Комментарии 23
> Теперь мне стало еще и выгодно продвигать это решение среди заказных проектов и наших местных заказчиков. Кстати, поэтому я и пишу эту статью.
Молодец. Тогда может переместить в «Я пиарюсь» или что-то похожее? Что-то не много технических деталей да и объем текста уместнее назвать постом или комментарием, а не статьей.
Молодец. Тогда может переместить в «Я пиарюсь» или что-то похожее? Что-то не много технических деталей да и объем текста уместнее назвать постом или комментарием, а не статьей.
+1
Нормальная статья
-4
Проблема в том, что 80% банков начинают, что-то делать для усиления безопасности только после того, как их ограбят.
+3
«надо было следить за своими сотрудниками, а бухгалтерам не лазить по кулинарным сайтам, на которых были заражены их компьютеры»
Вы с этим не согластны? Что за мода плодить безграмотных сотрудников чтобы потом их защищать?
0
Конечно согласен. Но это, скорее, относится к организационно-административным мерам, а я говорю о технических (программно-аппаратных) средствах защиты, которые помогут минимизировать риск от недобросовестных сотрудников и внешних угроз.
0
Простите, не удержался. Слова «согластны» и «безграмотных» так необычно смотрятся вместе…
+3
Недавно на конференции ZeroNights я общался с одним из руководителей платежной системы, которая ориентируется на безопасность посредством использования телефона пользователя. В разговоре с ним я упомянул, что данный тип доставки одноразовых паролей имеет ряд уязвимостей. На что получил ответ, о простоте такого способа для данной системы, т.е. в данном случае пренебрегают безопасностью ради удобства.
Когда я писал статью, я рассчитывал на диалог с людьми, которые сталкивались с проблемой безразличности банков к безопасности их клиентов, а пока вижу только уколы между читателями. Жду Ваши комментарии, связанные с содержимым моего поста.
Когда я писал статью, я рассчитывал на диалог с людьми, которые сталкивались с проблемой безразличности банков к безопасности их клиентов, а пока вижу только уколы между читателями. Жду Ваши комментарии, связанные с содержимым моего поста.
+1
Удобство — это конкурентное преимущество. Чем больше безопасности, тем больше неудобство, тем меньше услуга похожа на преимущество. Вероятность грабежа закладывается в некие риски, но если прибыль существенно больше убыли, то один-два грабежа не так и страшно. Попробуйте ощутить себя в чужой шкуре и станет понятно почему эти другие так себя ведут. То что по вашему недопустимо, по их мнению очень даже можно делать =).
0
Проблема в том, что за финансовые потери клиентов в случае атак на их аккаунты банк или платежная система не отвечает. Их касается только репутационный риск. Я не говорю, что они полностью должны возложить все риски на себя, но вот предоставить широкий спектр средств защиты на выбор клиента, на мой взгляд, обязаны.
0
А они считают иначе =). Вы один из миллиона, который хочет сверхзащищенности, пусть даже в ущерб удобству. А между тем разработка чего-то сложного это большие деньги. Если большинство клиентов начнет требовать широкий спектр защиты, возможно это даст нужный толчок. В данном случае бал правят деньги и ключевое слово тут — прибыль, а не ум, честь и совесть.
+1
НЛО прилетело и опубликовало эту надпись здесь
Суппорт — это часть автомобиля, кажется. Точно так же как и биндинг — это не связь данных.
Но, для того, что бы делать подобные выводы, у вас просто не хватает опыта.
Но, для того, что бы делать подобные выводы, у вас просто не хватает опыта.
-2
Результат голосования показывает, что статью больше смотрят представители платежных систем и банков, чем простые клиенты
-1
почему ты считаешь нормальным иметь откат от твоего партнера, но считаешь ненормальным, когда кто-то другой имеет его от своего партнера? ведь это, по сути, главная причина почему тебя прокатили везде, а не из-за перечисленных тобой пяти причин )
0
почему ты считаешь нормальным иметь откат от твоего партнера
Откат !? Это когда ответственное лицо принимает решение в пользу определенного предложения за вознаграждение.
В моем случае, клиент принимает решение о выборе, а я в любом случае получу вознаграждение неважно решение хорошее или плохое. А так как я упомянул, что цена у данного решения ниже, то следуя корыстной логике, в которой Вы меня пытаетесь уличить, я должен предлагать не его, а более дорогое решение. Надеюсь, что я доходчиво пояснил.
но считаешь ненормальным, когда кто-то другой имеет его от своего партнера?
Неясно, что Вы тут имели ввиду?
+1
Откат !? Это когда
Ок, назовем это профитом. Хотя наличие «ответственности» у лица, я не считаю обязательным при определении слова откат.
корыстной логике, в которой Вы меня пытаетесь уличить
Да не надо мне вас уличать, вы сами себя обличили русским языком.
Неясно, что Вы тут имели ввиду?
Уфф, вроде бы взрослый человек, если полезли в банки со своим самоваром… А вам не приходило в голову, что ответственные лица в банках руководствуются именно теми же соображениями? А именно: от применения тех или иных технических решений, они получают личный профит. А тут вы такой красивый и с горячим сердцем, пекущимся о безопасности юзеров…
-2
Вижу, что автору надо было выдумать причины написания поста, т.к. это отвлекает от вопросов статьи )
0
В «нулевых» я 5 лет проработал разработчиком системы Клиент-Банк одного из филиалов московского банка.
