Comments 23
> Теперь мне стало еще и выгодно продвигать это решение среди заказных проектов и наших местных заказчиков. Кстати, поэтому я и пишу эту статью.

Молодец. Тогда может переместить в «Я пиарюсь» или что-то похожее? Что-то не много технических деталей да и объем текста уместнее назвать постом или комментарием, а не статьей.
Простите, Ваше замечание беспочвенно — я же не назвал бренд.
Важна проблематика статьи, а не ее объем.
Проблема в том, что 80% банков начинают, что-то делать для усиления безопасности только после того, как их ограбят.
Когда грабят клиентов, некоторые банки вообще «не чешутся». Было дело, перевели со счета нашей компании на счет какой то девушке в моске 300к рубликов, начальних отдела безопасности час убеждал нас, что виноваты мы. Через несколько месяцев у банка отозвали лицензию.
«надо было следить за своими сотрудниками, а бухгалтерам не лазить по кулинарным сайтам, на которых были заражены их компьютеры»

Вы с этим не согластны? Что за мода плодить безграмотных сотрудников чтобы потом их защищать?
Конечно согласен. Но это, скорее, относится к организационно-административным мерам, а я говорю о технических (программно-аппаратных) средствах защиты, которые помогут минимизировать риск от недобросовестных сотрудников и внешних угроз.
Простите, не удержался. Слова «согластны» и «безграмотных» так необычно смотрятся вместе…
Недавно на конференции ZeroNights я общался с одним из руководителей платежной системы, которая ориентируется на безопасность посредством использования телефона пользователя. В разговоре с ним я упомянул, что данный тип доставки одноразовых паролей имеет ряд уязвимостей. На что получил ответ, о простоте такого способа для данной системы, т.е. в данном случае пренебрегают безопасностью ради удобства.

Когда я писал статью, я рассчитывал на диалог с людьми, которые сталкивались с проблемой безразличности банков к безопасности их клиентов, а пока вижу только уколы между читателями. Жду Ваши комментарии, связанные с содержимым моего поста.
Удобство — это конкурентное преимущество. Чем больше безопасности, тем больше неудобство, тем меньше услуга похожа на преимущество. Вероятность грабежа закладывается в некие риски, но если прибыль существенно больше убыли, то один-два грабежа не так и страшно. Попробуйте ощутить себя в чужой шкуре и станет понятно почему эти другие так себя ведут. То что по вашему недопустимо, по их мнению очень даже можно делать =).
Проблема в том, что за финансовые потери клиентов в случае атак на их аккаунты банк или платежная система не отвечает. Их касается только репутационный риск. Я не говорю, что они полностью должны возложить все риски на себя, но вот предоставить широкий спектр средств защиты на выбор клиента, на мой взгляд, обязаны.
А они считают иначе =). Вы один из миллиона, который хочет сверхзащищенности, пусть даже в ущерб удобству. А между тем разработка чего-то сложного это большие деньги. Если большинство клиентов начнет требовать широкий спектр защиты, возможно это даст нужный толчок. В данном случае бал правят деньги и ключевое слово тут — прибыль, а не ум, честь и совесть.
Я человек, который не хочет отдать свои деньги проворному злоумышленнику.
Я уверен, нас больше, чем один из миллиона.
почему это они «обязаны», если это не несет финансовой выгоды и не защищает от существенных убытков?
Суппорт — это часть автомобиля, кажется. Точно так же как и биндинг — это не связь данных.
Но, для того, что бы делать подобные выводы, у вас просто не хватает опыта.
Результат голосования показывает, что статью больше смотрят представители платежных систем и банков, чем простые клиенты
почему ты считаешь нормальным иметь откат от твоего партнера, но считаешь ненормальным, когда кто-то другой имеет его от своего партнера? ведь это, по сути, главная причина почему тебя прокатили везде, а не из-за перечисленных тобой пяти причин )
почему ты считаешь нормальным иметь откат от твоего партнера


Откат !? Это когда ответственное лицо принимает решение в пользу определенного предложения за вознаграждение.
В моем случае, клиент принимает решение о выборе, а я в любом случае получу вознаграждение неважно решение хорошее или плохое. А так как я упомянул, что цена у данного решения ниже, то следуя корыстной логике, в которой Вы меня пытаетесь уличить, я должен предлагать не его, а более дорогое решение. Надеюсь, что я доходчиво пояснил.

