Новости платежных технологий

13.02.2018

ОБЗОР СОБЫТИЙ В НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЕ

ОБЗОР  СМИ

 

Зампред ЦБ: «Траты на обеспечение информационной безопасности неизбежны»

Затраты на обеспечение информационной безопасности неизбежны, это общемировой тренд, заявил заместитель председателя ЦБ Дмитрий Скобелкин на X Уральском форуме «Информационная безопасность финансовой сферы».

«Затраты на обеспечение информационной безопасности неизбежны, но это общемировой тренд. Коль скоро такая угроза растет, ее нужно локализовать. Для этого нужны в первую очередь деньги», — подчеркнул Скобелкин.

По его мнению, это объективная необходимость для достижения конкурентоспособности на финансовом рынке.

Banki.ru

 

ЦБ разработает национальные стандарты по информационной безопасности

Центральный банк планирует разработать проекты национальных стандартов по информационной безопасности в 2018 году. Об этом заявил заместитель председателя Банка России Дмитрий Скобелкин на X Уральском форуме «Информационная безопасность финансовой сферы».

«В 2018 году Банк России в рамках технического комитета по стандартизации планирует разработать проекты национальных стандартов, которые будут определять общие подходы обеспечения информационной безопасности, управления рисками реализации информационных угроз, требования и меры к организации управления инцидентами информационной безопасности», — сказал в ходе выступления Скобелкин.

Кроме того, регулятор планирует ввести в действие стандарт Банка России, определяющий технические форматы электронных сообщений для информирования ЦБ РФ о выявленных инцидентах в 2018 году, добавил он.

Banki.ru

 

Россвязь​​: банки никогда не будут заниматься услугами связи

Классические банки никогда не будут предоставлять услуги связи. Такое мнение высказал заместитель руководителя Федерального агентства связи (Россвязь) Роман Шерединна X Уральском форуме «Информационная безопасность финансовой сферы».

«Если мы говорим о деятельности как таковой, операторов связи и банков, то эта деятельность будет все равно разная и будет иметь границы. Если мы говорим о процессе слияния и поглощения активов, когда некая структура будет оказывать и услуги связи, и финансовые услуги в одном флаконе, то банкам сейчас неинтересно подключение услуг связи потребителем, им интересны сопутствующие услуги. Мое глубокое мнение, что не будет никогда, чтобы классический банк занимался услугами связи, а мобильный оператор был банком», — рассказал он в ходе выступления.

Banki.ru

 

Банк России создаст департамент информационной безопасности

Банк России создаст специализированный департамент информационной безопасности, который возьмет функции отраслевого центра. Об этом рассказал заместитель председателя ЦБ Дмитрий Скобелкин на X Уральском форуме «Информационная безопасность финансовой сферы».

«На днях руководством Банка России было принято решение о создании специализированного подразделения — департамента информационной безопасности Банка России, который и возьмет функции отраслевого центра. Также будет создан центр компетенции по информационной безопасности в кредитно-финансовой сфере», — рассказал он в ходе выступления.

Основными задачами центра компетенции станут организация и координация работ по совершенствованию форм и методов взаимодействия финансовых организаций по вопросам обеспечения информационной безопасности и повышения их готовности к противостоянию информационным угрозам.

Banki.ru

 

Система мониторинга сомнительных счетов заработает к марту 2018 года

Центробанк, Роскомнадзор и Росфинмониторинг к марту этого года создадут IT-систему учета активов, замороженных из-за подозрения их владельцев в финансировании терроризма. Мониторинг будет касаться средств, находящихся в банках, микрофинансовых и управляющих компаниях, операторах мобильной связи. Создать новый механизм было решено на недавнем совещании в Росфинмониторинге, пишут «Известия».

«Ввести систему учета активов, замороженных по решениям Межведомственной комиссии по противодействию терроризму по подозрению в отмывании денежных средств и находящихся в поднадзорных организациях частного сектора», — говорится в протоколе совещания.

Сейчас банки, МФО, управляющие компании, НПФ и операторы сотовой связи передают сведения только о подозрительных операциях клиентов в Росфинмониторинг. Служба блокирует их по решению Межведомственной комиссии по противодействию финансированию терроризма. Она заработала в 2015 году, ее возглавляет директор Росфинмониторинга Юрий Чиханчин.

Благодаря новой системе ЦБ, Роскомнадзор и финразведка начнут оперативно оповещать правоохранительные органы о «токсичных» активах людей, подозреваемых в содействии терроризму. Средства будут конфисковываться, что позволит предотвращать теракты, рассказал газете источник, близкий к Росфинмониторингу.

«Нововведение дополнит действующий механизм. IT-система может быть создана на базе ведомства при содействии ФСБ», — добавил собеседник издания.

