Positive Technologies и RBK.money оценили на The Standoff проблемы банковской безопасности

Дата: 17.11.2020. Автор: CISO CLUB. Категории: Новости по информационной безопасности
Positive Technologies и RBK.money оценили на The Standoff проблемы банковской безопасности

Сегодня в рамках кибербитвы и конференции по информационной безопасности The Standoff состоялась пресс-конференция Positive Technologies и RBK.money «Плюсы и минусы современных технологий кредитно-финансового сектора». Эксперты компаний обсудили наиболее насущные вопросы — от платежей с помощью ссылок, QR-кодов и цифровой валюты до биометрии и новейших веб-технологий — и дали прогнозы на ближайшее будущее с точки зрения кибербезопасности.

Проблемы антифрод-решений

Ошибки автоматизации и связанные с ними риски — основная проблема современных антифрод-решений. Уменьшить количество ложных срабатываний и предотвратить ошибочную блокировку платежей поможет широкое внедрение автоматизации с использованием больших данных.

При этом эксперты Positive Technologies уверены: ложные срабатывания антифрод-решений неизбежны.

«Чем больше банки пытаются обезопасить своих клиентов, тем с большими количеством трудностей клиенты будут сталкиваться из-за ошибок защиты, — отметил Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies. — Любая автоматизированная система строится на основе анализа эффективности. Алгоритм определения мошеннических транзакций может быть строгим — тогда растет количество выявляемых подозрительных операций, но чаще останавливаются платежи, либо, наоборот, более щадящим — тогда уменьшается количество ошибочно остановленных платежей, но и больше мошеннических платежей проходят незамеченными.

Решение проблемы — поиск баланса между безопасностью и своевременным исполнением платежей, потребностями бизнеса».

Одним из путей повышения эффективности анализа платежей является блокчейн, обеспечивающий прозрачность платежа на каждом этапе. Необходимые шаги в этом направлении уже делаются — недавно анонсированный Центробанком цифровой рубль, например, основан именно на блокчейн-технологиях.

«Мы, наверное, единственный в мире разработчик софта, который свою платежную систему открыл с полностью исходными кодами в опенсорс. Сейчас большинство серверного парка в мире работает на системах под управлением Linux. Это такой опенсорсный проект, который еще в 90-х годах перевернул мое мировоззрение и драйвит меня до сих пор, — говорит Антон Куранда, технический директор RBK.money.  Уже тогда я понял, что можно взять целый исходный код, целую операционную систему и дистрибутивы, открыть их и дорабатывать самостоятельно. В RBK.money мы пришли к тому, что хотим стать теми, кто возьмет на себя эту миссию, и в платежной, финансовой, традиционно закрытой сфере станет изобретателями Linux. Наша платежная платформа — это Linuх в мире финансовых операций. Вы можете ее дорабатывать под себя, при этом возможные риски мы нивелируем лицензией, которая предоставляет полные исключительные права на это ПО. Вы легитимно можете взять исходный код, строить на его основе любые, закрытые или открытые коммерческие решения. При этом любые изменения в это ПО вносятся без каких-либо дополнительных наценок. Кроме того, в отличие от закрытых банковских систем, куда изменения могут вноситься годами, мы сохраняем гибкость, способность оперативно реагировать на угрозы, вносить усовершенствования в работу антифрод-решений и подстраивать защиту под нужды клиентов».

Цифровая валюта

В процессе диалога CISO CLUB спросил про цифровую валюту и цифровой рубль, каковы перспективы их использования и как обстоят дела с их безопасностью? Первым ответил Антон Куранда, технический директор RBK.money: «Вообще, цифровая эмиссия – это классная и интересная вещь. Но на сегодняшний день нет протоколов или принятых решений о том, как это всё будет работать. Поэтому здесь можно пофантазировать, например, чтобы я хотел от цифрового рубля. Если появится кошелек, то Центробанк сможет делать эмиссию напрямую мне в этот кошелек. Хотелось бы иметь и цепочки движения денег, которые можно отследить – скажем, от самого главного эмитента до определенной компании, которая взяла кредит на развитие, и до сотрудника, которому деньги пришли в качестве зарплаты.

