Сборщик RSS-лент

Одни угрозы несут большой риск, зато другие угрозы часто упоминаются в СМИ. Теория велит тратить деньги на защиту от первых, но рука топ-менеджера сама тянется ко второму. Что делать: внушаем человек.

Вслед за ней туда тянутся производители и продавцы средств защиты. Велик соблазн изготовливать не то, что нужно, а то, что популярно. Как вы сказали? То, что покупают? Ерунда! Покупать будут то, что мы продаём. Наш департамент маркетинга утверждает, что хорошая реклама в товаре не нуждается.

Хоть все и говорят про оценку рисков, провести её удаётся в редчайших случаях. Потому что вероятности событий в известной формуле упорно вырисовываются в 50% для каждого: «либо произойдёт, либо нет». А частое поминание какой-то угрозы в СМИ – аргумент в пользу повышенной её вероятности. При потолочности оценок сгодится и такой источник данных, как пресса.

Спросишь иной раз: «Откуда вот эта цифра?» А в ответ после подозрительной паузы: «Это [наша] экспертная оценка.» За эвфемизмом скрывается произвол. Когда данных нет, спрашивают у нескольких друзей и знакомых авторитетных экспертов: «Как вы думаете, какова может быть эта величина?», потом усредняют – и выходит красивый термин экспертная оценка. Типа, произвол и личные пристрастия должны усредниться. Личные-то, может, и усреднятся. А фон, созданный пропагандой и модой, куда денется?

Поэтому экспертные оценки следовало бы нормировать на коэффициент упоминаемости предмета в СМИ и соцсетях. Скоро мы будем его мерять.

Специально для читателей моего блога :)

В понедельник 21 мая, в 12:00 (время Московское) будет открыта дополнительная регистрация на PHDays.

Регистрироваться тут:
http://www.phdays.ru/registration/

Количество мест ограничено.

In his blog:

I think the most important security issues going forward center around identity and trust. Before knowing I would soon encounter Bruce again in the media, I bought and read his new book Liars & Outliers and it is a must-read book for people looking forward into our security future and thinking about where this all leads. For my colleagues inside the government working the various identity management, security clearance, and risk-based- security issues, L&O should be required reading.

[...]

L&O is fresh thinking about live fire issues of today as well as moral issues that are ahead. Whatever your policy bent, this book will help you. Trust me on this, you don’t have to buy everything Bruce says about TSA to read this book, take it to work, put it down on the table and say, “this is brilliant stuff.”

Дальневосточный Федеральный Университет (ДВФУ, Владивосток) организовывют студенческие соревнования dvCTF 2012. Дальневосточные командные соревнования по информационной безопасности в формате task-based CTF. Собери команду! Выполни задания! Обойди соперников! Получи ценные призы!

Компания Positive Technologies присоединяется к призовому фонду конкурса. Ведь dvCTF проводится во время Positive Hack Days, в рамках инициативы PHDays Everywhere.

• HP Communities - Logging: Opening Pandora's Box - Part 4 (Awareness... - Enterprise Business Community

В понедельник в рамках Russian Internet Governance Forum я выступал в секции по киберпреступности, организованной Group-IB. А на следующий день уже в Киеве в рамках Cisco Security Forum, где также рассказывал о киберпреступности. Собственно презентацию выкладываю. Она отличается от понедельничной (в сторону увеличения объема) и тем более от прошлогодней, которую я читал в рамках ZeroNights.
Бизнес-модель киберпреступности v2
View more presentations from Alexey Lukatsky. Собственно я долго думал - выкладывать ее или нет. Были сомнения в нужности этого. Все-таки не хотелось бы, чтобы ее восприняли как руководство к действию. Но по зрелому размышлению пришел к выводу, что никакого криминала в этом нет. Никакой закрытой информации в ней нет - всё публичные факты и сведения, уже где-то ранее опубликованные. А специалистам стоит знать, что дедовские методы "поставил антивирус и спи спокойно" уже не работают. Необходима ежедневная планомерная работы по борьбе с угрозой, которая приносит хорошие барыши тем, кто по ту сторону баррикад. И останавливаться они не будут. В условиях, пока наше государство не поймет, что киберпреступность - это не патлатые юнцы, ночью лабающие вирусы и рассылающие их со своего домашнего компьютера ради шутки, ситуация будет только ухудшаться и рассчитывать можно только на себя. А для этого надо хотя бы понимать, что происходит по ту сторону баррикад и почему преступлений становится только больше. Когда организованная преступность строит свою деятельность по бизнес-законам противостоять ей можно только сообща, а не поодиночке.