У такой системы много плюсов, уверена управляющий партнер аудиторской компании «2К» Тамара Касьянова. Это систематизация информации, сбор статистики, обмен данными с зарубежными финансовыми организациями, которые занимаются подобной деятельностью, поясняет она. Нововведение соответствует мировой практике, отметила эксперт. В США подобный механизм заработал после сентябрьских терактов в 2001 году.

Известия

 

PSD2 позволит россиянам переводить деньги по номеру телефона в 2019 году

Россияне в 2019 г. смогут переводить деньги друг другу по номеру телефона без привязки к банковским картам. Это станет возможным благодаря тому, что Россия внедрит и законодательно закрепит принципы платежной директивы европейской платежной директиве PSD2.

В Евросоюзе PSD2 действует с января 2018 г. Как рассказал «Известиям» источник, близкий к ситуации, в России данный вопрос сейчас прорабатывает ассоциация «Финтех» при ЦБ.

Директива PSD2 обяжет баки открыть свои клиентские базы и программные интерфейсы (API) третьим лицам, в том числе сотовым компаниям. В этом случае при переводе денежных средств участие платежной системы не требуется, таким образом деньги можно перечислять даже не зная номера карты получателя.

Читайте также: Развитие открытых API на рынке финансовых услуг – баланс между инновациями и финансовыми рисками потребителей

 «По инициативе Банка России в «Финтехе» открыто отдельное направление по развитию открытых API, — сообщили «Известиям» в ЦБ. — В рамках данного направления будут определены подходы к их реализации в России, проведены пилотные проекты, разработаны стандарты и методические документы».

Предполагается, что данные о клиентах и интерфейсы банки будут раскрывать не бесплатно. Тарифы за эту услугу еще не определены.

Plusworld

 

Минкомсвязи согласовывает законопроект о предоставлении банкам информации о SIM-картах

Законопроект об информировании банков мобильными операторами о замене клиентами SIM-карт проходит согласование с Минкомсвязью. Об этом заявил зампред ЦБ Дмитрий Скобелкин а кулуарах Х Уральского Форума «Информационная безопасность финансовой сферы».

«Остались небольшие моменты, которые мы с Минкомсвязи согласуем и презентуем систему, которая позволит безопасно пользоваться телефоном при осуществлении транзакций», — сказал Д. Скобелкин.

Законопроект может быть внесён на рассмотрение в 2018 г., добавил зампред ЦБ. Замначальника главного управления безопасности и защиты информации ЦБ РФ Артем Сычев пояснил, что банки должны получать информацию о замене SIM-карт клиентами, чтобы проводить безопасные транзакции.

Напомним, также с 1 июля 2018 года в силу вступит законопроект, который запрещает распространение анонимных SIM-карт. Для банковского и платёжного сообщества данный законопроект важен тем, что направлен на борьбу с рынком SIM-карт, зарегистрированных на подставных лиц.

Plusworld

 

АКРА: государство опоздало с созданием банка «плохих» долгов на десять лет

Создание банка «плохих» долгов пошло бы на пользу российской банковской системе. Об этом на конференции «Основные макротренды: процентный риск вместо валютного, санкции, регуляторные факторы, рост аппетита к риску» заявил руководитель группы финансовых институтов АКРА Кирилл Лукашук. По его мнению, это надо было сделать еще десять лет назад.

«Государство опоздало с этим лет на десять, это нужно было делать еще в 2009 году. 2009-й с точки зрения восстановления экономики и банковского сектора был достаточно резким. Показалось, что все уже хорошо и дальше будет так же. А на самом деле мы пришли к затянувшемуся структурному кризису. Большая часть корпоративных заемщиков чувствует себя хуже. Все заемщики, которые вышли в категорию проблемных, их финансовое положение не восстанавливается, а делается только хуже», — отметил Лукашук.

По его словам, кредиты, выданные таким заемщикам, продолжают оставаться на балансах банков. Кредитные организации вынуждены тратить операционные расходы на работу с этими проблемными задолженностями.

«В прошлом году мы заметили сдвиг. Крупные институты направили существенную долю средств на работу с проблемкой, потому что, даже если ты устанавливаешь 3—4% от номинальной стоимости, ты уже зарабатываешь, твой риск уже зарезервирован», — добавил Лукашук.

По его словам, динамика так называемых безнадежных активов не радует: цифры выросли с 1,6 трлн рублей на 2014 год до 3,8 трлн рублей на текущий момент. Почти все эти безнадежные ссуды зарезервированы, подчеркнул он. При этом препятствий для передачи этих зарезервированных ссуд с баланса банка на баланс специальной кредитной организации, по словам эксперта, не существует.

«Это удивительно, но в России до сих пор нет единого крупного инфраструктурного инструмента для работы с проблемной задолженностью. В основном это работа по агентской схеме. Того фонда, который мог бы в деньгах абсорбировать эту проблемную задолженность, нет», — пояснил Лукашук.

