Document 2139426
advertisement
Мошенничество – проблема бизнеса Риски организации: •Непрерывность бизнеса •Информационная безопасность •Мошенничество •… Цели противодействия мошенничеству Потери от мошенничества будут всегда. Вопрос – в каких размерах (по отношению к доходу) они приемлемы для бизнеса? Примеры целей (или ключевые показатели цели – KGI): •снизить суммарные финансовые потери от мошенничества (до 3% от годового дохода к 2015 году и до 1% к 2018 году) •сократить стоимость инцидентов и время на расследование/выявление корневых причин мошенничества (в 2 раза, к 2014 году) •обеспечить соответствие законодательству (в части управления рисками мошенничества) и успешное прохождение внешнего аудита (к 2014 году) Корпоративная стратегия противодействия мошенничеству Программа реализации стратегии должна соответствовать стратегии развития бизнеса и учитывать все внутренние и внешние изменения Ресурсы: Политики, Стандарты, Процессы, Методики, Контроли, Технологии, Персонал, Навыки, Тренинги и обучения. Ограничения: Тенденции отрасли, Требования законодательства, Культура и нормы этики в организации и за еѐ пределами, доступность персонала и квалификаций, риск аппетит руководства Managing the Business Risk of Fraud: a Practical guide Практическое руководство по управлению бизнес риском мошенничества основано на 5 ключевых принципах: 1. Корпоративное управление (governance) противодействием мошенничеству 2. Оценка рисков мошенничества 3. Предотвращение мошенничества 4. Обнаружение мошенничества 5. Расследование мошенничества и корректирующие меры Ролевая структура и процессы Виды мошенничества Виды мошенничества: •Фальсификация финансовой отчетности •Незаконное присвоение материальных и нематериальных активов •Коррупция и взяточничество Мошенничество в банках: •Расчетно-кассовое обслуживание •Выдача кредитов •Ценные бумаги •Залоговое имущество Тенденции банковской отрасли «В Европе 392 миллионов интернет-пользователей. 86 % из них (разных возрастных категорий) используют предлагаемые банками онлайновые сервисы и заходят на сайты банков в среднем 2 раза в неделю. 15% интернет-пользователей используют мобильный банкинг, который набирает обороты стремительными темпами, что обусловлено запросами категории молодых и богатых клиентов.» Efma and Exton Consulting «Digital Channels 2012» «Ударными темпами растет число пользователей ДБО. С 2009 года доля счетов ФЛ, доступных через Интернет, выросла с 12 до 25%, а доля счетов с «мобильным» доступом и того больше – в три раза.» РА Эксперт, Обзор «Интернет-банкинг в России: от снижения издержек к доходам» Тенденции банковской отрасли «Согласно установочному исследованию дистанционных банковских услуг 200 крупнейших российских банков, проведенному агентством Markswebb Rank&Report в январе 2012 года, 27% банков предлагают своим клиентам физическим лицам хотя бы один мобильный интерфейс для управления счетами. По результатам исследования Mobile Banking Rank 2012, проведенного в июне 2012 года, среди 30 крупнейших российских розничных банков, мобильный банкинг в том или ином виде предлагают почти 75% банков (22 банка).» Markswebb Rank & Report, «Mobile Banking Rank 2012: первое исследование систем мобильного банкинга российских банков» Тенденции банковской отрасли Тенденции банковской отрасли: •Розничные банковские услуги •Интернет и мобильный банкинг •Поколение «Y», Банк 2.0, Банк 3.0 (очень далекая перспектива…) Как может измениться банковская стратегия ИТ? •Банковские интернет-порталы (интеграция с банковскими системами) •Мобильные приложения (собственная разработка, готовые решения, платформы) •Социальные сети •RFID, NFC Риски компьютерного мошенничества Тенденции противодействия компьютерному мошенничеству FFIEC Supplemental Guidance on Internet Banking Authentication: •Многослойная защита (Layered security) •Регулярная оценка рисков (а также при изменениях в ДБО) •Предотвращение использования простых одиночных контролей •Мультифакторная аутентификация •Распознавание аномальных транзакций Основные принципы: •Знай своего врага •Знай своего клиента •Учитывай худший случай Управление ИБ и риски мошенничества Общие процессы: •Оценка и обработка рисков •Повышение уровня осведомленности •Внедрение и эксплуатация механизмов предотвращения, обнаружения и расследования •Мониторинг и оценка эффективности контролей •Совершенствование проводимых мероприятий Предотвращение компьютерного мошенничества Программа повышения осведомленности Моделирование угроз: •Asset-centric (ISO 27001, OCTAVE, NIST) •Software-centric (Microsoft STRIDE, DREAD, OWASP PASTA, Trike) •Attacker-centric (Intel Threat Agent Library (TAL) и Threat Agent Risk Assessment (TARA)) Требования ИБ на стадиях жизненного цикла (SDLC) •PCI PA-DSS •PCI Mobile Payment Acceptance Security Guidelines for Developers Анализ данных из внешних источников об актуальных угрозах и схемах мошенничества (Предупреждения CERT, отраслевых органов, регулярные отчеты, сводки и бюллетени по ИБ) Предотвращение компьютерного мошенничества Идентификация пользователей и устройств Информация, которую респонденты готовы позволить доверенным банкам проверять в целях идентификации или идентификации своего компьютера Ponemon Institute, 2011, "Consumers’ Reaction to Online Fraud" Номер водительских прав Номер страхового свидетельства Почтовый индекс Имя (ФИО) Домашний адрес Номер телефона Дата рождения Планируемые будущие покупки Истории покупок Адрес электронной почты Виды установленных программных… IP адрес Тип браузера Настройки браузера Интернет-провайдер Тип и марка вашего компьютера Серийный номер компьютера 0% 2011 2009 20% 40% 60% 80% 100% Предотвращение компьютерного мошенничества Адаптивная аутентификация (многофакторная аутентификация, аутентификация с учетом факторов риска) Многослойная защита (Layered security) – обход одного контроля (слоя) на пути доступа к данным или операциям компенсируется следующим (слоем) и т.д.(третьим, четвертым…) Метрики процессов предотвращения Обнаружение компьютерного мошенничества «К 2015 году 80% успешных атак будут использовать известные уязвимости и смогут быть определены с помощью мониторинга безопасности.» Gartner: "Adapting Vulnerability Management to Advanced Threats", August 2012 Мониторинг и накопление данных обо всех действиях пользователей (с момента входа до момента выхода из системы) с целью построения поведенческих моделей и выявления аномалий. Чем больше информации, тем выше точность обнаружения мошенничества. Мониторинг, как ключевой элемент многослойной защиты в связке с превентивными мерами. Метрики процессов обнаружения Расследование компьютерного мошенничества Ключевые аспекты: •Сохранность и неизменность доказательств компьютерного мошенничества (ISO/IEC 27037:2012 «Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence») •Юридическая оценка •Подготовка документов для передачи в правоохранительные органы (рекомендации АРБ о порядке действий в случае выявления хищения денежных средств в ДБО) •Отчетность по результатам расследования •Корректирующие меры •Метрики процессов расследования Измерения и совершенствование Ключевые показатели противодействия мошенничеству: •KGI - цели •KPI - производительности •KRI (KFI) – риска (мошенничества) KGI = F (KRI мошенничества) KGI = F (KPI процессов) KPI процессов = F (KPI контролей)
