Bezpieczne bankowanie cz. II bezpieczeństwo w bankowości elektronicznej i internetowej, bezpieczne korzystanie z bankomatu

Transkrypt

1 Bezpieczne bankowanie cz. II bezpieczeństwo w bankowości elektronicznej i internetowej, bezpieczne korzystanie z bankomatu Eliza Kotowicz Departament Inspekcji Bankowych, Instytucji Płatniczych i Spółdzielczych Kas Oszczędnościowo Kredytowych Urząd Komisji Nadzoru Finansowego r. 1

2 Podstawy prawne dotyczące ochrony danych Art. 47. Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Art Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa. 2

3 Podstawy prawne dotyczące ochrony danych Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, tekst jednolity: Dz. U r. poz Art Każdy ma prawo do ochrony dotyczących go danych osobowych. 2. Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą. Art Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Ustawa konkretyzuje zapisy konstytucji i stanowi również implementację dyrektywy Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Dyrektywa powstała w celu zapewnienia minimalnego poziomu ochrony prywatności osób fizycznych, których dane osobowe są przetwarzane oraz by zapewnić swobodny przepływ tych danych pomiędzy krajami członkowskimi Unii Europejskiej. 3

4 Podstawy prawne dotyczące ochrony danych Prawo Bankowe Art Bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje. Art. 171 ust Kto, będąc obowiązany do zachowania tajemnicy bankowej, ujawnia lub wykorzystuje informacje stanowiące tajemnicę bankową, niezgodnie z upoważnieniem określonym w ustawie, podlega grzywnie do złotych i karze pozbawienia wolności do lat 3. 4

5 Podstawy prawne dotyczące ochrony danych Ustawa z dnia 6 czerwca 1997 r. Kodeks karny, Dz.U nr 88 poz. 553 W kodeksie karnym znajdziemy przepisy, na podstawie których wymierzana jest kara za działania przestępcze w formie: wyłudzenia danych dotyczących karty płatniczej, konta internetowego, pozwalających na przeprowadzenie transakcji bankowych przez osoby nieuprawnione, nielegalne przechwytywanie wyżej wymienionych danych w czasie transmisji w środowisku elektronicznym (np. poprzez sieć Wi-Fi), w tym również z wykorzystaniem złośliwego oprogramowania, tzw. kradzież tożsamości, zakładanie na bankomatach urządzeń do nielegalnego zbierania informacji z karty płatniczej. 5

6 Podstawy prawne dotyczące ochrony danych Przykład: Art. 267 k.k. 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem. 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w 1-3 ujawnia innej osobie. 5. Ściganie przestępstwa określonego w 1-4 następuje na wniosek pokrzywdzonego. 6

7 Podstawy prawne dotyczące ochrony danych Art. 287 k.k. 1. Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Szczegółowe informacje znajdują się w publikacji edukacyjnej wydanej nakładem KNF w 2014 r. pt. Bezpieczeństwo finansowe w bankowości elektronicznej przestępstwa finansowe związane z bankowością elektroniczną M.Górnisiewicz, R.Obczyński, M.Pstruś, dostępnej również na stronie internetowej KNF w zakładce CEDUR. 7

8 Rodzaje transakcji elektronicznych i internetowych elektroniczna wymiana dokumentacji interaktywne systemy informacji wizualnej i głosowej elektroniczny transfer środków pieniężnych elektroniczne zakupy wymiana dóbr i usług za pośrednictwem drogi elektronicznej za pomocą urządzeń do elektronicznego przetwarzania i przechowywania danych, tj. komputer, telefon, bankomat, terminal POS bankowość elektroniczna, w tym: bankowość mobilna home banking bankowość internetowa bankowość samoobsługowa bankowość telefoniczna 8

9 Zagrożenia, które czekają na użytkownika sieci: Bezpieczeństwo w sieci złośliwe oprogramowania (malware) - programy, których celem jest uszkodzenie systemu, zdestabilizowanie pracy komputera, przejęcie danych oraz wszelka działalność mogąca zaszkodzić użytkownikowi. Źródło: Malware graph autorstwa Wersję rastrową wykonał użytkownik polskiego projektu wikipedii: Andrew313, Zwektoryzował: Krzysztof Zajączkowski - Wersja rastrowa: July 2007, 18:49 Andrew313 uploaded "Plik: Malwaregraph.png" (Praca Własna. Podstawowe grupy złośliwego oprogramowania i wzajemne ich powiązania.). Licencja CC BY-SA 3.0 na podstawie Wikimedia Commons - 9

