Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa,

Transkrypt

1 Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów Michał Olczak Obserwatorium.biz Warszawa,

2 O mnie Michał Olczak, Członek zarządu, CTO absolwent Politechniki Poznańskiej, kierunek informatyka. współzałożyciel i członek zarządu Obserwatorium.biz. ponad 10 letnie doświadczenie w rozwoju bezpiecznych aplikacji, architekt bezpieczeństwa organizator OWASP Poznań członek Forum Bezpieczeństwa Transakcji Elektronicznych ZBP ponad 10 letnim doświadczeniem w tworzeniu systemów bankowości internetowej i mobilnej w banku BZWBK. promuje kulturę innowacji w połączeniu z cyberodpowiedzialnością.

3 Agenda Bezpieczeństwo jako główna przeszkoda w rozwoju płatności mobilnych Wyzwania dla bezpieczeństwa w świecie płatności natychmiastowych Bezpieczeństwo bankowości elektronicznej vs systemy płatności Edukacja użytkowników i rynku Rekomendacja

4 Bezpieczeństwo cyfrowe czynnik wstrzymujący płatności Problemy Kradzież tożsamości klienta hasła, sms, aplikacje Malware, Phishing mobilny Prywatność rosnące obawy Chmury obliczeniowe brak standardów

5 Płatności mobilne to konieczność

6 Płatności mobilne Polska vs Świat Źródło: Raport Polska jest Mobi 2015 Źródło:

7 Stan obecny - ebanking Źródło raport 08/2015

8 Stan obecny - mbanking Źródło raport 08/2015

9 Porównanie internet vs mobile Hasło maskowalne standard w internecie, w mobile zabija UX Jednolity mechanizm międzykanałowy nieistnieje Powiadomienia nie są standardem Limity wciąż rosną Edukacja w zakresie bezpiecznego korzystania nie jest czytelna Inne mechanizmy bezpieczeństwa: FDS, threat intelligence, biometria?

10 Stan obecny - mbanking Źródło raport 08/2015

11 Podsumowanie wyzwań dla rozwoju bezpieczeństwa płatności interoperacyjność / wielokanałowość ergonomia użytkowania narzędzi uwierzytelniania i autoryzacji finansowe (koszty wdrożenia i utrzymania danej metody) technicznego (łatwość integracji) odporność na znane ataki (techniczne oraz socjotechniczne) odpowiedzialność za włamanie i procedury reagowania

12 Stan obecny i trendy Obecnie Trendy W Internecie kody SMS W kanale mobilnym często tylko hasła Regałowe FDS Brak wykrywania malware na stacji klienta lub wykrywaniu w oparciu o znane ataki Wykrywanie incydentów oparte o SIEM Brak standardów w przypadku włamania Fido / nowe standardy uwierzytelniania Biometria GSMA Mobile Connect Podejście omnikanałowe w oparciu o zabezpieczenia systemowe (FDS) Wykrywanie incydentów oparte o sieć i rozproszone systemy SIEM Edukacja klientów

13 Porównanie banki vs systemy płatności 3D Secure vs płatności natychmiastowe Problemy z weryfikacją rachunku przy płatności Mechanizm blokowania rachunków słupów nie jest wystarczający Brak mechaznimu wymiany informacji Edukacja klientów Bezpieczeństwo HCE oraz Apple Pay

14 Zwinny system bezpieczeństwa płatności Warstwa 1 Użytkownik/punkt końcowy Uwierzytelnianie i autoryzacja użytkownika i urządzenia końcowego Warstwa 2 Nawigacja Opiera sie o monitorowanie i analize sesji w aplikacji. Polega na poroẃnaniu zachowania do nauczonych wzorcoẃ ba dz okresĺonych reguł. (LOGI) Warstwa 3 Zachowanie Oparta o zachowanie zwia zane z klientem ba dz jego specyficznymi akcjami zwia zanymi z przepływami mie dzy rachunkami. (SIEM, FDS) Warstwa 4 Analiza powiązań Analiza opartej o powia zania pomie dzy danymi z systemu oraz innych źro deł, takich jak analiza incydentoẃ ba dz wymiana informacji z innymi podmiotami. (BIG DATA, Predictive analytics, Machine Learning)

15 Edukacja użytkowników oraz rynku poprzez kampanie społeczną Edukacja użytkowników w zakresie cyberbezpieczeństwa Edukacja uczestników rynku w jaki sposób reagować w przypadku incydentów, Współpraca w celu wypracowania standardów bezpieczeństwa dla budowy i weryfikacji systemów płatności Współpraca w celu walki z cyberprzestępczością, automatyzacja rozwiązań Przykładem działania strategicznego jest projekt w USA: STOP.THINK.CONNECT.

16 Bezpieczeństwo aplikacji mobilnych oraz API Błędy i podatności w systemach operacyjnych, platformach mobilnych Poufność połączenia, certyfikaty Zaufanie urządzenia Przechowywanie haseł, tokenów i wrażliwych informacji API security (SOAP, REST) Bezpieczeństwo implementacji mechanizmów kontroli dostępu. Ransomware, malware mobilny Relacja bezpieczeństwo vs wygoda użytkowania vs wielokanałowość

17 Innowacje a bezpieczeństwo płatności

18 Rekomendacje Autoryzacja musi uwzględniać priorytety w zakresie ergonomii, bezpieczeństwa i ekonomiki narzędzi autoryzacyjnych. Bezpieczeństwo systemu płatności musi być łatwo zarządzalne i odporne na ataki. Rozwój narzędzi autoryzacyjnych powinien być uregulowany w drodze budowy, wdrożenia i aktualizacji standardów. OWASP Mobile Security Project, ASVS. Nadzieje wiąże się z biometria, natomiast każde ze stosowanych rozwiązań identyfikacja głosowa, z użyciem linii papilarnych, naczyń krwionośnych palca czy tez identyfikacja twarzy wiąże się z szeregiem problemów technicznych, związanych z bezpieczeństwem oraz gotowością klientów do jej akceptacji. Nowe metodologie w tworzeniu oprogramowania takie jak scrum znajdują swoje zastosowanie w tworzeniu systemów finansowych, co wymaga również nowego zautomatyzowanego i zwinnego podejścia do bezpieczeństwa tych systemów (devops).

19 Kontakt Michał Olczak, CTO, współzałożyciel