tag:blogger.com,1999:blog-4065770693499115314.post8065229844620991580..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Уральский форум. Часть 2. Экономика ИБ или торговля страхомАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger14125tag:blogger.com,1999:blog-4065770693499115314.post-60598633877687721882014-03-02T19:20:38.655+04:002014-03-02T19:20:38.655+04:00Алексей, с каких пор рассчет по верхней планке ста...Алексей, с каких пор рассчет по верхней планке стал сугубо вотчиной интеграторов?:) Worst case является стандартной рекомендацией для управления рисками, считают так многие заказчики и вендоры<br /><br />Касательно банков - будем честны, при нынешней чистке банков и новом Базеле им просто не до ИБ. Киберпреступникам обанкротить банк будет сложновато, а потерять лицензию из-за недостаточности капитала можно уже сейчасАлександр Бодрикhttps://www.blogger.com/profile/12476109776960823545noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-13020970316087652302014-02-26T23:40:01.695+04:002014-02-26T23:40:01.695+04:00Сергей: банки имеют инструментарий (какой есть) и ...Сергей: банки имеют инструментарий (какой есть) и оценивают инциденты и отдают статистику в ЦБ. На нее и опираются. Другой нет. Не с потолка же брать...<br /><br />Tomas: Так банки и посчитали :-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-82909924809703980362014-02-26T12:21:20.230+04:002014-02-26T12:21:20.230+04:00Алексей, ни в коем случае.
Пусть 1 млн. устройств,...Алексей, ни в коем случае.<br />Пусть 1 млн. устройств, не все же они будут заражены вредоносом. Скажем min. 2%, а max 50%<br />У каждого на счету разные суммы, но банки то могут посчитать среднее на счете на одного клиента....<br />Предполагаю, что это не 1000 руб., а тысяч 30.Tomashttps://www.blogger.com/profile/08380131738088408530noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-19590624643114889042014-02-26T12:15:09.218+04:002014-02-26T12:15:09.218+04:00Этот комментарий был удален автором.Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-53928428521224951052014-02-26T12:15:07.875+04:002014-02-26T12:15:07.875+04:00Алексей - а вы предлагаете определять ущерб (колич...Алексей - а вы предлагаете определять ущерб (количество нарушений) в условиях когда у банков нет инструментов для выявления нарушений (адекватного определения ущерба)<br /><br />Это то же самое что не использовать IPS и говорить что у меня в сети не происходит вторжений.<br />Или не использовать антивирус и говорить что вирусов за год не обнаружено.Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-90418686520106119242014-02-25T23:21:22.045+04:002014-02-25T23:21:22.045+04:00Tomas, а вы предлагаете считать по верхней планке?...Tomas, а вы предлагаете считать по верхней планке? Ни один человек в здравом уме этого делать не будет (кроме интеграторов :-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-63922490110959065642014-02-25T16:24:33.493+04:002014-02-25T16:24:33.493+04:00Алексей, я про то, что % нужно предполагать зараже...Алексей, я про то, что % нужно предполагать зараженных компов, пользующихся банк-клиентом. Не закладки в коде АБС подразумеваются, когда программист заложил, что с каждой транзакции похищать 1 копейку, чтобы никто не заметил. Подразумеваются в Вашей статье (может у Павла по-другому было, я не был в Магнитогорске), что моб.устройство заражено, и вредоносное ПО имеет возможность украсть все с баланса владельца устройства, а не копейку. <br />Защита от волн в Японии была рассчитана на 2х метровые волны на основе 100-летних наблюдений, пришла 3х метровая и получилась Фукусима.<br />Если банкам нравится считать на основе собственной статистики (т.е. если со мной не произошло, то и не считаю), то да, 1 копейка на 1000 руб.Tomashttps://www.blogger.com/profile/08380131738088408530noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-87551307285011604442014-02-25T15:19:36.538+04:002014-02-25T15:19:36.538+04:00Потому что речь идет о реальных и измеренных риска...Потому что речь идет о реальных и измеренных рисках, а не о потенциальных проблемах, которые могут произойти. Банки консервативны и оценивают то, с чем сталкиваются. Поэтому они оперируют числом ПРОИЗОШЕДШИХ инцидентов и объемом ОСУЩЕСТВЛЕННЫХ транзакций. Обе цифры конкретные и измеримые.<br /><br />А вы оба торгуете страхом и говорите "А вот если" :-) Об этом на форуме и говорилось. Одни торгуют тем, что умеют, а банки в ответ просят экономику. Павел ее показал - они опирается на факты. А вы показываете предположения :-) Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-67594350876793625092014-02-25T13:17:49.415+04:002014-02-25T13:17:49.415+04:00Поддерживаю Сергея, почему % от транзакций, если м...