Снизить число киберпреступлений можно только в двух случаях - неотвратимость наказания (неусловного, а вполне серьезного) и перекрытие каналов легкого обналичивания денежных средств, полученных преступным путем. Пока же, к сожалению, ни того, ни другого не предвидится. Правоохранительные органы защищают Конституцию от "кучки" рассерженных горожан, Правительство крышует электронные платежные системы в Интернет и отмывает через них свои "небольшие" доходы из налоговых деклараций, а законодатели принимают законы, узаканивающие мошенничество против банков (я имею ввиду ФЗ-161). Так держать! На фоне принимаемых мер по защите персональных данных картина просто радужная. Кто бы мог подумать еще пару лет назад, что профессия специалиста по защите будет так востребована и так бесполезна одновременно...

ЗЫ. А правоохранительные органы у нас наводят порядок

I like this essay because it nicely illustrates the security mindset.

It was written in 1971, but this still seems like a cool book:

For an elementary illustration of tactics, take parts of your face as the point of reference; your eyes, your ears, and your nose. First the eyes: if you have organized a vast, mass-based people's organization, you can parade it visibly before the enemy and openly show your power. Second the ears; if your organization is small in numbers, then do what Gideon did: conceal the members in the dark but raise a din and clamor that will make the listener believe that your organization numbers many more than it does. Third, the nose; if your organization is too tiny even for noise, stink up the place.

Always remember the first rule of power tactics: Power is not only what you have but what the enemy thinks you have.

The second rule is: Never go outside the experience of your people. When an action or tactic is outside the experience of the people, the result is confusion, fear, and retreat. It also means a collapse of communication, as we have notes.

The third rule is: Wherever possible go outside the experience of the enemy. Here you want to cause confusion, fear, and retreat.

The fourth rule is: Make the enemy live up to their own book of rules. You can kill them with this, for they can no more obey their own rules than the Christian church can live up to Christianity.

The fourth rule carries within in the fifth rule: Ridicule is man's most potent weapon. It is almost impossible to counterattack ridicule. Also it infuriates the opposition, who then react to your advantage.

The sixth rule is: A good tactic is one that your people enjoy. If your people are not having a ball doing it, there is something very wrong with the tactic.

The seventh rule: A tactic that drags on too long becomes a drag.

[...]

The twelfth rule: The price of a successful attack is a constructive alternative. You cannot risk being trapped by the enemy in his sudden agreement with your demand and saying "You're right--we don't know what to do about this issue. Now you tell us."

The thirteenth rule: Pick the target, freeze it, personalize it, and polarize it.

Коллекторская служба одного хитрого банка открыла новую форму отжимания денег у должника – рассылку по всем его "друзьям" из соцсети. Метод немного незаконный (разглашается банковская тайна), но кого это волнует в наши дни? Главное, он эффективный. Во всяком случае, пока.

— Ахъ, Боже мой! Что станетъ говорить
княгиня Марья Алексѣвна?
Интересно другое. Появился ещё один аргумент не сдавать свои соцсетевые контакты при устройстве на работу, при получении кредита, при покупке авиабилета и т.п. Потому что в случае конфликта может начаться давление через круг знакомых. Не все решатся и не все сумеют ответить тем же оружием – разослать дискредитирующие письма всем клиентам фирмы.

Есть деревенские люди, для которых их референтная группа крайне важна. Сплетни за спиной, намёки знакомых или одобрямс соседей способны заставить такого человека пойти на подвиг и на преступление – то и другое заведомо невыгодное для него лично. Особенно зависимы от мнения своей референтной группы жители индустриально неразвитых стран с патриархальным укладом. Чем глубже в горы, тайгу, пустыню – тем крепче держат людей соцсети.

А мнением круга знакомых столь легко манипулировать! Дикий народ: всему верят. Ведутся с полоборота. Это вам не городской избиратель, которого надо полгода по голове телевизором стучать, чтоб он одну галку поставил.

Вот, говорят, в случае кибервойны развитые страны пострадают сильнее, потому что у них, дескать, все объекты подключены к Сети и дистанционно уязвимы. А у их противников, якобы, всё вручную, поэтому киберудар невозможен. Да, есть такой дисбаланс. Но есть и сякой: в третьем мире люди серьёзнее воспринимают информацию, особенно исходящую от друзей и родственников. Так что, ещё не известно, кто тут киберуязвимее.

