Комментарии 10
«Первая причина: отсутствие законодательной базы единых стандартов безопасности.»
Вот уж чего-чего у банков, так это стандартов и требований. И кстати неплохих
«Вторая причина: стремление банков экономить на системах безопасности.»
Банков? экономить? Вот сколько с ними работал, сроду их цена не интересовала. Эффективность — да
А вот что не упомянуто, так это то, что банкам все это тупо не интересно — закладывается в потери и страховку. Плюс неинтересно руководителям ИБ банков. Это слишком нешевые и скучные проекты на фоне куда более привлекательных и интересных
Вот уж чего-чего у банков, так это стандартов и требований. И кстати неплохих
«Вторая причина: стремление банков экономить на системах безопасности.»
Банков? экономить? Вот сколько с ними работал, сроду их цена не интересовала. Эффективность — да
А вот что не упомянуто, так это то, что банкам все это тупо не интересно — закладывается в потери и страховку. Плюс неинтересно руководителям ИБ банков. Это слишком нешевые и скучные проекты на фоне куда более привлекательных и интересных
Вот уж чего-чего у банков, так это стандартов и требований. И кстати неплохих
Не большой спец по банковской сфере, но у них единых стандартов есть только два — PCI DSS и PA DSS, не? СТО БР чисто российский, и рекомендальный.
А вот что не упомянуто, так это то, что банкам все это тупо не интересно — закладывается в потери и страховку. Плюс неинтересно руководителям ИБ банков. Это слишком нешевые и скучные проекты на фоне куда более привлекательных и интересных
Вот тут сильно плюсую. И это проблема не только банков, к сожалению.
Странно, что не упомянуты банковские трои типа Gozi, Zeus и т.д. Они не мухлют с картами и не атакую банки…
По сути грабят не банки, а клиентов банков, потому банки и не шевелятся. Зачем что то менять, если по каждому списанию можно сказать что клиент сам передал все данные.
Я в банке работал, проблему знаю изнутри.
О какой безопасности можно говорить, когда ключи шифрования из Центробанка передаются на дискетах. И нормативные документы проверяют журнал, введены эти дискеты в эксплуатацию или выведены.
IT-безопасник был, всего один. Основная его работа состояла в написании многочисленных писем в ЦБ и ФСБ.
Стоят файрволлы, антивирусы и всё, а вот на система обнаружения вторжений и дорогая и отдел нужен, чтобы за ней наблюдать.
Был эпохальный переход, когда прилетела злобная бумага из головного банка, компьютер сотрудника, отвечающий за межбанковские платежи, перенесли в отдельную сеть и все платёжки в ЦБ она стала отправлять через флешку и видеокамеру напротив сотрудника установили.
А по факту банкиры очень хорошо считают деньги, сколько они заработают на системе обнаружения вторжений? Нисколько, поэтому финансирование идёт по остаточному принципе в одном бюджете с картриджами и аккумуляторами для бесперебойников.
О какой безопасности можно говорить, когда ключи шифрования из Центробанка передаются на дискетах. И нормативные документы проверяют журнал, введены эти дискеты в эксплуатацию или выведены.
IT-безопасник был, всего один. Основная его работа состояла в написании многочисленных писем в ЦБ и ФСБ.
Стоят файрволлы, антивирусы и всё, а вот на система обнаружения вторжений и дорогая и отдел нужен, чтобы за ней наблюдать.
Был эпохальный переход, когда прилетела злобная бумага из головного банка, компьютер сотрудника, отвечающий за межбанковские платежи, перенесли в отдельную сеть и все платёжки в ЦБ она стала отправлять через флешку и видеокамеру напротив сотрудника установили.
А по факту банкиры очень хорошо считают деньги, сколько они заработают на системе обнаружения вторжений? Нисколько, поэтому финансирование идёт по остаточному принципе в одном бюджете с картриджами и аккумуляторами для бесперебойников.
Трижды компьютеры знакомых попадали под шифровальщики, в двух случаях из них удалось связаться с рассылальщиками, и после объяснения, что мы из России и у нас нет такого бабла, которое за расшифровку просят, дешифровщики присылали бесплатно. Так что да, некоего кодекса типа «не работать по РУ» всё-таки кое-кто честно придерживается.
Пожалуйста, не называйте взломщиков хакерами. Хакеры — хорошие парни, взломщики — плохие, ИМХО.
Было бы замечательно, если при публикации чужих изображений, вы бы ссылались на оригинальный источник. Например, www.paymentvillage.org/labs, отчеты Позитивов, Group-IB, Лаборатории и т.д.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Обзор: как хакеры грабят банки