Изначально у нас использовалась самописная dll, реализующая симметричное шифрование ГОСТ-94. Она была маленькая, работала быстро, бесшумно, позволяла клиентам банка самим генерировать ключи.
В 2002 году Правительство РФ приняло закон об обязательной сертификации СКЗИ. При этом СКЗИ должно было соответствовать новому ГОСТ-2001, но это ещё фигня — алгоритмы прописаны и их можно реализовать. Проблема в другом: процедура сертификации собственной СКЗИ стоила сумашедших денег, а самое главное, невероятной процедуры прохождения всех проверок и получения разрешений — это был кошмар для банковской сферы! Ни один банк не мог себе позволить такой порнографии.
Поэтому нам пришлось искать стороннее (уже сертифицированное ФАПСИ/ФСБ) СКЗИ. И здесь ожидала вторая подлянка: на тот момент их было всего 2: КриптоПро и VipNET (Инфотекс). Цены были конские. Например КриптоПро требовало с каждого рабочего места около 2 тыс. руб., для 2002 года — это ощутимые деньги. Нам кое-как удалось договориться о приемлимой цене с ВипНетовцами, и то при условии, что они сами будут генерять ключи (!!!). Дело в том, что Удостоверяющий Центр (УЦ) стоит конских денег, а наш филиал тогда не мог позволить себе такие расходы (Москва использовала фирменный КБ, их наши проблемы не интересовали).
Но и это ещё не всё. Дело в том, что библиотеки VipNet'а были заточены под шифрование сетевого трафика, а не под пользовательскую криптографию. Мне удалось «прикрутить» их библиотеки к нашему КБ, но постоянно выплывали «недокументированные особенности». Первые пол года я долбил их тех. отдел на предмет доработки библиотек. К счастью, они пошли навстречу, и в финале удалось получить работоспособное решение.
Парадокс в том, что сторонняя сертифицированная СКЗИ по размеру была сопоставима с самим КБ, включающим движок БД (Btrieve/Pervasive) и VCL-библиотеки Delphi! Теперь вы понимаете: «почему многие банки и платежные системы слабо переживают за безопасность своих клиентов»? Банкам просто не до этого (с учётом того, что творится в сфере банковской отчётности от ЦентроБанка).
Подведём итог по криптографии в банках:
1) запрещено использование не сертифицированных СКЗИ
2) сертификация своего СКЗИ для среднего банка — нереальна
3) на рынке сертифицированных СКЗИ особо не покопаешься
4) банки перегружены другими проблемами (например, отчётностью ЦБ).
Изначально у нас использовалась самописная dll, реализующая симметричное шифрование ГОСТ-94. Она была маленькая, работала быстро, бесшумно, позволяла клиентам банка самим генерировать ключи.
В 2002 году Правительство РФ приняло закон об обязательной сертификации СКЗИ. При этом СКЗИ должно было соответствовать новому ГОСТ-2001, но это ещё фигня — алгоритмы прописаны и их можно реализовать. Проблема в другом: процедура сертификации собственной СКЗИ стоила сумашедших денег, а самое главное, невероятной процедуры прохождения всех проверок и получения разрешений — это был кошмар для банковской сферы! Ни один банк не мог себе позволить такой порнографии.
Поэтому нам пришлось искать стороннее (уже сертифицированное ФАПСИ/ФСБ) СКЗИ. И здесь ожидала вторая подлянка: на тот момент их было всего 2: КриптоПро и VipNET (Инфотекс). Цены были конские. Например КриптоПро требовало с каждого рабочего места около 2 тыс. руб., для 2002 года — это ощутимые деньги. Нам кое-как удалось договориться о приемлимой цене с ВипНетовцами, и то при условии, что они сами будут генерять ключи (!!!). Дело в том, что Удостоверяющий Центр (УЦ) стоит конских денег, а наш филиал тогда не мог позволить себе такие расходы (Москва использовала фирменный КБ, их наши проблемы не интересовали).
Но и это ещё не всё. Дело в том, что библиотеки VipNet'а были заточены под шифрование сетевого трафика, а не под пользовательскую криптографию. Мне удалось «прикрутить» их библиотеки к нашему КБ, но постоянно выплывали «недокументированные особенности». Первые пол года я долбил их тех. отдел на предмет доработки библиотек. К счастью, они пошли навстречу, и в финале удалось получить работоспособное решение.
Парадокс в том, что сторонняя сертифицированная СКЗИ по размеру была сопоставима с самим КБ, включающим движок БД (Btrieve/Pervasive) и VCL-библиотеки Delphi! Теперь вы понимаете: «почему многие банки и платежные системы слабо переживают за безопасность своих клиентов»? Банкам просто не до этого (с учётом того, что творится в сфере банковской отчётности от ЦентроБанка).
Подведём итог по криптографии в банках:
1) запрещено использование не сертифицированных СКЗИ
2) сертификация своего СКЗИ для среднего банка — нереальна
3) на рынке сертифицированных СКЗИ особо не покопаешься
4) банки перегружены другими проблемами (например, отчётностью ЦБ).
+3
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Публикации
Изменить настройки темы
Почему многие банки и платежные системы слабо переживают за безопасность своих клиентов?