Помните, в январе я писал про новый законопроект о внесении поправок в КоАП в части появления новой подстатьи 13.111, которая устанавливает новую ответственность за нарушение правил обработки ПДн? Там же я написал, что готовится законопроект про увеличение штрафа по ст.13.11 за нарушение правил обработки ПДн. Но тогда но ни на сайте Минкомсвязи, ни на сайте Правительства или Минэкономразвития я этого законопроекта не нашел. И вот он проявился - на сайте Минэкономразвития выложен текст с пояснительной запиской.

То, о чем так долго предупреждали в Роскомнадзоре свершится - максимальная сумма штрафов поднята до одного миллиона рублей, права наказания по 13.11 переходят от прокуратуры к РКН, а срок давности по таким делам увеличен с 3-х месяцев до 1-го года.

Вчера я писал про проекты Постановлений Правительства, которые придают статус обязательных вопросам классификации ИСПДн, моделированию угроз и другим темам, ранее вызывавшим вопросам. Вместо того, чтобы изменить действующие и спорные локальные нормативные акты, регуляторы пошли по пути придания им большего статуса через утверждение их в качестве Постановлений Правительства. Какой еще документ вызывал вопросы? Правильно. Административный регламент РКН, где, например, был приведен перечень оснований для внеплановых и плановых проверок, который почему-то расширял закрытый перечень, установленный 294-ФЗ. РКН в этом криминала не видел и всех несогласных посылал на 3 буквы (с "у" посередине), т.е. в суд. Но чтобы уж совсем узаконить свои действия, РКН инициировал появление проекта еще одного Постановления Правительства "Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных".

Более детально по этим двум документам позавчера прошелся Михаил Емельянников - повторяться не буду. Просто готовьтесь ;-(

Ура-ура!
Благодаря поддержке хакспейс Neuron и HackSpace Saint-Petersburg жители двух столиц,  могут присоединится к PHDays в компании злоумышленников соратников.

Москва
http://neuronspace.timepad.ru/event/25951

Питер
http://hackspb.ru/positive-hack-days-st-petersburg-2012/

Другие города и страны:
http://phdays.ru/registration/everywhere/

Need some pre-industrial security for your USB drive? How about a wax seal? Neat, but I recommend combining it with encryption for even more security!

According to a report from the DHS Office of Inspector General:

Federal investigators "identified vulnerabilities in the screening process" at domestic airports using so-called "full body scanners," according to a classified internal Department of Homeland Security report.

EPIC obtained an unclassified version of the report in a FOIA response. Here's the summary.

К докладчикам PHDays добавилось еще несколько интересных людей.


Датук Мохд Нур Амин, председателем Международного многостороннего партнерства против киберугроз (IMPACT) расскажет об международном сотрудничестве в сфере кибербезопасности.

Алексей Андреев (ака Мерси Шелли), автор "Паутины" и "2048" поделится своим виденьем будущего киберпанка.

Хэйзем Эль Мир, долгое время отдавший построению CERT и CIRT на Среднем Востоке и в Африке расскажет как Тунис противостоял атакам Anonymous в ходе последних иницдентов (www.securitylab.ru/news/tags/Anonymous/).


Подробнее: http://www.phdays.ru/program/reports/

Для начала напомню почтеннейшей публике, что поражающим фактором терроризма является информация. Сам по себе выстрел, взрыв или иное насилие не влияет на власть. Оно потерялось бы на фоне миллионов других преступлений, если б не освещение теракта в СМИ. Терроризма вообще не существовало как явления, пока не было на свете двух необходимых вещей: массовой информации и механизмов влияния этой информации на решения властей.

Когда в середине XX века все три компоненты сошлись, возник новый способ влиять на власть. Совершается точечное насилие — информацию о нём массово разносят СМИ — ужас и испуг от этой информации оказывают влияние.

Отсутствие любого из трёх элементов исключает терроризм. Нет насилия – нет эффекта. Нет освещения в прессе – нет эффекта. Нет механизма влияния информации на власть (например, через демократию) – тоже нет эффекта. Отсюда и три метода противодействия: (а) не позволять совершать теракты; (б) блокировать распространение информации о теракте; (в) устранить выборы или иную зависимость власти от народа.

За подробностями отсылаю уважаемых читателей к авторитетной книге, где всё вышеупомянутое разжёвано по полочкам.

А теперь – новое слово в терроризме.

