Comments 20
Просто центробанку надо дать новое правило — украденная хакерами сумма в удвоенном виде добавляется к обязательному денежному резерву.
Чем менее надежный банк тем больше должна становится эта сумма, тогда у банкa будет стимул ставить в ИТ секурити не отставных болванчиков с армейским/полицейским прошлым, а специалистов в области информационной безопасности.
Чем менее надежный банк тем больше должна становится эта сумма, тогда у банкa будет стимул ставить в ИТ секурити не отставных болванчиков с армейским/полицейским прошлым, а специалистов в области информационной безопасности.
То что вы описали больше похоже на штраф, резервы все же запасаются "на черный день", у банков могу с ходу вспомнить только 254-п и 283-п (они правда не имеют отношения к кибератакам)
А по поводу секьюрности, из личного опыта: работал в одном банке и там было условие, что при выдаче прав локального админа у учетки забирался доступ к интернету; после этого надо было заводить отдельную учетку, получать древний комп, который нарекался "интернет-киоском" и пылился под столом
А по поводу секьюрности, из личного опыта: работал в одном банке и там было условие, что при выдаче прав локального админа у учетки забирался доступ к интернету; после этого надо было заводить отдельную учетку, получать древний комп, который нарекался "интернет-киоском" и пылился под столом
---То что вы описали больше похоже на штраф
Так и есть, суммы небольшие если реальные хакеры, но если банк не озаботится то будут расти, если банк решит списывать большие суммы, то быстро окажется без оборотных средств, но растушая сумма резерва будет предохранять акционеров и вкладчиков — эдакий самобалансируюший механизм от внешних и внутренних мошенников.
Так и есть, суммы небольшие если реальные хакеры, но если банк не озаботится то будут расти, если банк решит списывать большие суммы, то быстро окажется без оборотных средств, но растушая сумма резерва будет предохранять акционеров и вкладчиков — эдакий самобалансируюший механизм от внешних и внутренних мошенников.
Я понимаю, что сама идея интересная и разумная, но есть нюансы:
1.) Как описать критерии кто виноват: банк, клиент, сотрудник по глупости или "злые хакеры"
2.) Кто будет выносить эту оценку?
3.) Насколько эти условия будут прозрачными?
4.) Порядок начисления резервов и связка с РСБУ?
5.) Кто заплатит в конечном итоге за этот "банкет"?
Как бы в итоге не получился механизм убивайщий банки. А в тех банках где я работал и по долгу службы приходилось общаться с антифрод менеджерами, то все сводилось банально к тому, что и так идет вечная борьба с внутренними и внешними мошенниками по принципу "хитрого болта и не менее хитрой гайки"
1.) Как описать критерии кто виноват: банк, клиент, сотрудник по глупости или "злые хакеры"
2.) Кто будет выносить эту оценку?
3.) Насколько эти условия будут прозрачными?
4.) Порядок начисления резервов и связка с РСБУ?
5.) Кто заплатит в конечном итоге за этот "банкет"?
Как бы в итоге не получился механизм убивайщий банки. А в тех банках где я работал и по долгу службы приходилось общаться с антифрод менеджерами, то все сводилось банально к тому, что и так идет вечная борьба с внутренними и внешними мошенниками по принципу "хитрого болта и не менее хитрой гайки"
1.) Как описать критерии кто виноват: банк, клиент, сотрудник по глупости или «злые хакеры»
Хакеры не выводят больших сумм, по крайней мере у банка достаточно ограничений на сумму снятий — переводов, поэтому эта мера тока от недобросовестных банковских работников.
Если «кража» предотврашена и деньги вернули в результате внутрибанковского расследования то ничего плохого для банка не будет и никто не узнает.
Потерянные небольшие суммы и слегка растуший резерв — это лишь легкое напоминание банку что бнужно что-то сделать — банк от этого не убьется.
Критерии кто виноват — решает сам банк по результатам расследования.
---4.) Порядок начисления резервов и связка с РСБУ?
инценденты с привлечением полиции-центробанка будут отражатся на резерве немедленно после расследования, остальное по результатам например месячного отчета в ЦБ (но тут банк может скрывать но до первого аудита).
---5.) Кто заплатит в конечном итоге за этот «банкет»?
Акционеры и клиенты, но тут их личная отвественность в покупке акций или становлении клиентами, но они в какой-то мере будут защишены растушим резервом.
--Как бы в итоге не получился механизм убивайщий банки.
Опять же повторюсь что хакеры не смогут так убить банк если у банка стоят ограничения на размер суммы, софт, предотврашаюший ошибки и подготовленный персонал. Если руководство банка захочет убить банк — оно и так сможет убить сотней способов.
Хакеры не выводят больших сумм, по крайней мере у банка достаточно ограничений на сумму снятий — переводов, поэтому эта мера тока от недобросовестных банковских работников.