10 Bezpieczeństwo w sieci Wirus to program, który działając bez wiedzy użytkownika przeprowadza operacje uniemożliwiające lub utrudniające poprawne działanie systemu operacyjnego. Wirusy przenoszone są poprzez zainfekowane pliki (nosiciela). Skutki działania wirusa: Aby doszło do infekcji, plik-nosiciel wraz z wirusem muszą zostać dostarczone do docelowego komputera. Plik taki może zostać przesłany poprzez sieć Internet, przeniesiony za pomocą dyskietki, płyty CD lub DVD, pamięci USB lub innego nośnika danych. kasowanie, zmiana lub niszczenie danych; utrudnianie lub uniemożliwianie pracy na komputerze; wyświetlanie niechcianych grafik lub odgrywanie dźwięków; ułatwienie przejęcia kontroli nad komputerem osobie nieuprawnionej. 10

11 Bezpieczeństwo w sieci Robak (worm), program zbliżony pod względem niepożądanego oddziaływania do wirusa, ale różniący się sposobem przenoszenia. Robak nie potrzebuje pliku nosiciela, rozprzestrzenia się poprzez sieć, w której znajduje się dany komputer. Koń Trojański (trojan) to program, który podając się za oprogramowanie znane i przydatne użytkownikowi, w rzeczywistości jest złośliwym oprogramowaniem. Uruchomienie trojana może nastąpić, poprzez otwarcie załącznika , uruchomienie pliku pobranego z sieci, lub odwiedzenie zainfekowanej strony. 11

12 Bezpieczeństwo w sieci Oprogramowanie szpiegujące (spyware) - wykonuje ukryte działania bez wiedzy użytkownika zbierając informacje o sposobie jego działania. Programy szpiegujące mogą gromadzić informacje o użytkowniku lub jego działaniach w sieci (łącznie z danymi personalnymi lub innymi informacjami poufnymi), zmieniać ustawienia komputera lub spowalniać jego działanie. Spyware najczęściej instalowane jest przez darmowe oprogramowanie, takie jak programy do udostępniania plików, wygaszacze ekranu lub paski wyszukiwania. dane osobowe (imię, nazwisko, adres, PESEL), numery kart płatniczych, loginy i hasła, zainteresowania użytkownika (np. na podstawie wpisywanych słów w oknie wyszukiwarki), adresy www stron internetowych odwiedzanych przez użytkownika, adresy poczty elektronicznej. 12

13 Bezpieczeństwo w sieci Rootkit - oprogramowanie, modyfikujące działanie systemu operacyjnego i ukrywające w ten sposób przed użytkownikiem pewne programy, procesy systemowe lub połączenia sieciowe (służące zazwyczaj hackerowi do administrowania zaatakowanym systemem). Rootkity pozwalają na przejęcie maszyny przez osoby trzecie, które mogą następnie wykorzystać go do popełnienia przestępstwa (np. do ukrycia programu, który kradnie informacje dotyczące konta bankowego lub instaluje serwer proxy w celu rozsyłania spamu bez wiedzy właściciela komputera.). Rootkity są trudne do wykrycia ponieważ nie występują jako odrębny plik/aplikacja; nie każdy program antywirusowy ma funkcję pozwalająca na ich zwalczanie. Ogólna zasada działania opiera się na maskowaniu obecności pewnych uruchomionych programów lub procesów systemowych (z reguły służących hackerowi do administrowania zaatakowanym systemem). Zaatakowany rootkitem system sprawia wrażenie w pełni zabezpieczonego, natomiast w rzeczywistości wykonuje w tle, poza wiedzą administratora czy użytkownika nielegalne operacje. 13