Помните, как герои мультфильма «Monsters Inc.» сделали открытие, что энергетика смеха не уступает энергетике страха? Оказалось, что смешить не менее выгодно, чем пугать. К такому же открытию приблизились и современные политики. Необходимое возбуждение публики достигается не только при помощи ужаса (лат.: terror), но и иных чувств. Ведь главное – массовое информирование народа (или элиты, смотря кто тут правит).

Информировать можно о страшном, например, о захвате заложников. А можно о трагичном, например, о самосожжении. Или героичном, например, о смертельной голодовке. Или о дерзком, например, о захвате правительственного здания. Или о возмутительном, например, о безнаказанности чиновника с мигалкой. Или о кощунственном, о массовом, о безобразном, о наглом, о патетическом – о любом необычном явлении, которое не может оставить аудиторию равнодушной. Лишь бы это событие было посвящено политике. Информация о нём будет влиять. Цель достигнута – и взрывать никого не надо.

Как нетрудно заметить, такому "мирному терроризму" противодействовать сложнее, поскольку отпадает способ (а). На первый план выходит (б).

27 апреля я писал о проектах новых Постановлений Правительства по ПДн. Они вызвали большую дискуссию среди специалистов. Кто-то сразу выступил негативно, кто-то проанализировал тексты и отправил разработчикам свои предложения по улучшению. Кто это сделал через антикоррупционную экспертизу (по ней пока результатов нет), кто-то через контакты с авторами проектов. Среди последних был я. Именно поэтому я не стал ничего публично комментировать, надеясь, что можно будет в диалоге с авторами попробовать внести важные поправки, делающие документ более применимыми на практике.

Увы, не получилось. Вчера я, и коллеги, посылавшие свои предложения в ФСБ, получили ответ о результате рассмотрения наших поправок/предложений. Итог таков:

• Проект Постановления Правительства по уровням защищенности. Внесено 51 предложение. Принято (местами частично) только 13; не самых критичных, а местами просто синтаксических правок ;-( 38 предложений не учтено ;-(
• Проект Постановления Правительства по требованиям защиты. Внесено 49 предложений. Принято всего 5 (пять). В 4-х случаях изменена формулировка, так. что можно посчитать, что предложения также приняты. В принятии оставшихся 40 предложений авторами было отказано ;-(

Приводить конкретные тексты сделанных предложений, как и принятых поправок, не буду. Игра еще не закончена - есть Минкомсвязь, который может еще вмешаться в процесс и внести свои коррективы. И есть МинЮст, который будет рассматривать антикоррупционные поправки.

Если все останется так, как есть, то жить станет очень весело. И непросто. Обеспечить защиту персданных будет неимоверно сложно, а небольшим предприятиям и вовсе не под силу. В качестве только примера хочу обратить ваше внимание на такой момент. По нынешнему приказу трех ИСПДн, обрабатывающая общедоступные ПДн, классифицируется как К4. Все логично. По проекту нового Постановления понятие общедоступных ПДн из классификации исчезло вовсе. И если я напишу в Facebook, Twitter, Одноклассниках или на любом ином сайте, что я заболел ОРВИ (напишу сам, по своей воле), то этот сайт будет классифицирован не как К4 (по приказу трех), а как К1. И попытка исправить это недоразумение (я так считал) к успеху не привела - авторы проектов считают, что это информация о состоянии здоровья (даже если я сам ее опубликовал и ее публикация никакого ущерба мне ненанесет), будет относиться к 1-й категории, а вся ИСПДн - к К1.

Всем удачи!

ЗЫ. Лучше бы мы и не трогали старую редакцию закона и Постановлений Правительства.

ЗЗЫ. Почему резуляторы и остальной рынок не смогли найти общего языка описано в моем же посте неделю назад.

Мне тут соответствующие товарищи рассказали простую вещь, о которой я почему-то не догадывался.

Почему секретятся (правда, в основном безуспешно) БД угнанных машин, лиц в розыске, краденых вещей и т.п.?

Казалось бы, такую информацию следует как можно шире распространить. Так повысятся шансы их обнаружить.

Оказалось, повышаются шансы для коррупции. Когда сотрудник органов проверяет по учётам человека или машину или номерную вещь, очень важно, чтобы запрос к БД остался зафиксированным и учтённым. А особенно – успешный запрос. В последнем случае нет возможности отпустить разыскиваемого.

Именно поэтому основными приобретателями баз типа "розыск" с лотков на рынках являются работники полиции и ФСБ. Правда, они это обосновывают тем, что "официальный" запрос по правилам, по служебным каналам и с соблюдением формальностей занимает десятки минут, а то и дни. А для некоторых запросов положено ещё визу начальства получать – удовольствие ниже среднего. Куда как оперативнее по личному Айпадику пальчиком поводить.

