Ответ на пост «И как это понимать? Почему вы это скрывали?»
Работаю в сфере информационной безопасности банка, а конкретнее - управление IT рисками.
Считайте это байтом, и хотя эта тема стала притчей во языцех в контексте популярного мошенничества, на практике всё обстоит иначе.
В качестве вводных - BGL (филиал BNP Paribas в Люксембурге). Ранее аудировал многие банки на национальном уровне, то есть понимаю внутреннюю кухню.
Никогда! специалист по информационной безопасности не будет звонить клиенту в случае сомнительного банковского перевода, это по просту не входит в обязанности.
Как же обстоят дела на самом деле.
В каждом банке есть множество IT отделов с четким разграничением функций и обязанностей.
- Разработчики - программируют.
- Архитекторы - занимаются дизайном сервисов, приложений, сетевых компонентов.
- Администраторы сетей и баз данных - говорит само за себя.
- Управление правами доступа - очередной конкретный отдел.
Есть и отдел информационной безопасности, куда же без него :
- операционная безопасность, занимающаяся мониторингом аварий в производстве, попытками внедриться в информационную систему извне, утащить внутренние данные сотрудниками и тому подобное.
- анализ IT рисков, сотрудником чего я и являюсь. Первая линия защиты, отдел, который сопровождает каждый новый проект, влияющий на информационную систему или данные, внедряющий новый канал передачи данных или приложение, будь то внутренняя разработка или внешний поставщик услуг.
Следуя методике выявления рисков (гибрид фреймворков NIST/ISO 27005) и внутренней метрике вероятностей и ущерба, мы собираем максимально подробную информацию о проектах, выявляем сценарии рисков, высчитываем значение риска для каждого, рекоммендуем конкретные способы снижения риска, которые должны быть внедрены до запуска в производство и представляем менеджменту, второй линии защиты, бизнесу и тем, кто собственно будет эти меры внедрять. Непосредственно перед запуском в производство, собираем подтверждение о реализованных мерах и считаем остаточные риски, на основании которых менеджмент утверждает внедрение в производство. Если уровень остаточных рисков слишком велик, то проект в производство не поступает и его сворачивают.
А кто же будет разбираться, если у меня со счёта украдут деньги?
Все зависит от источника, и хотя я свято верю в надежность банковской системы в целом, бывает всякое.
В случае целевой атаки банка организованными хакерами, отреагирует операционная безопасность, на моей памяти таких случаев не было.
Что есть, так это непрекращающийся фишинг клиентов и сотрудников банка и попытки DDOS, но мощностей у атакующих пока не хватало.
Любой перевод, осуществляемый карточкой, через приложение в браузере или на телефоне, в качестве оплаты на сайте требует двухфакторной аутентификации. Мало знать логин и пароль человека, необходим одноразовый код, генерирующийся на небольшом устройстве (токен) в течение 5 секунд. Так это это всё является ответственностью клиента, то ошибки и мошенничество маловероятны. Как и попытки обжаловать тот или иной платёж, палка о двух концах.
В случае утери/воровства токена, либо банковской карты, процедура стандартная - уведомить банк, банк оперативно отзывает осуществленные платежи.
Кроме того, на автоматическом уровне, любой банковский перевод внутренними алгоритмами оценивается для каждого клиента банка индивидуально. В расчет в первую очередь берутся обьемы переводов, страны и банки получателей. Если счет используется только для получения зарплаты и выплаты коммунальных платежей, то любое отклонение от этой нормы приведет к внутреннему разбирательству. Если переводы осуществляются внутри Европы, но внезапно произошел платёж в Китай или Америку, особенно если речь о сумме, гораздо более крупной, чем среднее значение большинства переводов, то платёж по просту не пройдёт. Необходимо будет явиться лично в банк для подтверждения личности в случае заблокированного платежа. Только в этом случае вам позвонят (но это не точно), и уж точно не безопасники, а клерки, работающие с клиентами в агенстве и не для того, чтобы уточнить информацию, но уведомить о несостоявшейся транзакции.
В итоге получилось о бо всём по чуть-чуть и не то чтобы о профессии, но выводом пусть будет следующее : отдел информационной безопасности с клиентами не взаимодействует вообще, никак и никогда.