Возможность отследить движение денег – это открывает для нас широкие и интересные возможности. Например, можно будет спросить у любого чиновника – откуда у вас на кошельке взялись эти деньги? И можно будет сразу получить ответ – отсюда и отсюда. Цифровая эмиссия – это отсутствие необходимости печатать деньги. Если фантазировать, то система классная. Если строить это на блокчейне, то можно исключить возможность компрометации участников цепочки. Но эти принесёт и все обычные блокчейновые проблемы. Во-первых, производительность сети, во-вторых, например, на нас налагается требование иметь весь список операций, а если это строить всё в масштабах страны, блокчейн, где записаны все движения денег, всех людей, то это комбинаторный взрыв, то он просто не взлетит, он не будет физически работать, придется десятки терабайт таскать с собой, чтобы быть уверенным в легитимности всей этой базы. Да, там есть методология, как это всё ускорить, но математически это пока нерешаемо.

Также большую проблему вижу в такой цифровизации в том, что это всё равно будет чем-то похожим на кошелек. Условно, будет представлено в виде некого аккаунта, учетной записи, например, в кабинете на «Госуслугах». Это открывает возможности для фрода, т. е. не все пользователи грамотны, не все поставят двухфакторную аутентификацию, даже если заставить ее ставить, то начнутся проблемы с тем, что начнут уводить эти смски звонками из колл-центра якобы известного банка и так далее.

Но опять же, вот этот мир, который скрываться, он всё равно найдет как скрыться. Даже сейчас есть в том же блокчейне, в разных криптовалютах, услуги посредников, которые становятся в разрыв цепочки. Например, у посредника есть кошелек, ты переводишь туда наворованные деньги и даешь адрес своего нового кошелька, и он с совершенно других адресов тебе на новый кошелек за определенный процент переводит. Обычно это компании-однодневки, которые также могут встать в коррупционные схемы, прокрутить деньги и уйти в небытие.

Но тема с цифровым рублем классная, я бы очень хотел посмотреть, как всё это будет, хотел бы дожить до того, что эмиссия будет цифровой, но очень нам весело будет с точки зрения кибербезопасности. Я сочувствую людям, которые всё это будут внедрять».

Своим мнением по поводу цифровых валют также поделился Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies: «Меня цифровые валюты интересуют больше как сама технология, чем как финансовый инструмент. Интересно, как всё это будет реализовано. Действительно, там есть несколько серьезных проблем, с которыми общество еще не сталкивалось. Сама идея блокчейн-платформ она очень классная – всё надежно, каждая операция подписана, можно отследить все истории операций, но, к сожалению, в таких системах самым слабым местом является интерфейс между клиентом и доступом к системе, доступом к его электронному кошельку. Можно делать какие-угодно надежные блокчейны, но всё равно будет возможность взломать тот же веб-интерфейс доступа к электронному кошельку, получить доступ к средствам пользователя и увести их.

Эти риски никуда не денутся, они останутся. При этом к ним добавятся новые риски, связанные с новизной технологии. Например, если мы используем блокчейн, то это не только цифровые деньги, это еще и замечательная возможность алгоритмизировать контракты – вместо того, чтобы писать договоры тяжелым и непонятным юридическим языком, их можно описать в виде программы, и любой участник системы, любой участник торгов всегда сможет проверить, исполнен ли контракт или не исполнен, и все будут получить одинаковый результат. Это классная возможность, которая используется много где, но, как обычно, поскольку алгоритм смарт-контракта разрабатывают люди, то есть вероятность допущения ошибок. В таких алгоритмах всегда появляются ошибки, появляются уязвимости.

Проблема не в том, что такие ошибки возможны, а в том, сама идея уязвимости в тексте договора, которая может использоваться хакером, это ново для индустрии, с такими вызовами индустрия еще пока не сталкивалась, поэтому надо будет нарабатывать опыт как находить такие уязвимости, и понадобиться опыт как справляться с мошенничеством, связанным с использованием таких уязвимостей. Пока большого опыта в этом у индустрии нет.

То же самое касается и распределенных реестров. Например, мы столкнулись с какой-то мошеннической операцией. Дальше-то что делать? Блокчейн говорит – давайте мы откатим систему в состояние, которое предшествовало этой операции, откатим все финансовые операции, скажем, на 10 дней назад. Но что делать с остальными финансовыми потоками, произошедшими в эти 10 дней? Это тоже довольно серьезная проблема – реагирование на инциденты, связанные с блокчейном. Новый вызов для индустрии, к которому индустрия пока не очень готова. Это пока отрабатывается, скажем так, на любительских криптовалютах, но когда это выйдет на государственный уровень, когда это будет встроено в финансовую систему государства, это будет очень серьезной проблемой безопасности, над которой придется работать».