При этом в агентстве видят больше плюсов от создания такого фонда. «Это может снизить операционные затраты банков на работу с такими активами, с одной стороны. С другой стороны, когда ты работаешь с большим пулом на системное уровне, рекавери выше», — сказал Лукашук, добавив, что это, в частности, показывает практика Ирландии.

Banki.ru

 

В Москве пройдет финтех-встреча

19 февраля в DI Telegraph состоится встреча экспертов и предпринимателей в сфере финансовых технологий — Moscow FinTech Meetup: финансовое планирование.

Ее участники обсудят вопросы, связанные с грамотным распоряжением финансами:

  • какие изменения технологий и поведения пользователей меняют логику и суть финансового планирования;
  • как установка и следование финансовым целям становится обязательной составляющей всех продуктов; 
  • почему «демократизация» финпланирования важна сегодня, в условиях дефицита пенсионных накоплений и стоимости медицинского обслуживания.

Программа мероприятия:

  • Daniel Gusev — Fintech Moscow, Russian Fintech Association, Gauss Ventures.
    Кратко о Fintech Moscow и FM-митапах: вводная часть в тему глобальных и локальных тенденций финансового планирования.
  • Микола Чумак — основатель киевского дизайн-бюро IDNT, проектирующей ритейл-пространства в том числе для финансовых институтов.
    Изменение подхода и «упаковки»: услуги финансового планирования в оффлайне и цифровые сервисы в проектировании отделений.
  • Антон Тодосийчук — исполнительный директор, начальник отдела развития платформы удаленных каналов обслуживания, «Банк XXI» – Сбербанк.
    Демократизация финансовой грамотности через каналы самого большого банка Восточной Европы.
  • Антон Красненков — старший директор департамента инноваций и стратегических партнерств, Visa.
    Через инновации к финансовой грамотности: взгляд компании Visa.
  • Денис Кучкин — генеральный директор Септем Капитал и основатель финсервиса Yango, обеспечивающего простой интерфейс вложений средств в ценные бумаги.
    Долгосрочное планирование и инвестиции в Финансовом ритейле.

Rusebase

 

Враг внутри: почему хакеры обыгрывают банкиров

Банки тратят миллионы на обеспечение информационной безопасности, однако множество инцидентов заставляет усомниться в целесообразности некоторых трат. Например, таких, как вслучае с «Металлинвестбанком», когда потери составили 200 млн рублей, или с «Глобэксом», который, по слухам, чуть не лишился 75 млн долларов. Поэтому есть смысл проанализировать, разумно ли финансовые учреждения распоряжаются доступными им ресурсами.

Студенты без экзаменов

Мы поинтересовались у 170 российских компаний, как распределяется их бюджет на информационную безопасность (ИБ). Почти четверть респондентов (23%) представляли банковскую отрасль. Как выяснилось, лишь 13% банков используют целостный подход к защите от киберугроз, не ограничиваясь мерами, обусловленными требованиями законодательства. К слову, именно благодаря требованиям законодательства и руководящих документов (например, таких как СТО БР и PCI DSS) все финансовые учреждения повышают осведомленность сотрудников в вопросах ИБ. Другой вопрос, что проверяют эффективность такого обучения чуть больше половины (57%). Это все равно что у половины студентов отменить экзамены в расчете на их сознательность!

Как мы знаем, фишинг представляет серьезную угрозу для любой компании. Мало кто из банковских специалистов, занимающихся вопросами информационной безопасности, не слышал об атаках Carbanak и Cobalt. Эти группировки активно использовали фишинговую рассылку. В частности, вредоносные документы группы Cobalt в 2017 году имитировали предупреждения Центробанка, Visa и Mastercard, причем рассылка велась не только по рабочим, но и по личным почтовым ящикам сотрудников банков. Фишинговые письма отправлялись и с почтовых адресов взломанных контрагентов. Такой подход увеличил долю открывших вложения от Cobalt сотрудников в два – два с половиной раза, хотя обычно фишинг срабатывает в 20–30% случаев (что, впрочем, тоже весьма чувствительно). Очевидно, что ограничиваться формальным подходом к обучению сотрудников основам ИБ просто опасно.

Сайты и запоздалые инсайты

Немало проблем связано с веб-приложениями. Через нихвзламывали даже таких защищенных «монстров», как JPMorgan Chase, где после утечки 83 млн персональных данных пообещалиувеличить затраты на ИБ вдвое, до полумиллиарда долларов. До сих пор наши специалисты в ходе пентестов в трех из четырех случаевпреодолевают сетевой периметр и проникают в локальную сеть компании, используя именно уязвимости веб-приложений. После отчетов Gartner и Verizon всем известно, что веб-приложения уязвимы, но поддерживать в актуальном состоянии их безопасность достаточно сложно: они регулярно требуют улучшений и доработок.