14 Bezpieczeństwo w sieci Spam - to niechciane i niepotrzebne wiadomości elektroniczne przesyłane użytkownikowi odpowiednik niezamawianej poczty w tradycyjnej skrzynce pocztowej. Wiadomości przesyłane są masowo, do wielu losowo wybranych użytkowników. Nadawca spamu nie jest znany użytkownikowi (może też upodabniać się do znanych firm), a treść wiadomości nie leży w obszarze zainteresowań, ani w żaden inny sposób nie jest powiązana z odbiorcą. Z pomocą spamu do użytkowników komputerów trafiają linki bądź załączniki, które mogą spowodować zainfekowanie komputera. Kradzieże tożsamości, danych phishing, sniffing polegają na nieuprawnionym (najczęściej podstępnym) wejściu w posiadanie danych osobowych takich jak imię, nazwisko, numer pesel, adres, data urodzin, numer karty kredytowej w celu wykorzystania ich w celach przestępczych (najczęściej do wyłudzeń kredytów lub prania pieniędzy). W oszustwach typu phishing i pharming sprawcy używają fałszywych wiadomości i stron, aby podszyć się pod prawdziwe organizacje. Wykorzystują instytucje zaufania publicznego i w ten sposób skłaniają użytkowników do ujawnienia poufnych informacji, takich jak numery kont, hasła lub numery rachunków bankowych. 14

15 Bezpieczeństwo w sieci Skimming polega na skopiowaniu zawartości paska magnetycznego karty płatniczej bez wiedzy właściciela, następnie wytworzeniu duplikatu i wykorzystaniu go do wykonywania płatności za towary/usługi lub wypłat gotówki z bankomatów. Wyróżniamy 2 rodzaje skimmingu: skimming w placówce handlowo-usługowej Polega na wykonaniu kopii karty przez sprzedawcę lub inną osobę, która weszła w jej chwilowe posiadanie. Zazwyczaj duplikaty mogą być wykorzystane tylko w przypadku kart, które nie wymagają autoryzacji przy pomocy PIN-u bez możliwości pobierania pieniędzy z bankomatów. skimming bankomatowy Polega na instalowaniu na bankomatach lub w ich wnętrzu (czytniku) specjalnych urządzeń, służących do kopiowania danych z paska magnetycznego lub chipa oraz PIN-u: kamera, fałszywa klawiatura lub płaska płytka obwodu umieszczona w czytniku na kartę. Zarejestrowane w ten sposób informacje służą do produkcji fałszywych kart, za pomocą których możliwe jest pobieranie gotówki z kont klientów banków za pośrednictwem bankomatów. Wypłaty z bankomatów często są dokonywane za granicą. 15

16 Jakie usługi bankowe są dostępne przez internet? Konto bankowe. Karty płatnicze. Kredyty. Przelewy natychmiastowe. Lokaty, konta oszczędnościowe. 16

17 Jak bezpiecznie korzystać z rachunku? Większość banków oferuje dostęp do konta nie tylko w placówce stacjonarnej, ale również przez inne kanały elektroniczne, a przede wszystkim: Internet, telefon i aplikacje mobilne. Podstawowe zalety tych usług to oszczędność czasu i pieniędzy. Konto można obsługiwać 24 godziny na dobę, 7 dni w tygodniu, w dowolnym miejscu. Nie trzeba tracić czasu na dojazdy do placówki czy stanie w kolejce do okienka. W dowolnej chwili można uzyskać informacje o stanie konta, sprawdzić historię rachunku, wykonać przelew lub inną transakcję. Bez wizyty w banku można również zaciągnąć kredyt lub inwestować w fundusze. 17

18 Jak bezpiecznie korzystać z rachunku? Bankowość elektroniczną otrzymujemy zazwyczaj w pakiecie przy zakładaniu rachunku. Posiadaczowi konta nadany jest indywidualny numer dostępu do konta (login) oraz hasło startowe, które należy niezwłocznie zmienić przy pierwszym logowaniu do konta. Hasło powinno być bezpieczne i silne tzn. powinno utrudnić dostęp do konta potencjalnemu przestępcy. Silne hasło to takie, które zawiera nieuporządkowaną kombinację co najmniej 7-8 znaków, wielkie i małe litery, cyfry, litery oraz symbole. Przykład 1: M&60fk2! Przykład 2: Hasło123! Jak to działa? 18