Если «кража» предотврашена и деньги вернули в результате внутрибанковского расследования то ничего плохого для банка не будет и никто не узнает.
Потерянные небольшие суммы и слегка растуший резерв — это лишь легкое напоминание банку что бнужно что-то сделать — банк от этого не убьется.
Критерии кто виноват — решает сам банк по результатам расследования.
---4.) Порядок начисления резервов и связка с РСБУ?
инценденты с привлечением полиции-центробанка будут отражатся на резерве немедленно после расследования, остальное по результатам например месячного отчета в ЦБ (но тут банк может скрывать но до первого аудита).
---5.) Кто заплатит в конечном итоге за этот «банкет»?
Акционеры и клиенты, но тут их личная отвественность в покупке акций или становлении клиентами, но они в какой-то мере будут защишены растушим резервом.
--Как бы в итоге не получился механизм убивайщий банки.
Опять же повторюсь что хакеры не смогут так убить банк если у банка стоят ограничения на размер суммы, софт, предотврашаюший ошибки и подготовленный персонал. Если руководство банка захочет убить банк — оно и так сможет убить сотней способов.
Самое главное с формулировкой, еще раз напомню, что резерв = отложить на черный день, если денежные средства уже были украдены, то что резервировать, а самое главное сколько? Потому как сегодня украли 1000 руб, а завтра/через неделю/через год могут украсть 0 руб/10 руб/1000 руб/1023 руб/π руб.
А то, что хакеры не выводят больших сумм — это заявление не имеет ничего общего с реальностью: раз, два, три
Я так понимаю, что у Вас не полное представление о том, что происходит внутри российских банков, о взаимодействии с ЦБ РФ и количестве обязательных отчетов.
Возможно у Вас есть информация, как Bank of Canada борется с киберпреступлениями?
А то, что хакеры не выводят больших сумм — это заявление не имеет ничего общего с реальностью: раз, два, три
Я так понимаю, что у Вас не полное представление о том, что происходит внутри российских банков, о взаимодействии с ЦБ РФ и количестве обязательных отчетов.
Возможно у Вас есть информация, как Bank of Canada борется с киберпреступлениями?
---если денежные средства уже были украдены, то что резервировать, а самое главное сколько?
Это лишь тема для дискуссий, это может быть и 2-3 штраф от размера украденного (или если сумма мелкая то фиксированное увеличение на 0.1% обшей сумма резерва) или фиксированная сумма.
Здесь должно быть 2 цели — воспитательная, и предупредительная для зашиты вкладчиков. Если банк не будет заботится о безопасности, то выроший резерв хоть как-то зашитит вкладчиков-акционеров в фатальном конце.
----это заявление не имеет ничего общего с реальностью: раз, два, три
3. Хакерская атака с целью повлиять на рынок или банк должна расследоватся ЦБ и к данной статье отношения не имеет, от компрометации никто не застрахован и банк тут не виноват.
1,2 — а потому что рабочие терминалы должны быть на виртуальных машинах и восстанавливатся из снапшота на начало рабочего дня, тогда вирусов и бакдуров не будет. Кто не сделал так тот сам дурак и должен быть наказан по полной.
---как Bank of Canada борется с киберпреступлениями?
И не в этой сфере кручусь, но насколько знаю консерватизм там страшный, технологии вндряются медленно, мне кажется РФ в этом отношении куда лучше. Для девелопера — это застойное болото в плане технологий.
Канадские банки и грабят и хакают в полный рост и изнутри и снаружи.
Это лишь тема для дискуссий, это может быть и 2-3 штраф от размера украденного (или если сумма мелкая то фиксированное увеличение на 0.1% обшей сумма резерва) или фиксированная сумма.
Здесь должно быть 2 цели — воспитательная, и предупредительная для зашиты вкладчиков. Если банк не будет заботится о безопасности, то выроший резерв хоть как-то зашитит вкладчиков-акционеров в фатальном конце.
----это заявление не имеет ничего общего с реальностью: раз, два, три
3. Хакерская атака с целью повлиять на рынок или банк должна расследоватся ЦБ и к данной статье отношения не имеет, от компрометации никто не застрахован и банк тут не виноват.
1,2 — а потому что рабочие терминалы должны быть на виртуальных машинах и восстанавливатся из снапшота на начало рабочего дня, тогда вирусов и бакдуров не будет. Кто не сделал так тот сам дурак и должен быть наказан по полной.
---как Bank of Canada борется с киберпреступлениями?
И не в этой сфере кручусь, но насколько знаю консерватизм там страшный, технологии вндряются медленно, мне кажется РФ в этом отношении куда лучше. Для девелопера — это застойное болото в плане технологий.
Канадские банки и грабят и хакают в полный рост и изнутри и снаружи.