To New Zealand:

United States Secretary of Homeland Security Janet Napolitano has warned the New Zealand Government about the latest terrorist threat known as "body bombers."

[...]

"Do we have specific credible evidence of a [body bomb] threat today? I would not say that we do, however, the importance is that we all lean forward."

Why the headline of this article is "NZ warned over 'body bombers,'" and not "Napolitano admits 'no credible evidence' of body bomber threat" is beyond me.

Как обещал в посте про форум директоров ИБ,  подготовил небольшую заметку про защиту ДБО.

Системы дистанционного банковского обслуживания активно развиваются последние 10 лет. Системы Банк-Клиент, Интернет-Банк и набирающий обороты мобильный-банкинг стали неотъемлемым атрибутом любой серьезной кредитной организации. Однако вопросам безопасности в ДБО уделялось крайне мало внимания, как самими банками, так и их клиентами. В результате, по состоянию на сегодняшний день, оборот российского криминального бизнеса в системах ДБО по неофициальным оценкам составляет 500 миллионов $ в год. До настоящего момента, банки стремились решать проблемы в ДБО собственными силами, однако ежегодный рост ущерба от такого мошенничества говорит сам за себя. Как принято говорить «это создает угрозу для безопасности банковской системы РФ».

Законодатель со своей стороны решил вопрос очень просто. Федеральный Закон «О национальной платежной системе», в статья 9 гласит, что В СЛУЧАЕ ХИЩЕНИЯ ДЕНЕЖНЫХ СРЕДСТВ СО СЧЕТА КЛИЕНТА БАНК ОБЯЗАН ВОЗМЕСТИТЬ ПОЛНУЮ СУММУ ПОХИЩЕННЫХ СРЕДСТВ! Статья заработает с 1 января 2013 года. Если раньше банк перекладывал ответственность за несанкционированный платеж на клиента (физическое или юридическое лицо), то теперь закон обязует банк сначала возместить деньги на счет клиента, и только после этого приступать к разбирательству инцидента.

В связи с этим, некоторые банки перевели риски мошенничества ДБО в риски 1-го порядка (уже дважды сталкивался), т.е. непосредственно влияющие на выживание бизнеса. Еще бы. Формальной возможности остановить подозрительный, с точки зрения возможного мошенничества, платеж у банков до сих пор нет. Подводить это под 115-ФЗ (легализацию или терроризм) для банка чревато. Дискуссия об этом была недавно в твиттере.

Признаемся честно, банковская система, в настоящий момент, не готова к односторонней финансовой ответственности за мошенничество с платежами. Проблема усугубляется де-факто отсутствием широко применяемых и отработанных решений по обеспечению безопасности платежей.

Вспомним извечный вопрос – Что делать? Нужно реально защищать. Задача комплексная, но вполне выполнимая.

В зависимости от угроз для ДБО можно выбрать несколько направлений работы, например:

• Защита удаленного доступа
• Создание доверенной среды на стороне клиента (TrustScreen, Mac-токены и т.п.)
• Выстраивание процессов противодействия фроду
• Мониторинг транзакций
• И т.д.

Подробно остановимся на мониторинге транзакций, т.к. очевидно именно к таким решениям движется рынок.

В последние годы на рынке стали появляться качественные решения по мониторингу транзакций, которые позволяют среди сотен тысяч транзакций, проходящих через банк ежедневно, найти мошеннические, и остановить их еще до попадания в платежную систему.

Сейчас с разной популярностью пользуются решения от:

• HP\Arcsight
• Fiserv
• NICE
• RSA
• Norkom

Как обычно расклад сил между вендорами в России несколько отличается от общемирового. Например, Arcsight ESM, уже установленный во многих банках, является хорошим основанием для покупки Fraud View. Также привлекает большое число специалистов по Arcsight в России. Другие решения не могут похвастаться таким числом обученных внедренцев.

Система после запуска учитывает в среднем от 50 до 250 различных показателей, такие как:

• IP-адрес
• MAC-адрес
• Сумма платежа
• Имя получателя
• Назначение платежа
• Время платежа
• История платежей контрагенту
• И др.

В результате, каждый платеж оценивается по заранее заданным правилам и каждому платежу выставляется оценка (балл скоринга). На основании этой оценки система принимает решение о том, подозрительный это платеж или нет.