Законодательство

Также CISO CLUB спросил у экспертов о том, какие значимые изменения в законодательстве по информационной безопасности ждут нас в ближайшем будущем и как к ним подготовиться. Ответил Дмитрий Кузнецов: «У меня интерес в «нормативке» исключительно специализированный. Я думаю, в ближайшем будущем банковскую систему точно ожидают изменения в «нормативке», связанные с безопасностью платежных систем, то есть Центробанк будет продолжать ужесточать требования к платежным приложениям. Банки вынуждены будут всё сильнее вкладываться в вопросы практической защиты платежных приложений. С одной стороны, это хорошо для клиентов, с другой стороны – это дополнительная финансовая нагрузка, что обязательно скажется на стоимости услуг для тех же самых клиентов.

Второе направление, которое будет меняться серьезно – это критическая информационная инфраструктура. Закон уже несколько лет как действует, но правоприменительной практики по нему практически нет. Только сейчас начинаются первые уголовные дела – людей привлекают за самые незначительные проступки. Например, кто-то из сотрудников сотового оператора переслал кому-то персональные данные клиентов, а это почему-то трактуется в качестве нападения на критическую информационную инфраструктуру Российский Федерации. Формально, это действительно так. Но самое важное, что будет нарабатываться практика со стороны государственных регуляторов – что защищать, как защищать, где есть перегибы, где нет перегибов. Это такой очень болезненный этап обучения, поэтому где-то мы всё равно ожидаем послаблений для тех, кто попадает по сферу действия этого закона, но, скорее, следует ожидать более сильного административного прессинга в сторону тех, кто пытается игнорировать этот закон.

Но каких-то действительно революционных изменений в ближайший год точно не стоит ждать – для этого нет предпосылок.

CISO RBK.money

Следующий вопрос от CISO CLUB был адресован Антону Куранда, техническому директору RBK.money. Мы поинтересовались у Антона, каким должен быть CISO RBK.money (директор по информационной безопасности), и какие основные компетенции и качества, которыми он должен обладать. Антон Куранда ответил следующим образом: «У нас работает замечательный CISO. Искал я его с требованиями к тому, чтобы у него был бэкграунд пентестера, то есть активного участника тусовок, человека, который хочет и может условно ломать системы. И задача у него была встроить в нашу систему непрерывные сборки софта, автоматизированные системы, сканеры уязвимостей, смотреть периметр снаружи, самому ломать наш периметр. И ломать, причем, не в режиме пентестера, потому что я считаю, что пентест – это несколько устаревший подход.

Например, банк нанял пентестера, который нашел им RCE на периметре и всё, на этом остановился, потому что считает, что он проломился во внутреннюю инфраструктуру, я могу сделать всё что угодно. А вот не факт – а ты попробуй там закрепись. Попробуй сделать так, чтобы тебя не обнаружили, чтобы тебя не поймали. Попробуй добраться до какой-нибудь финансовой базы данных и показать, вот я вывел деньги. Вот именно это будущее, это тот CISO, который должен быть не только в RBK, но и в любой организации, которая ответственно относится к безопасности и ответственно относится к своим клиентам».

Быстрые платежи и телефон в качестве паспорта

Система быстрых платежей, запущенная 28 февраля 2019 года, позволяет клиентам банков переводить деньги по номеру мобильного телефона и платить за товары в торговых точках по QR-коду вне зависимости от того, в каком банке открыты их счета.

Кроме несомненного удобства, система быстрых платежей принесла пользователям и новые риски, ведь клиент идентифицируется не по паспорту, как в отделениях банков, и не по связке «кредитная карта — код подтверждения», как в традиционных системах, использующих протокол 3-D Secure, а по номеру телефона, к которому привязана банковская информация плательщика.

«Использование телефона в качестве удостоверения личности (и даже в качестве идентификатора получателя, как это делает система быстрых платежей) несет дополнительные риски. Например, процедуры восстановления утерянных сим-карт позволяют мошенникам получить в свое распоряжение сим-карту клиента банка, а уязвимости банковских приложений — привязать номер телефона жертвы к своему собственному счету, — предупреждает Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies. К традиционным способам мошенничества добавляются новые, связанные с использованием телефона».

