среда, 14 декабря 2016 г.

Все доверяют свои паспорта курьерам?

Не секрет, что в последнее время банки активно продолжают осваивать дистанционные методы работы со своими клиентами. Делается это для привлечения дополнительной «продвинутой» аудитории в ряды своих клиентов. Такой формат работы всегда начинается с заявки на продукт на сайте банка. Чаще всего в качестве продукта выступает банковская карта, но это может быть и вклад, и брокерский счет, и даже услуга по конвертации валюты.
Итак, после уточнения по телефону желаний клиента, а также паспортных данных к вам выезжает работник банка или вовсе курьер из сторонней организации. Такой выездной работник привозит клиенту необходимые документы, например, договор на банковскую карту. Тут же он начинает фотографировать ваш паспорт и вас. Я давно предполагал, что на этом этапе могут легко утекать паспортные данные. Я всегда спрашивал у курьеров с помощью чего они фотографируют и пересылают мои персональные данные. И получал ответ, что не нужно беспокоиться, т.к. у них всё передается в защищенном виде и курьер не имеет доступа к пересылаемым фотографиям. Как это делается на самом деле, я хочу показать из обсуждения на банковском форуме:


Теперь формально. Согласно Википедии приложение WhatsApp принадлежит американской компании Facebook, а значит все таким образом переданные данные уже находятся в США!  Что же касается банков, то это однозначно является нарушением закона «О персональных данных», и даже тянет на трансграничную передачу данных. Уверен, что в согласиях на обработку персональных данных о таких американских компаниях вряд ли говорится.
Я намеренно не указываю, о каком банке в данном случае идёт речь, т.к. предполагаю, что эта проблема может носить массовый характер. Просто перечислю некоторые банки, которые предлагают подобные дистанционные сервисы:
·         Тинькофф банк (карты, вклады, инвестиции)
·         ОТП Банк (продукт Touchbank, карта)
·         Русский Ипотечный банк (карты, вклады)
·         МДМ Банк (продукт Ubank, карта)
·         Банк Открытие (продукт Рокетбанк, Смарткарта)
·         БКС Банк (мультивалютные карты, конвертация валюты)

Впрочем, мне несколько раз удавалось отказаться от фотографирования себя лично, но вот фотографии паспорта, конечно же, всегда передавались, наверное, подобным образом в банк.

вторник, 6 декабря 2016 г.

Чем полезен DDOS


В последнее время то и дело пишут о различных DDOS-атаках на сайты крупных федеральных банков. Казалось бы, очевидна мысль, что это плохо, незаконно и только всем вредит. Однако я хочу на данное обстоятельство взглянуть совершенно с другой стороны. Если что-то происходит, значит это кому-нибудь нужно. Смотрите, в наше время заказать DDOS-атаку не так уж и сложно – были бы деньги. Для этого нужно найти на специализированных хакерских форумах подобные предложения. Меня больше интересует, кому это может быть нужно из нашей «песочницы». И ответ приходит на ум тут же. Интеграторам, кому же еще. Объясняю свою мысль с красной строки.
Есть жизненная русская пословица «Пока гром не грянет, мужик не перекрестится». Я уже около десяти лет работаю в различных финансовых учреждениях. Как вы думаете, где-нибудь серьезно относились к защите интернет банков? Да, относились, но преимущественно в части устранения критичных уязвимостей по результатам сканов, что нужно для получения соответствия стандарту PCIDSS. Но это было никак не для обеспечения защиты от распределенных атак. А вот к мобильным приложениям точно нет. Знаю банк, входящий в ТОП-50, в котором мобильное приложение скорее отсутствует, чем его работоспособность можно назвать работой. А надежность интернет-банка тоже оставляет желать лучшего. Есть и другие банки.
Сегодня РБК пишет о том, что тема ДБО подвергнется регулированию. Что будут разработаны требования, стандарты, будет проводиться сертификация. Это всё замечательно. Наверняка все это будет делаться за счет банков, а точнее за счет клиентов этих самых банков. А кто будет писать эти самые стандарты? Рабочие группы они же комитеты из заинтересованных лиц либо на добровольной основе. Но скорее всего это доверят как обычно какому-нибудь интегратору. Кто будет проводить работы по анализу программного кода, по внешнему аудиту под сертификацию? Опять интеграторы. А может еще и сами решения, предлагаемые вендорами на рынке должны подвергнуться сертификации? Кто будет их сертифицировать? Опять эти же самые интеграторы.
Наконец, я хочу выразить свою мысль хорошо ли это или плохо? На мой взгляд, хорошо. Обратимся опять к этой же народной пословице «Пока гром не грянет, мужик не перекрестится». Стало быть, мы - клиенты банков, а по сути, общество - станем пользоваться защищенными ДБО, а значит, безопасность наших финансов только возрастет. Можно сказать несколько громче – значит, это будет угодно обществу. Значит, любое вмешательство извне позволяет залатать бреши в безопасности, а значит это полезно. Мы же знаем, что атака вирусов и прочих биологических существ выявляет слабые нежизнеспособные особи и не дает им жить и размножаться. Так же и в нашей информационной безопасности.

Вся заметка «imho». Если у кого есть иные точки зрения на эту проблему, я приглашаю к дискуссии.