Пытаясь уложиться в сроки, разработчики полностью фокусируются на функциональности, ненароком создавая все больше уязвимостей в исходном коде приложения. Кроме того, идеальную картину подпортят сервисы подрядчиков, защищенность которых не всегда возможно контролировать, а также еще не поддерживаемые разработчиками legacy-приложения. В защите веб-приложений от кибератак помогают межсетевые экраны прикладного уровня ( Web Application Firewall). Однако, как показало наше исследование, в 2017 году в России для защиты веб-приложений их применяют менее трети всех опрошенных банков (27%). Даже среди банков, лидирующих по выделяемому ИБ-бюджету, этот показатель составляет лишь 70%.

Чтобы поймать вайфай, думай как вайфай

По нашим оценкам, в 36% систем сетевой периметр удается преодолеть из-за недостаточной защиты беспроводных сетей. Так, например, во время одного из аудитов безопасности специалисты Positive Technologies прямо со стоянки возле офиса смогли подключиться к корпоративной сети компании, перехватить учетные записи нескольких сотрудников и получить все возможности для развития атаки внутри сети.

Об опасности автоматического подключения мобильных устройств к знакомым сетям специалисты говорят не первый год: злоумышленники могут использовать поддельную точку доступа для перехвата паролей и логинов и другой конфеденциальной информации. В 2016 году с помощью подобных атак специалисты Positive Technologiesуспешно перехватывали аутентификационные данные в 75% проектов по анализу защищенности. Но почти каждый четвертый опрошенный нами банк уверен в безопасности своих беспроводных сетей и никогда не проводил анализ их защищенности, еще половина делала аудит только после инцидента.

Подозрительная активность

Представим, что преступник уже попал в сеть и пытается захватить контроль над критическими рабочими станциями (АРМ КБР, например). Выявить подозрительную активность возможно с помощью грамотно настроенных SIEM-систем. Однако подобные системы установлены лишь у 65% банков.

Но самая любопытная история была связана с атаками шифровальщиков. WannaCry и NotPetya, кажется, научили бизнес своевременно устанавливать обновления безопасности для исключения уязвимостей. Но нет, у 25% банков-респондентов отсутствует контроль установки обновлений ПО, а 8% не отслеживают появление информации о новых уязвимостях.

Можно предположить, что кредитные организации не осознают потенциальный ущерб. Но более половины участников нашего опроса оценили предполагаемые потери от кражи базы данных клиентов в сумму более 50 млн рублей. Треть оценивают минимальный ущерб от нарушения деятельности в течение одного дня в 50 млн рублей. Эти суммы превышают годовой бюджет на ИБ большинства опрошенных финансовых учреждений, который ограничивается суммами в 20–40 млн рублей.

Как мы видим, российские банки хорошо понимают возможные потери, но, видимо, считают, что достаточно защищены или что ничего серьезного с ними приключиться не может. Средства антивирусной защиты, межсетевое экранирование и виртуальные частные сети, демилитаризованные зоны, IPS/IDS, средства резервирования – эти компоненты в той или иной мере присутствуют в каждом банке, поскольку необходимость их использования закреплена на законодательном уровне в части требований по защите информации. Однако тенденции кибератак показывают, что стандартные средства защиты перестали быть серьезной преградой для целевой атаки на любую организацию. Значит, нужно применять новые технологии и совершенствовать свою защиту. При этом только 13% опрошенных организаций финсектора применяют комплексный подход к защите от киберугроз, не ограничиваясь базовыми средствами защиты. Остальные же оставляют лазейки для киберпреступников: уязвимые веб-приложения, открытые порты на сетевом периметре и другие уязвимости. Для таких компаний и банков опасность может прийти откуда угодно.

Сегодня целенаправленные атаки на банки не требуют особых финансовых затрат: вместо специальных сканеров может быть использован Google, вместо уязвимостей нулевого дня – эксплойт-паки, слитые группой The Shadow Brokers. Согласно нашему опросу, каждый восьмой банк не проводит инвентаризации своих ресурсов, а каждый третий делает это только для получения информации о ресурсах и не оценивает их защищенность.

Как бороться?

Основной принцип – не закрывать глаза на проблему, а находить ее оптимальное решение. Если отказ от установки актуальных патчей для печально знаменитого протокола SMBv1 связан с опасениями по поводу корректности работы бизнес-процессов, значит, необходимо принимать альтернативные шаги, выделяя такие системы в отдельный сетевой сегмент и блокируя к нему доступ из пользовательской сети.