Биометрия как способ идентификации клиента набирает популярность, но и она несет в себе серьезные риски. Говоря об очень высокой надежности биометрической идентификации, обычно приводят в качестве примера идентификацию по отпечаткам пальцев или радужной оболочке глаза, такие методы действительно имеют очень низкий коэффициент ошибок (FAR, т.е. вероятность ошибочного «узнавания», менее 10-6). Но для дистанционной идентификации клиентов предлагаются совсем другие биометрические методы – идентификация по изображению лица и записи голоса. Такие методы имеют сравнительно низкую надежность (FAR порядка 10-4).  Это – сравнительно низкий уровень надежности (для сравнения, такой же уровень ошибок дает верификация клиента по случайному четырехзначному одноразовому цифровому паролю). делающий возможным применение дипфейков — автоматической генерации изображения и голоса, которые успешно проходят биометрическую верификацию.

При этом практика показывает, что надежность идентификации практически не влияет на возможности мошенников: в большинстве случаев злоумышленники обходят механизмы аутентификации клиента или с помощью социальной инженерии, или с помощью уязвимостей в платежных приложениях.

К сожалению, многие инициативы банковского сектора по противодействию мошенникам, такие как создание единого реестра сим-карт, введение ограничений на разовую операцию в системе быстрых платежей, — клиенты воспринимают неоднозначно, часто негативно. Переломить подобное отношение, привить пользователям навыки элементарной цифровой гигиены серьезная задача для банковского сообщества.

«Взломать можно кого угодно и что угодно, мы живем в таком мире и нужно просто принять этот риск. Нельзя взломать онлайн только отшельника, который живет в горах и не использует электронные устройства, — дополняет Антон Куранда, технический директор RBK.money. —  Поэтому нужно развивать систему защитников кибергородов, проводить больше практических, обучающих мероприятий по аналогии с The Standoff, активно привлекать молодежь. В идеальном мире подобные кибергорода могут стать частью образовательной программы в университетах, школах, где дети могут вживую посмотреть, что такое кибергород, как он работает. При таком подходе у них будет совершенно другое отношение к киберугрозам и кибербезопасности. Эта отрасль сильна своими специалистами и важно уже повышать уровень защитников и сотрудников служб по кибербезопасности, так как рынок в них сейчас остро нуждается».

Кроме того, специалисты Positive Technologies и RBK.money отметили, что интеграция системы быстрых платежей в социальные сети и мессенджеры не может не привлечь пристальное внимание злоумышленников.

Использование ИИ в технологиях антифрода

Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies, следующим образом прокомментировал вопрос: «Речь идёт об автоматизированном принятии решений на основе big data. Обрабатывая большое количество операций, компьютер отслеживает тренды и на их основе делает выводы. Например, организация постоянно оплачивает коммунальные услуги определённому поставщику и вдруг совершает оплату за коммунальные услуги кому-то другому. Скорее всего, это фродовая (мошенническая) операция. Невозможно отслеживать все подобные операции вручную. А вот обработка big data способна такие мошенничества выявить, сопоставляя их по сотням параметров.

Без автоматизации не обойтись, но любой автоматизированный критерий приводит к ошибкам. Ошибка первого рода – когда антифрод не заметит мошенническую операцию. Это, к сожалению, неизбежно. Достаточно, чтобы антифрод отрабатывал большинство подозрительных операций. Другой риск – когда система антифрода, обрабатывая подозрительные операции, заблокирует нормальную операцию (платежи могут быть заблокированы на несколько дней до выяснения обстоятельств платежа). Чем больше банки пытаются обезопасить своих клиентов, тем с большими трудностями из-за таких ошибок клиенты будут сталкиваться.

Любая автоматизированная система строится на основе анализа эффективности. Алгоритм может быть более строгим – тогда растёт количество выявляемых подозрительных операций, но и увеличивается количество остановок платежей, либо, наоборот, более щадящим – тогда уменьшается количество ошибочно остановленных платежей, но и больше мошеннических платежей проходят незамеченными.