Далее оператор банка проверяет платеж и окончательно устанавливает мошеннический он или нет. Как показывает практика внедрения аналогичных систем, из десятков тысяч ежедневных платежей как подозрительные помечается не больше 100-200 транзакций, проверить которые под силу даже небольшому подразделению в банке. При желании можно организовать дополнительную авторизацию клиента без участия оператора.

Fiserv, Norkom, NICE – это глобальные конкуренты по антифрод системам. Даже продуктовые названия линейки либо совпадают, либо просто похожи. Решения рассчитаны не только на противодействие мошенничеству в ДБО, но и на анализ карточных транзакций, анализ внутреннего мошенничества и т.д. В отличие от того же Arcsight эти решения могут не только считать скоринг по каждой транзакции по заранее определенным правилам, но и использовать более сложный интеллектуальный анализ транзакций, например по заранее определенным профилям. Решения очень мощные и гибкие и подойдут тем, кто намерен серьезно работать в направлении противодействия фроду.

Приложение от RSA Transaction Monitoring требует меньше настроек, но в этом-то и проблема. В России признаки мошенничества заметно отличаются от тех же американских. Например, для большей части мошеннических переводов и получатель и плательщик находятся в России, и такое правило, как «метить подозрительным платеж в Нигерию» для нас неактуален. Зато быстро разворачивается.

Также на рынке есть уникальные разработки с самописными коннекторами и своими правилами. Как недорогая альтернатива – почему нет?

Более подробно по теме противодействия банковскому фроду в моем докладе на Positive Hack Days 2012.

Другие записи

• Форум директоров по информационной безопасности 2012
• AntiFraud Russia – 2011
• Риск нестабильности банковской системы или угроза безопасности созданная новым законом об электронной подписи
• Новая центровая тема ИБ. Какая?
• Каким я вижу 2012 год… если в 2-х словах…
• Большой пост о власти, регуляторах, персональных данных, стандартах и о будущем российской информационной безопасности

© Царев Евгений for Информационная безопасность по-русски, 2012. | Permalink | No comment | Add to del.icio.us
Post tags: Arcsight, Fraud, Positive Hack Days, Transaction Monitoring, антифрод, Банки, ДБО, доверенная среда, Интернет-банк, Информационная безопасность, мобильный банк, мошеннические транзакции, мошенничество, скорринг, удаленный доступ, фрод

Feed enhanced by Better Feed from Ozh

Достаточно много эксперты говорят про безопасность систем ДБО (дистанционного банковского обслуживания). Предлагаются различные решения - токены с неизвлекаемыми ключами, LiveCD, Trusted Screen и т.п. Но... говоря о ДБО, какой тип ДБО мы имеем ввиду? Ведь их достаточно много. А внедряя в банке систему ДБО мы защищаем все ее компоненты или только Интернет-составляющую? Вот так выглядит деление на 2 основных типа - информационный (уведомление о платежах) и транзакционный (собственно сами платежи).

 Защищая только транзакционную часть мы рискуем все равно попасть на нарушения нормативных требований. Например, по новому ФЗ-161 необходимо уведомлять клиента о каждой транзакции. А если уведомления не было? Кто будет виноват? Правильно, банк. Поэтому защищая ДБО необходимо не забывать по обе составляющие.
 Допустим, не забыли. Но опять, говоря о защите транзакционной ДБО, что конкретно мы имеем ввиду? Защиту Интернет-банкинга? Защиту мобильного банкинга? Возможно. А что насчет телефонного банкинга? У меня в банке, например, реализована система телефонного банкинга через IVR (Interactive Voice Response). Защищен ли доступ к ДБО через этот, не самый распространенный способ дистанционного доступа к своему счету? Был несколько лет назад такой прецедент в России - один крупный банк, столкнувшись с ростом мошенничеств в своей системе Интернет-банкинга, усилил меры защиты. и ввел одноразовые коды подтверждения каждой транзакции. Но только в Интернет - телефонный банкинг был забыт, чем и не преминули воспользоваться злоумышленники.


Резюмируя, могу сказать, что танцевать, выстраивая систему защиты ДБО, надо не от угроз, о которых много пишут в Интернете, и не от предлагаемых средств защиты, которые массово предлагаются отечественными и западными вендорами. Отталкиваться нужно от объекта защиты. Мысль тривиальная, но о ней часто забывают, сразу переходя к защите, не проведя предварительного анализа объекта защиты, его рисков и грозящих ему угроз. Такая поспешность к добру не приведет.