Любой банк проводит тренировочные учения на случай пожара, но как действовать при блокировке шифровальщиком рабочих станций – не всегда знает даже специалист по ИБ. При трудоустройстве в банк нового сотрудника служба безопасности, как правило, неделями проверяет его биографию. Однако к инструктажу сотрудников в вопросах ИБ в большинстве случаев банки подходят не столь внимательно. В итоге специалист вполне может открыть зараженное письмо с очередной счет-фактурой, передавая управление своим ПК неизвестному киберпреступнику.

Каждая финансовая организация – мишень для терпеливых, скрупулезных целевых атак. В подобных случаях традиционный набор средств информационной безопасности оказывается несостоятельным в девяти случаях из десяти. При этом такие атаки не требуют больших инвестиций. И если вы планируете защитить свой банк от группировок, подобных Cobalt, необходимо учитывать перечисленные особенности. Иначе того и гляди сбудется прогноз № 3 из « Гида пессимиста» агентства Bloomberg, в котором очередной взлом банка станет поворотным моментом к массовому снятию денег с депозитов и вложению их в биткоины.

Bankir.ru

 

Thales инвестирует в аппаратную безопасность использования блокчейн-технологии

В последние несколько лет криптовалюта стала самым обсуждаемым явлением и одновременно самым привлекательным направлением для венчурных инвестиций. Она сумела заинтересовать не только частных инвесторов, но и крупнейшие международные корпорации, в число которых вошел, несмотря на имеющиеся юридические ограничения, и ряд топовых российских игроков финансового рынка. 

Успех этого абсолютно нового явления, выразившийся в неправдоподобном росте обменного курса наиболее распространенных криптовалют, в частности Bitcoin, был достигнут благодаря уникальным возможностям основополагающей концепции и технологии блокчейн. 

С момента появления концепции, предложенной в сети ее анонимным создателем (или группой создателей) с ником Satoshi Nakamoto, и первой реализации в 2009 году в качестве ядра криптовалюты Bitocoin потребовалось всего несколько лет, чтобы обкатать и полностью продемонстрировать грандиозные возможности распределенных вычислений в сети, а самое главное – высочайший на настоящий момент уровень безопасности и защиты информации, обеспечиваемый в рамках блокчейн. Как результат – биткоин показал относительно стабильный экспоненциальный рост цены, и на конец 2017 года крупнейшие биткоин-кошельки хранили суммы, превышающие несколько миллиардов долларов, обеспечивая при этом своим владельцам декларируемую разработчиками полную анонимность.

Неудивительно, что технология блокчейн за короткое время привлекла внимание финансовых магнатов, спецслужб, правительств и разработчиков по всему миру, вдохновив на множество альтернативных ее применений. Например, в качестве потенциальной замены давно устаревшей межбанковской системы передачи информации и совершения платежей SWIFT, имеющей ряд технических недостатков, сильно политизированной и де-факто подконтрольной США. Новая перспективная система на основе блокчейн была бы лишена централизованного управления и контроля и при этом позволила бы практически мгновенно проводить межбанковские операции. Децентрализация же защищала бы участников «нового блокчейн-SWIFT» от политического давления, включая шантаж возможностью «отключения» неугодных от системы. 

В то же время нельзя не отметить, что рост популярности и цены криптовалюты сделал этот рынок самым привлекательным и одним из самых рискованных с точки зрения всевозможных мошеннических схем. Обеспечивая безопасность самой системы, технология блокчейн никак не решает вопрос безопасности отдельных ее участников, т. е. владельцы криптовалюты несут целиком и полностью персональную ответственность за защиту своих кошельков и активов.

Практически все существующие на данный момент на рынке сервисы, работающие с блокчейном, такие как криптобиржи и криптокошельки, реализованы без использования аппаратных шифровальных средств, что абсолютно неприемлемо с точки зрения практики и стандартов безопасности традиционных электронных платежей, например, PCI. Из-за отсутствия действующих стандартов и регуляторов в сфере криптовалют количество подобных сервисов, как и случаев их взлома, растет геометрически.

В ответ на это лидеры рынка защиты информации, такие как компания Thales e-Security, официальным дистрибьютором в России которой является DNA Distribution, с 2016 года рассматривают блокчейн как наиболее перспективную технологию, которая уже формирует новые продукты и стандарты на мировом рынке. Актуальной задачей становится обеспечение разработчиков и пользователей блокчейн удобными, безопасными и стандартизованными средствами защиты информации. В силу полностью криптографической природы блокчейн, на передний план выходят специализированные аппаратные модули безопасности HSM, такие как Thales nShield, успешно применяющиеся для защиты традиционных банковских и карточных платежей на протяжении всей истории их существования. 

Аппаратные модули безопасности (HSM) – специализированные защищенные криптопроцессоры, которые без-опасным образом генерируют, проверяют и хранят ключи шифрования. Ключи, созданные в HSM Thales, не могут быть извлечены или использованы неправомерным образом. Широко распространенная платформа Thales nShield является семейством модулей безопасности общего назначения и повсеместно применяется, например, для безопасной реализации возможностей протокола Visa 3-D Secure онлайн-платежей по пластиковым картам. 