но считаешь ненормальным, когда кто-то другой имеет его от своего партнера?


Неясно, что Вы тут имели ввиду?
Откат !? Это когда


Ок, назовем это профитом. Хотя наличие «ответственности» у лица, я не считаю обязательным при определении слова откат.

корыстной логике, в которой Вы меня пытаетесь уличить


Да не надо мне вас уличать, вы сами себя обличили русским языком.

Неясно, что Вы тут имели ввиду?


Уфф, вроде бы взрослый человек, если полезли в банки со своим самоваром… А вам не приходило в голову, что ответственные лица в банках руководствуются именно теми же соображениями? А именно: от применения тех или иных технических решений, они получают личный профит. А тут вы такой красивый и с горячим сердцем, пекущимся о безопасности юзеров…
Вижу, что автору надо было выдумать причины написания поста, т.к. это отвлекает от вопросов статьи )

В «нулевых» я 5 лет проработал разработчиком системы Клиент-Банк одного из филиалов московского банка.
Изначально у нас использовалась самописная dll, реализующая симметричное шифрование ГОСТ-94. Она была маленькая, работала быстро, бесшумно, позволяла клиентам банка самим генерировать ключи.

В 2002 году Правительство РФ приняло закон об обязательной сертификации СКЗИ. При этом СКЗИ должно было соответствовать новому ГОСТ-2001, но это ещё фигня — алгоритмы прописаны и их можно реализовать. Проблема в другом: процедура сертификации собственной СКЗИ стоила сумашедших денег, а самое главное, невероятной процедуры прохождения всех проверок и получения разрешений — это был кошмар для банковской сферы! Ни один банк не мог себе позволить такой порнографии.

Поэтому нам пришлось искать стороннее (уже сертифицированное ФАПСИ/ФСБ) СКЗИ. И здесь ожидала вторая подлянка: на тот момент их было всего 2: КриптоПро и VipNET (Инфотекс). Цены были конские. Например КриптоПро требовало с каждого рабочего места около 2 тыс. руб., для 2002 года — это ощутимые деньги. Нам кое-как удалось договориться о приемлимой цене с ВипНетовцами, и то при условии, что они сами будут генерять ключи (!!!). Дело в том, что Удостоверяющий Центр (УЦ) стоит конских денег, а наш филиал тогда не мог позволить себе такие расходы (Москва использовала фирменный КБ, их наши проблемы не интересовали).

Но и это ещё не всё. Дело в том, что библиотеки VipNet'а были заточены под шифрование сетевого трафика, а не под пользовательскую криптографию. Мне удалось «прикрутить» их библиотеки к нашему КБ, но постоянно выплывали «недокументированные особенности». Первые пол года я долбил их тех. отдел на предмет доработки библиотек. К счастью, они пошли навстречу, и в финале удалось получить работоспособное решение.

Парадокс в том, что сторонняя сертифицированная СКЗИ по размеру была сопоставима с самим КБ, включающим движок БД (Btrieve/Pervasive) и VCL-библиотеки Delphi! Теперь вы понимаете: «почему многие банки и платежные системы слабо переживают за безопасность своих клиентов»? Банкам просто не до этого (с учётом того, что творится в сфере банковской отчётности от ЦентроБанка).

Подведём итог по криптографии в банках:
1) запрещено использование не сертифицированных СКЗИ
2) сертификация своего СКЗИ для среднего банка — нереальна
3) на рынке сертифицированных СКЗИ особо не покопаешься
4) банки перегружены другими проблемами (например, отчётностью ЦБ).
Only those users with full accounts are able to leave comments. Log in, please.