Ситуация из жизни, как любой коммерческая организация банк стремится приносить прибыль. Так же банку полагается предотвращать и снижать операционные риски, для этого есть соответствующий отдел, как раз туда входит внутреннее/внешнее мошейничество. В любом случае после инцедентов идут разборы полетов и что-надо сделать для их предотвращения. В любом случае все убытки фиксируются и за отклонения от заложенных планов по голове не погладят.
Но встречаются всякие супер-форс-мажоры. К примеру в ночь с 8 на 9 февраля в Москве власти города произвели снос 104 строений. Одно из них было отделением банка, в данном случае пострадал Юникредит, как мы понимаем что-то в таком случае могло быть скомпрометировано.
По поводу терминалов и виртуалок, в реальности я знаю только один банк который так пытался сделать, что получилось я даже не знаю, паранойа там была на каждом шагу еще в 2008 году. До сих пор являюсь клиентом этого банка, хотя по сервису зачастую проигрывает конкурентам.
Нет ничего плохого в умереном консерватизме, когда есть целый зоопарк систем и он продолжает расти — это тоже не очень круто. Когда был молодым и думал, почему один банк все пытается допилить свою АБСку, взяли бы и купили новую, но потом я увидел у других: одну АБС для бухов, одну для учета физиков, одну для юриков, одну для карт, 2-3 старых
По обязательной очетности для ЦБ, ее количество вечно увеличивалось, когда-то найдется та соломинка, которая переломит спину верблюду. К счастью уже давно занимаюсь другими проектами и не касаюсь этого даже двенадцатиметровой палкой.
Но встречаются всякие супер-форс-мажоры. К примеру в ночь с 8 на 9 февраля в Москве власти города произвели снос 104 строений. Одно из них было отделением банка, в данном случае пострадал Юникредит, как мы понимаем что-то в таком случае могло быть скомпрометировано.
По поводу терминалов и виртуалок, в реальности я знаю только один банк который так пытался сделать, что получилось я даже не знаю, паранойа там была на каждом шагу еще в 2008 году. До сих пор являюсь клиентом этого банка, хотя по сервису зачастую проигрывает конкурентам.
Нет ничего плохого в умереном консерватизме, когда есть целый зоопарк систем и он продолжает расти — это тоже не очень круто. Когда был молодым и думал, почему один банк все пытается допилить свою АБСку, взяли бы и купили новую, но потом я увидел у других: одну АБС для бухов, одну для учета физиков, одну для юриков, одну для карт, 2-3 старых
По обязательной очетности для ЦБ, ее количество вечно увеличивалось, когда-то найдется та соломинка, которая переломит спину верблюду. К счастью уже давно занимаюсь другими проектами и не касаюсь этого даже двенадцатиметровой палкой.
Не украденная. Надо обязать ставить резервы в проценте от оборота, если не проходишь регулярные проверки на защищенность. Тогда это будут не рисковые, а гарантированные затраты. К этому отнесутся серьезнее.
"Если вам говорят, работа была сделана, но появился вирус и всё уничтожил, скорее всего, к работе даже не приступали" (С)
"Хакеры" попали в ОЧЕНЬ крутую компанию:
1997:
" — Где деньги?
(Ельцин, разводя руками): — А чёрт его знает"
2011:
" — откуда деньги берёте?
(Кадыров, пожимая плечами): — аллах даёт"
1997:
" — Где деньги?
(Ельцин, разводя руками): — А чёрт его знает"
2011:
" — откуда деньги берёте?
(Кадыров, пожимая плечами): — аллах даёт"
«Также он подчеркнул, что и реальные, а не симулированные атаки очень плохо сказываются на репутации банков.»
Значит, можно жить спокойно, когда банк симулирует.
Значит, можно жить спокойно, когда банк симулирует.
Поди отличи реальную атаку от постановочной.
Мобыть уже давно так делают.
Мобыть уже давно так делают.
'Операция Ы'
кто помнит историю, когда вирус очень своевременно уничтожил видеозаписи в ГАИ с неким ДТП?
http://lifenews.ru/news/101267
http://lifenews.ru/news/101267
UFO just landed and posted this here
у ЦБ в настоящее время нет полномочий обязать банки более ответственно относиться к проблеме информационной безопасности
Проблема надуманная. Требований ФСБ (ФАПСИ) и ЦБ к банкам и так более чем достаточно. Такие заявления больше похожи на попытку расширения коррупционной составляющей при проверке банков.
Проблема надуманная. Требований ФСБ (ФАПСИ) и ЦБ к банкам и так более чем достаточно. Такие заявления больше похожи на попытку расширения коррупционной составляющей при проверке банков.
Sign up to leave a comment.
ЦБ: банки начали инсценировать хакерские атаки для незаконного вывода средств