Джон Гейтер (Jon Geater), технический директор Thales e-Security, комментирует перспективы технологии блокчейн следующим образом: «Возможности блокчейна бесконечны. В финансовом секторе все, начиная с транзакций и заканчивая контрактами и сделками, может быть реализовано в блокчейне для обеспечения легитимности и упрощения расчетных процессов. Аналогичным образом такие отрасли, как здравоохранение и государственная власть, также могут воспользоваться всеми преимуществами данной технологии. Однако, чтобы воплотить технологию блокчейн в жизнь, мы должны быть в ней уверены, а это означает, что каждый участник должен принимать и выполнять свою роль в цепочке. К сожалению, инновации и уязвимости очень часто идут рука об руку (ВРЕЗ). Thales продолжает инвестировать в блокчейн, чтобы обеспечить доверие этой передовой технологии». 

Одной из основных преград на пути к полномасштабному применению блокчейна для обеспечения таких основных задач, как расчетно-клиринговая деятельность, платежи, здравоохранение, торговое финансирование, управление государством и законодательство, является решение критически важного вопроса обеспечения безопасности на высочайшем уровне доверия. 

Прежде чем перейти на работу в рамках блокчейн, коммерческим и государственным структурам необходимо обеспечить полное доверие к данной технологии. Это означает, что каждый участник системы должен осознавать свою роль и ответственность в рамках блокчейн-цепочки и то, как он будет обеспечивать защиту от связанных с этим процессом рисков. 

Система безопасности блокчейна основана на асимметричном шифровании, в частности на криптографической системе с открытым ключом. Открытый ключ определяет адрес в блокчейн-системе (в частности, адрес кошелька криптовалюты). Для расшифровки информации используется закрытый ключ, который известен только владельцу и подобно паролю дает ему доступ ко всем его цифровым активам. Вся ответственность по защите закрытых ключей ложится на их владельцев, в том числе и выбор методов защиты. Таким образом, закрытые ключи являются главным объектом потенциальных атак злоумышленников и нуждаются в предельной степени защиты. 

Подход с применением отраслевых модулей шифрования HSM обеспечивает гибкий и безопасный стандарт взаимодействия узлов сети блокчейн. Он делает практически невозможными кражу или подмену цифровых ключей, поскольку они хранятся не на обычных носителях информации, как в программных реализациях, а в физически защищенных и изолированных от ИТ-инфраструктуры сертифицированных модулях безопасности. Более того, данное решение позволяет использовать единую инфраструктуру безопасности для защиты множества разных реализаций блокчейн, уже существующих или только перспективных, например, разных криптовалют. 

Питер Галвин (Peter Galvin), вице-президент Thales по стратегии и маркетингу, считает, что использование аппаратных модулей безопасности HSM для защиты блокчейн является естественным развитием технологии, и HSM станут основным ядром безопасности инфраструктур блокчейн. Он отмечает, что каждая транзакция, созданная в блокчейн, нуждается в наборе криптографических ключей, а также в генерации одноразовых ключей для ее подтверждения, что и обеспечивает высокий уровень безопасности всей системы на блокчейн-платформе. И перенос всех этих ключей из программного окружения в аппаратные модули безопасности гарантирует максимально необходимый уровень защиты, сравнимый с уровнем защищенности традиционных платежных систем. 

«С появлением каждой новой технологии, – поясняет П. Галвин, – встает вопрос о ее безопасности. Использование зарекомендовавших себя решений, таких как HSM Thales, с которыми работают многие компании, включая международные платежные системы Mastercard и Visa, означает, что компании могут быть уверены в безопасности данной технологии, т. к. они знакомы с этими решениями и понимают, какой уровень безопасности они обеспечивают». 

Итогом данного обзора ситуации со столь перспективной технологией, как блокчейн, на наш взгляд, может стать логичный вывод: использование общепринятых отраслевых технологий поможет блокчейну выйти наконец из стадии подтверждения концепции в мир реальных отраслевых применений. 

Plusworld

 

ОБЗОР МЕЖДУНАРОДНЫХ СОБЫТИЙ

 

В ЕC отказались от банковской тайны

В Европейском Союзе отказались от банковской тайны, и теперь налоговым органам будет известно о любом открытом счете. Об этом сообщил еврокомиссар по экономике и финансам Пьер Московиси.

«С банковской тайной в Европе покончено. Если кто-то владеет счетом в Швейцарии, происходит автоматический обмен информацией, то есть мы об этом сразу узнаем» - Пьер Московиси, еврокомиссар по экономике и финансам

Московиси также отметил, что договоренности об обмене информацией были подписаны также с Лихтенштейном, Сан-Марино, Андоррой и Монако.