19 Jak bezpiecznie korzystać z rachunku? Zazwyczaj logując się do konta nie podajemy wszystkich znaków, część z nich jest maskowana i za każdym razem podajemy inną kombinację znaków. Kilkukrotna pomyłka przy wpisywaniu hasła blokuje dostęp do konta. Połączenie klienta z jego internetowym kontem jest transmisją szyfrowaną (tzw. certyfikat SSL). Oznacza to, że odbierane i przesyłane dane są dostępne tylko dla klienta. Każda transakcja wykonana przez system bankowości internetowej musi być autoryzowana (czyli potwierdzona) przez użytkownika. Do autoryzacji służą jednorazowe kody przesyłane najczęściej SMS-em na telefon wskazany przez klienta. Autoryzacja może również nastąpić przez token, który generuje jednorazowy kod bądź poprzez wpisanie kodu z listy udostępnionej wcześniej przez bank. 19

20 Czy to jest bezpieczne? Banki funkcjonujące w Polsce stosują najnowocześniejsze systemy zabezpieczeń, jednak żadne zabezpieczenia nie zastąpią zdrowego rozsądku i przestrzegania podstawowych zasad bezpieczeństwa. 20

21 Jak zadbać o bezpieczeństwo? zabezpiecz swój komputer/tablet/telefon: korzystaj z programów antywirusowych, antyspamowych, antypishingowych, firewall, nie instaluj aplikacji niewiadomego pochodzenia, stosuj silne hasła i nie udostępniaj ich nikomu, nie publikuj swoich danych osobowych w Internecie, nie przechowuj danych wrażliwych w niezabezpieczonych plikach (na stacji lokalnej, serwerze lub w tzw. chmurach, nie korzystaj z bankowości elektronicznej w miejscach ogólnie dostępnych, takich jak publiczne sieci wi-fi, czy kawiarenki internetowe, zabezpiecz hasłem domową sieć wi-fi, nie odpowiadaj na maile z prośbą o aktualizację danych, rzekomo wysyłane przez bank. 21

22 Jak bezpiecznie korzystać z karty płatniczej? 1. Podpisz kartę po otrzymaniu. 2. Nie zapisuj PIN-u na karcie. 3. Nie przechowuj karty razem z PIN-em. 4. Nie udostępniaj numeru karty, nie publikuj zdjęcia karty w inetrnecie. 5. Nie noś codziennie wszystkich kart jeśli nie ma takiej potrzeby. 6. Niszcz kopie potwierdzeń transakcji i innych dokumentów, na których widnieje numer karty. 7. Zachowaj potwierdzenia transakcji, które nie doszły do skutku (do czasu otrzymania wyciągu transakcji). 8. Okresowo sprawdzaj czy nie brakuje Ci żadnej karty. 9. Ustaw dzienny limit transakcji. 10. Ubezpiecz kartę. 22

23 Jak bezpiecznie korzystać z bankomatu? Dziś bankomat jest nieodłącznym elementem architektury miejskiej. Urządzenia do wypłaty pieniędzy znajdują się nie tylko w bezpiecznych strefach przy placówkach bankowych, ale wszędzie tam, gdzie możemy potrzebować gotówki, najczęściej w miejscach, gdzie pojawia się dużo ludzi: w centrach handlowych, na dworcach, w miejscowościach turystycznych itp. Czy korzystając z tego udogodnienia zastanawiamy się nad bezpieczeństwem naszym i naszych pieniędzy? 23

24 Jak bezpiecznie korzystać z bankomatu? 1. Sprawdź, czy nie jesteś obserwowany. 2. Sprawdź, czy bankomat nie ma różnych modyfikacji, np. nakładek na klawiaturę lub miejsce gdzie wkładamy kartę, daszku nad ekranem. 3. Chroń swój PIN stań tak, aby zasłonić przed osobami postronnymi numer PIN i kwotę, którą wpisujesz na klawiaturze; osłoń drugą ręką klawiaturę. 4. Nie zapisuj kodu PIN na karcie płatniczej lub na kartce noszonej w portfelu razem z kartą płatniczą. 5. Dyskretnie przelicz wypłacone pieniądze. 24

