ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)»

Коммерцбанк АГ в России
Дочерний банк в Москве с филиалом в С.-Петербурге

Акционер: 100% Commerzbank AG

ЗАО «Коммерцбанк (Евразия)»:
- головной офис в Москве и филиал в С.-Петербурге

Представительство с 1976 г
Дочерний банк с 1993/1999 (Дрезднер Банк / Коммерцбанк)
Головной офис в Москве
Основное направление – обслуживание корпоративных
клиентов
Сотрудников: 150
2 место среди немецких банков в России*
10-е место среди международных банков в России*
____________________

*по капиталу, banki.ru, дек. 2013

Филиал в Санкт-Петербурге

Опыт и традиции

Cash Management and International Business & IT Security | Saint Petersburg | 24.04.2014 2
 ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)»

Содержание

1. Несанкционированный доступ в систему Банк-Клиент

Способы и нарушители
Как это выглядит?
Что делать?
Превентивные меры
2. Фишинг / фальшивый сайт
3. Global Payment Plus: современный уровень удобства и безопасности
Обзор
EBICS
USB stick
Обмен ключами
4. Дополнительнoе решение: разделение счетов Клиента
5. Ответы на вопросы

Cash Management and International Business & IT Security | Saint Petersburg | 24.04.2014 3
 ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)»

Несанкционированный доступ в систему Банк-Клиент

Способы:
- перехват управления компьютером;
- кража логина и пароля клиента для входа в систему, а также
ключа электронной подписи;
- перехват данных в процессе соединения с Банком.
Нарушители:
- штатные сотрудники;
- нештатные сотрудниками, обслуживающие компьютеры;
- злоумышленники, получившие доступ к компьютерам через сеть
Интернет или иные каналы связи.

Cash Management and International Business & IT Security | Saint Petersburg | 24.04.2014 4
 ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)»

Как это выглядит?

- наличие в системе неавторизованного платежного поручения

или запроса на выписку;
- «самостоятельная» (независимая от действий пользователя)
работа компьютера: перемещение курсора, открытие и закрытие
окон программ, заполнение форм и документов и пр.;
- нестабильная работа компьютера или полная его
неработоспособность;
- невозможность входа в систему со своим паролем;
- не работает ключевой носитель.

Cash Management and International Business & IT Security | Saint Petersburg | 24.04.2014 5
 ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)»

Что делать?

- срочно позвоните в отдел сервисной поддержки банковских

операций Банка по телефонам
(495)797-48-42 или (812) 718-51-53
и проинформируйте об имеющихся подозрениях или фактах;
- проверьте содержание всех выполненных за последнее время
платежей;
- направьте в Банк заявление о блокировке операций в системе;
- произведите смену ключей ЭП.

Cash Management and International Business & IT Security | Saint Petersburg | 24.04.2014 6
 ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)»

Превентивные меры

Технические
- выделенный компьютер для работы с системой банк-клиент;
- правильная настройка и обновление операционной системы и
антивирусного ПО;
- доступы только для пользователей системы банк-клиент и
только в рамках работы с этой системой.
Организационные
- ограничение доступа к компьютеру и ключам электронной
подписи;
- политика использования ключей электронной подписи и
ответственность за её нарушение;
- при возможности использовать распределенное право подписи
(первая и вторая подпись) вместо права единственной подписи.

Cash Management and International Business & IT Security | Saint Petersburg | 24.04.2014 7
 ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)»

Фишинг / фальшивый сайт

- при входе в систему банк-клиент Банка контролировать наличие

защищенного соединения, а именно: в начале адресной строки
должен отображаться тип протокола https
https://ic.commerzbank.ru
- Для проверки данных владельца сайта щелкнуть по значку
защищенного соединения.

Cash Management and International Business & IT Security | Saint Petersburg | 24.04.2014 8
 ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)»

Global Payment Plus: обзор

- Канал доступа: Интернет

- EBICS = Electronic Banking Internet Communication Standard
• Стандарт безопасности и средства безопасности EBICS
• технология 3-х ключей:
электронной подписи + аутентификации + шифрования
• дает возможность работы с несколькими банками с одним набором ключей
- Персональный GPP stick “все в одном”:
• Защищенные Операционная Система + браузер + ПО
• Автоматически обновляемое ПО (защищенный режим, только с портала GPP)
• SIM-карта для хранения и использования неизвлекаемых ключей
• независимость от компьютера пользователя
необходимо только интернет-соединение
• Блокировка доступа ко всем сайтам кроме портала GPP
- Доверенная среда

Cash Management and International Business & IT Security | Saint Petersburg | 24.04.2014 9
 ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)»

Global Payment Plus: EBICS

2008: EBICS обязателен для банков в Германии

2014: EBICS для наших клиентов в России

Cash Management and International Business & IT Security | Saint Petersburg | 24.04.2014 10
 ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)»

Global Payment Plus: USB stick

Cash Management and International Business & IT Security | Saint Petersburg | 24.04.2014 11
 ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)»

Global Payment Plus: обмен ключами

- Отправка ключа ЭП со смарт-карты на сервер GPP

- Создание уникальных ключей аутентификации и шифрования сервером GPP
- Распечатка СКПП с тремя ключами
- Собственноручная подпись пользователя на СКПП
- Предоставление оригинала подписанного СКПП в Банк
- Пользователь активирован!
Регистрация сервером GPP всех операций с ключами

Cash Management and International Business & IT Security | Saint Petersburg | 24.04.2014 12
 ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)»

Дополнительнoе решение: разделение счетов Клиента

Клиент ДБО

RUB RUB
счет A счет B

Банковская система

Плательщики счет A счет B

Получатели

Cash Management and International Business & IT Security | Saint Petersburg | 24.04.2014 13
ЗАО «КОММЕРЦБАНК (ЕВРАЗИЯ)»

Спасибо за внимание!
Сергей Егоров Александр Шумилов

Head of IT Security, IT department Head of Client service, Cash Management & International Business

+7 499 270 14 39 +7 495 797 48 34

Sergei. Egorov@commerzbank.com Alexander. Shumilov@commerzbank.com

Cash Management and International Business & IT Security | Saint Petersburg | 24.04.2014