Поддерживаю Сергея, почему % от транзакций, если мобильное устройство "во власти" злоумышленника, то он сможет снять все, что есть на балансе, а если есть еще и кредитная карта, то и в минус уйти (тогда 30 тыс. на балансе и 300 000 руб. на кредитке). Ведь вроде речь не о закладках в коде АБС ее же программистом, чтобы считать, что на 1000руб. риск = 01 коп., а о мошенничестве в самом приложении у пользователя. там цифры будут другими.Tomashttps://www.blogger.com/profile/08380131738088408530noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-71838299988141196762014-02-25T13:14:41.570+04:002014-02-25T13:14:41.570+04:00Ситуация такая, что 2 года наза мобильных тройнов ...Ситуация такая, что 2 года наза мобильных тройнов вообще не было, в прошлом году прошли так сказать "испытания": <br />- во первых на создание ботнет сетей мобильных устройств (то есть уже заражены, но пока ничего вредного не делают, но уже продаются)<br />- во вторых создание троянов, которые могут выводить деньги из интернет-банка и делают это, но для конкретного банка и в конкретной стране (очень ограниченная область действия)<br />Теперь эти технологии обкатаны и уже завтра можно ожидать вредоносное ПО которое будет выводить деньги из большинства банков и разных стран. Для распространения будут использовать устройства из существующих ботнетов либо через новые заражения (с телефоном это провернуть гораздо)<br /><br /><br /> Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-81383044419282498002014-02-25T12:56:04.714+04:002014-02-25T12:56:04.714+04:00А у Павла статистика по всем инцидентам, а не по м...А у Павла статистика по всем инцидентам, а не по мобильному банкингу. К мобильному банкингу я свел, т.к. бытует у некоторых "экспертов" мнение, что это большая проблема и банки должны ломануться ее решать.<br /><br />Разумеется, к используемой статистики ЦБ по инцидентам есть вопросы. Туда попадает далеко не все. Но гораздо более показательна статистика по величине риска для кредитных карт. 15 копеек на 1000 рублей - это тоже немного. А число транзакций по картам и сумма ущерба там повыше будет, чем в обычных ДБО.<br /><br />Сергей, твои расчеты имеют право на жизнь, но, имхо, они сильно притянуты. Павел оперирует реальными статистическими показателями, а ты предположениями. Вот у меня на телефоне средств защиты нет, но за все годы его использования ни одной попытки заражения и снятие денег.<br /><br />Всей доступной сумме равен не средний, а максимальный ущерб.<br /><br />Дальше у тебя очередной предположение о росте числа пользователей. Но цифры J'Son & Partners опровергают это предположение :-) Нет в России такого количества пользователей мобильного банкинга.<br /><br />И, наконец, преимущество подхода Павла в том, что он сам работает в банке :-) Поэтому считай, что такова позиция банка. Именно из нее он исходит при расчете рисков мошенничества в ДБО :-) Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-67556815690864341042014-02-25T12:47:18.491+04:002014-02-25T12:47:18.491+04:00Не могу согласится с расчетами Павла Головлева по ...Не могу согласится с расчетами Павла Головлева по мобильному банкингу.<br /><br />Мобильный банкинг - это в основном физики. Большинство физиков не сообщает о мелких потерях. Банки не сообщают в ЦБ о таких инцидентах. Сейчас идет экспоненциальный рост и статистика текущего и прошлогоднего объема может различаться в разы.<br /><br />Я бы использовал такую формулу расчета:<br />1. Если пользователь не использует средств защиты на мобильном устройстве, то вероятность его заражения = 1 раз в течении года<br />2. Средний ущерб равен не % от транзакций пользователя (может он 200 р на телефон положил) а всей доступной на счету банка сумме (или на карте). Я в блоге писал о том что можно быстро снять всю сумму и даже уйти в минус. Предположим у него там 30 тыс. руб.<br />3. Предположим что сейчас 1 млн. пользователей мобильного банка (только у сбербанка клиент скачан более 1 млн раз) Но в течении года их количество может вырости до 10 млн. Это ведь как BYOD - мобильно и удобно<br />4. 1*30 000*10 000 000 = 300 000 000 000 руб. <br />У меня такая вот арифметика потерь по мобильному банкингу, если срочно не принимать меры защиты.<br />Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-1792010089646413792014-02-25T11:11:22.826+04:002014-02-25T11:11:22.826+04:00Да, именно этим ограничивается применение западных...Да, именно этим ограничивается применение западных калькуляторов ROI в России :-) Разница в зарплатах может быть в порядок или в разыАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-52085231369299512652014-02-25T07:47:41.860+04:002014-02-25T07:47:41.860+04:00Надо еще делать скидку на то, что в российских реа...Надо еще делать скидку на то, что в российских реалиях расчет экономической эффективности упирается в достаточно дешевую рабочую силу. <br /><br />Реально может получится выгоднее нанять сколько-то человек для ручного антифрод-анализа, чем купить дорогостоящее решение от западного вендора :)doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.com