25 Jak bezpiecznie korzystać z bankomatu? 6. Nie zostawiaj przy bankomacie potwierdzenie dokonywanych transakcji. Zachowaj je w celu zgłoszenia ewentualnej reklamacji. 7. Nie korzystaj z pomocy obcych osób przy wypłacie gotówki z bankomatu. 8. Pamiętaj o odebraniu karty z bankomatu po zakończeniu transakcji. Co zrobić w przypadku problemów? skontaktuj się z call-center (numer podany na bankomacie), powiadom swój bank, poproś o pomoc pracownika placówki banku. Niniejsza prezentacja została przygotowana w celach edukacyjnych w ramach programu Porozmawiajmy o finansach oraz projektu Centrum Edukacji dla Uczestników Rynku. Informacje w niej zawarte mają wyłącznie charakter ogólny i nie stanowią porady inwestycyjnej. Autorskie prawa majątkowe do materiałów są własnością Urzędu Komisji Nadzoru Finansowego. Rozpowszechnianie, kopiowanie, utrwalanie, publiczne wykorzystywanie całości lub części dozwolone jedynie w celach niekomercyjnych, nieodpłatnie, za zgodą UKNF, pod warunkiem 25

26 Jak bezpiecznie korzystać z bankomatu? Źródło: 26

27 Jak bezpiecznie korzystać z bankomatu? Źródło: Niniejsza prezentacja została przygotowana w celach edukacyjnych w ramach programu Porozmawiajmy o finansach oraz projektu Centrum Edukacji dla Uczestników Rynku. Informacje w niej zawarte mają wyłącznie charakter ogólny i nie stanowią porady inwestycyjnej. Autorskie prawa majątkowe do materiałów są własnością Urzędu Komisji Nadzoru Finansowego. Rozpowszechnianie, kopiowanie, utrwalanie, publiczne wykorzystywanie całości lub części dozwolone jedynie w celach niekomercyjnych, nieodpłatnie, za zgodą UKNF, pod warunkiem 27

28 Podsumowanie: zasady bezpieczeństwa w bankowości elektronicznej. 28

29 Zasady bezpieczeństwa w bankowości elektronicznej w oparciu o kampanię społeczną prowadzoną przez Komisję Nadzoru Finansowego Urząd Komisji Nadzoru Finansowego kontynuuje kampanię edukacyjną dotyczącą bezpieczeństwa finansowego w bankowości elektronicznej. Przypominamy o podstawowych zasadach bezpieczeństwa w sieci. 1. Nie udostępniaj nikomu loginu i hasła do systemu bankowości elektronicznej. 2. Cyklicznie zmieniaj hasło do logowania w systemie bankowości elektronicznej. 3. Nie otwieraj podejrzanych linków w otrzymanych wiadomościach i SMS. 4. Zainstaluj i aktualizuj oprogramowanie antywirusowe, które może uchronić komputer i urządzenia mobilne przed wirusami oraz oprogramowaniem szpiegującym. Na bieżąco aktualizuj system operacyjny urządzenia oraz cyklicznie skanuj każde urządzenie programem antywirusowym. 5. Cyklicznie sprawdzaj, czy numery rachunków w przelewach zdefiniowanych nie uległy podmianie. 29

30 Zasady bezpieczeństwa w bankowości elektronicznej w oparciu o kampanię społeczną prowadzoną przez Komisję Nadzoru Finansowego 6. Przed potwierdzeniem transakcji zawsze weryfikuj zgodność numeru konta, na które przelewasz środki pieniężne z numerem odbiorcy oraz numerem, który jest w kodzie potwierdzającym transakcję, przekazanym z wykorzystaniem SMS (jeżeli ta funkcjonalność jest udostępniona). 7. Na bieżąco przeglądaj historię rachunku i operacji na każdej karcie płatniczej pod kątem podejrzanych transakcji. Jeżeli jest to możliwe, to włącz powiadomienia SMS o każdej wykonywanej transakcji. 8. Nie kopiuj numerów rachunków bankowych do przelewów ( kopiuj-wklej ), ale wpisuj je samodzielnie i dokładnie weryfikuj. 30

31 Zasady bezpieczeństwa w bankowości elektronicznej w oparciu o kampanię społeczną prowadzoną przez Komisję Nadzoru Finansowego 9. Nie korzystaj z bankowości elektronicznej za pośrednictwem niesprawdzonych połączeń (np. publicznej WiFi). 10. Zadbaj, aby każde używane oprogramowanie pochodziło z legalnego i zaufanego źródła. 11. Jeżeli zaobserwujesz nietypowe lub podejrzane działania, niezwłocznie zgłoś ten fakt do banku, z którego usług korzystasz w ramach bankowości elektronicznej. PAMIĘTAJ! Twoje bezpieczeństwo finansowe w sieci zależy w pierwszej kolejności od Ciebie. 31

32 Dziękuję za uwagę 32