Отметим, что совет министров экономики и финансов стран ЕС одобрил решение увеличить список доходов налогоплательщиков ЕС, по которым налоговые органы должны автоматически обмениваться информацией — о процентах, дивидендах, выручке от продажи финансовых активов, а также сведениях об остатках на счетах.

biz.nv.ua

 

Visa покупает Fraedom для расширения коммерческих предложений 

Visa объявила о приобретении технологической компании Fraedom, работающей по схеме «ПО как услуга». Компания поставляет финансовым учреждениям и их корпоративным клиентам решения для управления платежами и транзакциями.

Fraedom является партнером Visa уже почти десять лет, и ее технология лежит в основе Visa IntelliLink Spend Management, базовой платформы для клиентов Visa, включая малый бизнес. Данное приобретение усилит и расширит бизнес-пакет решений Visa, что обеспечит удовлетворение быстро меняющихся потребностей индустрии платежей B2B.

Fraedom предлагает продукты и услуги по управлению транзакциями, включая решения по управлению расходами и кредиторской задолженностью. Более 17 лет компания поставляет свои продукты финансовым учреждениям, платежным сетям, процессинговым компаниям, правительственным организациям и технологическим компаниям разных регионов мира. Fraedom предоставляет клиентам возможности использования, в первую очередь, мобильных устройств, которые позволяют корпоративным пользователям быстро и интуитивно выполнять критически важные задачи.

 «Все активнее предприятия заменяют неэффективные платежные системы, использующие бумажные носители, цифровыми инструментами, — рассказывает руководитель направления продуктов и решений Visa Вики Биндра (Vicky Bindra). — Это стратегическое приобретение позволяет Visa предлагать нашим корпоративным клиентам более наполненные бизнес-решения, которые являются инновационными, глобальными, настраиваемыми и интуитивно понятными для их сотрудников».

 «Мы безмерно рады присоединиться к семейству Visa, — сообщил генеральный директор Fraedom Кайл Фергюсон (Kyle Ferguson). — Сочетание лидерства, широты охвата и глубокого знания цифровых платежных технологий Visa в совокупности с нашим опытом в области предоставления сервисов B2B нашей растущей клиентской базе позволит нам лучше обслуживать компании во всем мире, предоставляя быстрые, безопасные и надежные решения для торговых платежей».

Ожидается, что сделка, на которую распространяются обычные условия закрытия, будет завершена в первом квартале 2018 года.

Fraedom работает с банками всех регионов мира, помогая им совершенствовать свои карточные программы и обеспечивать своим клиентам улучшенные способы управления бизнес-расходами с помощью простой в использовании системы управления расходами. Платформа помогает банкам дифференцировать их сервисы, повышать востребованность карточных продуктов, увеличивать объем расходов по картам и повышать показатели удержания клиентов.

Решения Fraedom также облегчают управление работой с картами и повышают эффективность платежей за счет передовой функции оплаты счетов. Благодаря перспективной технологии клиенты получают полную картину своих покупок по картам из выписок по картам, а также формируются подробные отчеты о транзакционных данных.

С момента запуска Fraedom в 1999 году веб-платформа обработала более миллиарда транзакций, сумма которых на сегодняшний день составила около 270 миллиардов долларов США. Технология Fraedom использовалась более чем в 173 тысяч организаций. Компания имеет офисы в Великобритании, США, Канаде, Австралии, Новой Зеландии, Сингапуре и Гонконге и управляет транзакциями 5,7 миллионов сотрудников по всему миру.

Plusworld

 

Китай усилит надзор за криптовалютами и ICO

Китайская национальная ассоциация по финансовой деятельности в интернете (NIFA) намерена усилить надзор за криптовалютами и ICO в этом году после успешной практики регулирования этой сферы в 2017 году.

«Специализированные проекты по мониторингу в 2017 включали выдачу предупреждений в отношении виртуальных валют, ICO, а также «замаскированных» ICO. 2018 станет ключевым годом для ассоциации, стремящейся нормализовать и стандартизировать существующие меры, применяемые в рамках этих проектов» - NIFA

NIFA является саморегулируемой организацией, а не правительственным регулятором. Тем не менее, ее создание в 2015 году утвердил китайский центробанк и одобрил госсовет страны. Организация осуществляет надзор за проектами, работающими с новыми видами платежей в интернете, в том числе с криптовалютами.

coindesk.com

 

В Таиланде запретили все операции с криптовалютами

Банк Таиланда запретил финансовым организациям любые операции с криптовалютой.

Таиландским банкам запрещено инвестировать в криптовалюту, продавать ее, а также создавать соответствующие платформы для торговли и совершать обменные операции. Запрещается выдавать кредиты своим клиентам с целью покупки цифровых денег, рекомендовать клиентам использовать криптовалюту в качестве инвестиционного инструмента, сообщает ТАСС.

