующих. В общих чертах, "пустые" сертификаты содержат фиктивную информацию, используемую в качестве временного решения для настройки SSL и проверки его функционирования в конкретной среде. Приложение ISC предоставляет "пустой" сертификат вместе с ключами и файлами доверенных источников для сервера и клиента.
Преимущества использования HTTPS:
Недостатки использования HTTPS:
В 1994 году Совет по архитектуре Интернет (IAB) выпустил отчет "Безопасность архитектуры Интернет". В этом документе описывались основные области применения дополнительных средств безопасности в сети Интернет, а именно защита от несанкционированного мониторинга, подмены пакетов и управления потоками данных. В числе первоочередных и наиболее важных защитных мер указывалась необходимость разработки концепции и основных механизмов обеспечения целостности и конфиденциальности потоков данных. Поскольку изменение базовых протоколов семейства TCP/IP вызвало бы полную перестройку сети Интернет, была поставлена задача обеспечения безопасности информационного обмена в открытых телекоммуникационных сетях на базе существующих протоколов. Таким образом, начала создаваться спецификация Secure IP, дополнительная по отношению к протоколам IPv4 и IPv6.
Итак, IPSec (Internet Protocol Security) - набор стандартов, разработанных специально для создания защищенных соединений "точка-точка" (как раз к вопросу о подключении региональных филиалов). Стандарты были разработаны Internet Engineering Task For (IETF) для организации защищенных соединений в публичных или частных сетях TCP/IP. Конечно же, наибольшая выгода появляется при создании защищенного соединения сквозь публичную сеть. Постараемся раскрыть основы и принципы, на которых базируется IPSec, приведем практические примеры его применения и перечислим некоторые продукты, использующие в своей работе IPSec.
Основы IPSec
В глобальном смысле IPSec - это "каркас", который является частью продуктов, требующих следующей функциональности: организация защищенного соединения между точкой А и точкой В. Используя мощное шифрование и криптование на основе публичных ключей, IPSec может обеспечить защиту соединений от несанкционированного доступа.