Решение проблемы – поиск баланса между безопасностью и своевременным исполнением платежей, потребностями бизнеса. Это ограничивает применение систем антифрода — как на основе искусственного интеллекта, так и любых других».

Упрощение платежных операций для клиента – СБП, платежи в мессенджерах, оплата по ссылкам, оплата по QR-кдам и т.д. Грань между удобством и безопасностью

Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies: «За удобство мы платим увеличением риска. Возможность оплатить проезд или совершить покупку на рынке стоит оценивать не только с точки зрения удобства, но и с точки зрения безопасности. Упрощение платёжных операций однозначно ведёт к увеличению количества мошеннических операций.

Упрощение платёжных операций — это не только возможность оплатить покупку по QR-коду, но и риск потерять деньги. Особенно важно помнить об этом при совершении платежей на крупную сумму.

Система быстрых платежей идентифицирует плательщика не по паспорту, а по номеру мобильного телефона. Изначально платежи не были электронными. В банке вы предъявляете паспорт и потом, после проверки, можете совершать любые операции. Стандартная проблема: подлинность документа или использование доверенности, и эта проблема так и не была решена.

Интернет-банки и электронный обмен позволяет совершать операции без физического присутствия в офисе. Удобство оборачивается тем, что банк не имеет физической возможности проверить подлинность плательщика, изучив его документы и сопоставив их с собственной информацией.

В дополнение к поддельным документам и поддельным доверенностям появляются новые риски, связанные с использованием телефона. Используя телефон в качестве удостоверения личности (а именно это и делает система быстрых платежей) мы сталкиваемся с тем, что злоумышленник может, например, подменить сим-карту или привязать номер телефона жертвы к своему собственному счёту. За удобство мы расплачиваемся увеличением способов мошенничества».

Методы борьбы с мошенничеством

Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies: «Для начала нужно затруднить саму возможностям мошенничества. В большинстве банков, например, при смене сим-карты в телефоне на сутки (или до подтверждения в офисе) блокируется возможность выполнения банковских операций. Кроме того, обсуждается создание единого реестра sim-карт, где операторы будут хранить данные «сим-карта- клиент»

Всё это затрудняет деятельность мошенников, но не гарантирует безопасности. Кроме того, новый канал добавляется к тем каналам, которые остаются благодаря сохранению старых технологий.

Второе направление – это минимизация рисков самим клиентом. Для этого вводятся ограничения на разовую операцию, совершаемую в СБП. Искусственно ограничивая клиента банки, тем самым, ограничивают и его возможность потерять средства в результате мошеннических операций».

Биометрическая аутентификация в банкоматах, приложениях и т.д. Как это облегчает или усложняет жизнь всем сторонам: клиенту, финансовой организации и потенциальному мошеннику

Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies: «Принято считать, что биометрия чрезвычайно надёжна и в этом её огромная проблема. Биометрия действительно очень надёжна при соблюдении условия, которое обычно не соблюдается. Биометрия надёжна, если мы хотим по отпечатку пальца определить подлинность плательщика в офисе банка, когда физическое присутствие может подтвердить сотрудник банка.

Для электронного бизнеса это не решение. Бизнес хочет работать с клиентом дистанционно, а дистанционное подтверждение операции открывает богатые возможности для разного рода мошенничеств. Более того, различные методы аутентификации научили злоумышленников использовать более совершенные методы (проксирование при голосовом подтверждении операций, например) обхода биометрии.

По большому счёту, биометрия – хитрый способ переложить ответственность за подозрительные операции на клиента. Поэтому биометрию важно применять правильно».

Новые методы разработки финансовых приложений. Микросервисная архитектура – плюсы, минусы, проблемы безопасности.

Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies: «Микросервисы, при всём их удобстве, большая угроза безопасности. Наборы из многих сервисов постоянно обновляются и, в дополнение к имеющимся ошибкам, приобретают новые уязвимости. Готового решения нет. Понятно, что, без проверки кода каждого нового или существующего приложения сложно говорить о безопасности, но, к сожалению, пока бизнес не готов нести подобные издержки.

Важную роль в процессе разработки микросервисов играют регуляторы, обязующие разработчиков верифицировать готовый код. Бизнесу приходится искать баланс – могут ли они позволить себе добавить один-два дня на анализ кода или же денежные потери будут не соизмеримы с потерей от мошенничества.