Запрет объяснятся тем, что криптовалюты могут быть использованы для финансирования терроризма и отмывания денег в теневой экономике.

ТАСС

 

Названы самые популярные криптовалюты среди киберпреступников

Как сообщается на официальном сайте компании Recorded Future, в последнее время киберкриминальный мир все чаще отказывается от использования биткоина в связи с медленной обработкой транзакций и их высокой стоимостью.

Ранее многие эксперты предполагали, что его заменит более анонимная Monero или даже эфир. Аналитики изучили содержимое более 150 форумов, торговых площадок и сайтов, предлагающих незаконные услуги, и выяснили, что эти прогнозы, похоже, не сбываются.

Исследователи выяснили, что наибольший интерес киберпреступники проявляют к лайткоину: суммарно платежи в этой криптовалюте принимают 30% сайтов, сервисов и продавцов.

Второе место досталось криптовалюте DASH, ее используют 20% рассмотренных ресурсов.

Замыкают список Bitcoin Cash, эфир и Monero (13%, 9% и 6%, соответственно).

 

Источник: Recorded Future

Между тем, эксперты отмечают, что в англоязычном сегменте даркнета наибольшей популярностью пользуется Monero, тогда как в русскоязычной среде предпочитают лайткоин.

Во время проведения исследования эксперты обнаружили на одном популярном хакерском форуме опрос о том, какую криптовалюту пользователи хотели бы видеть в будущем в качестве способа оплаты на большинстве сайтов. Лидерами в этом списке оказались Monero и DASH, тогда как лайткоин занял лишь четвертое место.

minfin.com.ua

 

Скрипт для скрытого майнинга заразил тысячи сайтов

Cкрипт для скрытого майнинга CoinHive проник более чем на 4 тыс веб-сайтов, включая сайт британского национального регулятора по защите данных — Управление Комиссара по информации.

Эксперт по безопасности Скотт Хельм выявил источник заражения — зловред проник на веб-сайты через плагин Browsealoud от британской компании Texthelp. Это ПО для считывания с экрана использовалось, в частности, на веб-сайтах нескольких регуляторов Великобритании, США и Австралии.

Компания Texthelp опубликовала сообщение, подтверждающее факт компрометации неизвестными злоумышленниками, и заявила, что расследует инцидент.

«11 февраля 2018 года файл JavaScript, который является частью продукта Texthelp Browsealoud, был скомпрометирован вследствие кибератаки. Злоумышленник добавил в файл вредоносный код, использующий CPU браузера для незаконной добычи криптовалюты. В настоящее время проводится тщательное расследование этого преступления» - Texthelp

По словам Texthelp, криптомайнер был активен в течение четырех часов в воскресенье — пока автоматизированная проверка безопасности не обнаружила измененный файл в Browsealoud и не перевела продукт в офлайн.

«Мы немедленно убрали Browsealoud со всех сайтов наших клиентов, чтоб им не требовалось предпринимать какие-либо действия по устранению угрозы» - Texthelp

Тем не менее, в настоящее время сайт британского Управления Комиссара по информации все еще закрыт для «технического обслуживания». В офлайн он ушел в воскресенье, сразу после предупреждения Texthelp.

И хотя, согласно заявлениям сторон, никакие пользовательские данные в ходе атаки скомпрометированы не были, смущает сам факт того, что даже правительственные сайты оказались заражены майнером, который тайно (а значит, незаконно) добывал криптовалюту.

techcrunch.com

 

Alibaba вложит еще $1 млрд в развитие своего бизнеса офлайн

Компания Alibaba инвестирует еще $1,3 млрд в развитие своей физической розничной сети в рамках своей стратегии «нового ритейла», сочетающей онлайн и офлайн.

Крупнейшая в Китае компания в сфере e-commerce в конце прошлой недели приобрела 15% акций Beijing Easyhome Furnishing за 5,45 млрд юаней (около $867 млн) и влила $486 млн в Shiji Retail Information Technology — компанию, которая предоставляет отелям и ритейлерам услуги, связанные с данными.

Примечательно, что у Easyhome 223 физических магазина мебели и DIY в 29 провинциях Китая, что делает его вторым по величине в этой отрасли.

Сделка с Easyhome — четвертая по величине инвестиция гиганта электронной коммерции в физическую розничную сеть. В прошлом году он купил крупные доли в гипермаркетах Sun Art ($2,9 млрд) и операторе торговых центров InTime ($2,6 млрд).

Видение розничной торговли будущего компании Alibaba предусматривает возможность для клиента совершать покупки в обычном магазине, используя мобильные преимущества. Так, в компании считают, что покупатель должен иметь возможность лично протестировать товар перед покупкой, или посетить магазин, если уже после покупки у него возникли трудности.

techcrunch.com

 

RSS

Все новости...