В некоторых случаях крупные предприятия останавливает тот факт, что потеря от разовой мошеннической операции (например, при хищении денег из банкомата) значительно ниже, чем стоимость разработка средств защиты и внедрение этой защиты во все филиалы предприятия. И только угроза по-настоящему значительных хищений или остановки бизнеса заставляет крупный бизнес реагировать на угрозы».

Использование open source решений в процессинге и других процессах приема платежей – плюсы, минусы, проблемы безопасности

Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies: «Open source – это, безусловно, хорошо. Ведь можно использовать готовые решения, анализировать код, отыскать ошибки и прочее. Open source, по сути, оптимизирует процесс написания и верификации кода.

Но не стоит считать Open source решением всех проблем, ведь практически любой Open source компонент может быть закрыт, заблокирован, лишён поддержки и обновления.Всегда нужно быть готовым к тому, что придётся менять архитектуру приложения просто потому, что разработчик open source решения вдруг по каким-то причинам (а они могут быть самыми разными) прекратил его поддержку».

Что нового в уязвимостях КФС для конечного клиента – новые методы мошенничества

Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies: «Ничего принципиально нового не наблюдается. Появляется больше каналов взаимодействия между кредитной организацией и клиентом: если раньше это были телефонные звонки, то теперь это социальные сети, каналы, но всё так же основной метод воздействия — социальная инженерия. Чем шире каналы взаимодействия с клиентом, тем больше рисков для клиента.

WhatsApp или Telegram добавляет новые риски к уже существующим не только для клиентов, но и для банков. Не всегда взаимодействие с клиентом в WhatsApp илиTelegram встроено в информационную систему банка, часто общение с клиентом осуществляется через устройство, принадлежащее менеджеру и не контролируемое банком. При этом банк не контролирует переписку менеджера с клиентом, а клиент не имеет информации о том, каким образом сотрудник банка использует предоставленные им данные. Кроме того, высок риск заражения обеих сторон вредоносным ПО.

Наблюдается предсказанный ещё пять лет назад всплеск перехвата и подделки звонков, подмены номеров вызывающих абонентов. И российские регуляторы и GSM и ITU пытаются найти решение, ведь корень проблемы — в технологиях сигнальных протоколов, разработанных в восьмидесятые годы прошлого века, без учёта необходимости защиты.

К сожалению, пока альтернативы существующим протоколам нет. Даже сети 5G используют в своей основе всё те же сигнальные протоколы восьмидесятых годов прошлого века».

Спикеры

Дмитрий Кузнецов, директор Positive Technologies по методологии и стандартизации

Родился в 1977 году. В 1999 году окончил факультет ВМК МГУ. С 1999 по 2006 годы занимался созданием систем информационной безопасности информационных ресурсов органов государственной власти. В 2005—2006 годах участвовал в экспертизе стандарта Центрального банка РФ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».

Работает в компании Positive Technologies с 2008 года. Эксперт по вопросам банковской безопасности и нормативной-правовой базы в области ИБ. Участвует в разработке нормативных документов ФСТЭК и ЦБ РФ, входит в качестве эксперта в три технических комитета по стандартизации — «Криптографическая защита информации» (ТК 26), «Стандарты финансовых операций» (ТК 122) и «Защита информации» (ТК 362).

Принимал участие в создании стандартов по описанию и классификации уязвимостей ГОСТ Р 56545-2015 и ГОСТ Р 56546-2015, стандарта «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014), нескольких нормативных документов ФСТЭК. Участвует в разработке архитектуры Государственной системы обнаружения и предупреждения компьютерных атак (ГосСОПКА).

Антон Куранда, технический директор RBK.money

Антон занимается построением и обслуживанием высоконагруженных распределенных информационных систем более 13 лет. С декабря 2015 года руководит IT департаментом RBK.money. Он разработал архитектуру и запустил в промышленную эксплуатацию высокопроизводительную финансовую платформу, позволяющую управлять любыми платежными транзакциями в онлайн-режиме с высоким уровнем отказоустойчивости.

До работы в RBK.money отвечал за бесперебойную работу и информационную безопасность в компании QIWI, а после успешно занимался развитием IT департамента в компании Platbox.

CISO CLUB — стратегический медиапартнёр киберполигона The Standoff.

CISO CLUB

Об авторе CISO CLUB

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO CLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *