1 Bezpieczeństwo systemu informatycznego banku
2 Przyczyny unikania bankowych usług elektronicznych 60% 50% 52% 40% 30% 20% 10% 20% 20% 9% 0% brak dostępu do Internetu brak zaufania do bezpieczeństwa usługi 1% brak takiej potrzeby brak wiedzy, jak korzystać z usługi
3 Ataki przez Internet na firmy i branże (w I połowie 2004 r., w świecie w procentach) firmyy zajmujące się e-handlem 16 msp 10 organizacje pozarządowe firmy high-tech usługi biznesowe usługi finansowe pozostałe 6 4 4 4 56 0 10 20 30 40 50 60 Źródło: opracowanie za Rzeczpospolitą na podstawie danych firmy Symantec
4 Dwie funkcje zabezpieczeń stosowanych przy świadczeniu usług bankowości elektronicznej Budowa zaufania do instytucji Ochrona rachunków klientów i ich transakcji gwarancja pewności ochrona poufności (dane o rachunkach) gwarancja bezbłędności gwarancja bezpieczeństwa ochrona prywatności (dane osobowe) ochrona środków pieniężnych
5 Rodzaje zabezpieczeń versus 2003/2004 Transmisja szyfrowana Proste uwierzytelnianie danych Silne uwierzytelnianie danych Inne metody identyfikator użytkownika i hasło PIN (4 cyfry) token kody jednorazowe spójne procedury operacyjne firewall w Internecie DES RSA SSL w telefonie WAP WTLS algorytm A5 certyfikat użytkownika podpis cyfrowy rejestracja aktywności blokada konta aut.wył. użytk. z syst.
6 Wybrane aspekty bezpieczeństwa banku Bank jest instytucją zaufania publicznego i jego bezpieczeństwo jest ważne nie tylko dla pojedynczego banku, ale również dla całego systemu bankowego Wg podmiotu, któremu chcemy zapewnić bezpieczeństwo; można wyróżnić: bezpieczeństwo klientów bezpieczeństwo pracowników banku bezpieczeństwo informacji banku bezpieczeństwo banku jako instytucji Wg rodzaju bezpieczeństwa: bezpieczeństwo fizyczne (istniejące obiektywnie bezpieczeństwo psychiczne (odczuwane)
7 Model polityki zabezpieczeń PRAWO STANDARDY POLITYKA ZABEZPIE CZEŃ ZAGROŻENIA KRYPTOGRAFIA Zabezpieczenie fizyczne - strefy bezpieczeństwa - strażnicy - urządzenia kontroli dostępu Zabezpieczenie administracyjne organizacja, kadry, procedury, szkolenia Zabezpieczenie techniczno-programowe - urządzenia - oprogramowanie ochrona pomieszczeń ochrona elektromagnetyczna ochrona transmisji implementac je kryptografii implementacje metod logicznych
8 Zmiany w systemach informatycznych to: zmiany sprzętowe, aktualizacje oprogramowania, nowe procedury, nowe funkcje, nowi użytkownicy, dodatkowe połączenia sieciowe i międzysieciowe. A. Białas, Zarządzanie, s. 58.
9 Podział zagrożeń wewnętrzne brak polityki bezpieczeństwa nadmierne przywileje brak dokumentowania operacji brak planów ciągłości nieprawidłowości zewnętrzne techniczne strukturalne systemowe
10 Zagrożenia techniczne podszywanie się pod innego użytkownika działanie bez upoważnienia właściwego użytkownika ujawnienie danych (poufnych) zmiana lub usunięcie danych przechwytywanie danych wykonywanie nielegalnych transakcji
11 Najczęstsze przyczyny niewłaściwego zabezpieczenia systemów informatycznych banku niewystarczająca świadomość zagrożeń brak wiedzy specjalistycznej, a w szczególności z zakresu zarządzania zabezpieczeniem systemów o poufnym charakterze wysokie koszty budowy zabezpieczeń, często trudnych do uzasadnienia niechęć pracowników do przestrzegania dodatkowych, złożonych, utrudniających codzienną pracę procedur niewystarczająca współpraca zainteresowanych komórek banku błędy (niezamierzone) pracowników banku
12 Polityka zabezpieczenia systemów teleinformatycznych obejmuje: (cz.1) organizację infrastruktury systemu zabezpieczenia Ewidencję aktywów informacyjnych, ich wartość i poziomy wrażliwości rozpoznawanie zagrożeń, (ryzyko ogólne) system informowania o incydentach monitorowanie systemu zabezpieczeń identyfikację klientów i ich uwierzytelnianie zabezpieczenie oprogramowania kasowanie nieodtwarzalne przeciwdziałanie oprogramowaniu złośliwemu (wirusom, trojanom i robakom itp.) zabezpieczenie komputerów osobistych zabezpieczenie komputerów przenośnych zabezpieczenie systemów teleinformatycznych
13 Polityka zabezpieczenia systemów teleinformatycznych obejmuje: (cz. 2) infrastrukturę sieci Internet kryptografię nieautoryzowane zajęcie (obiektu) kontrolę dostępu do komputerów i nośników danych ochronę personelu ochronę przeciwpożarową wykrywanie i informowanie o niebezpieczeństwach (systemy alarmowe) zabezpieczenie nośników informacji i dokumentacji planowanie działań w sytuacjach awaryjnych» zabezpieczenia podczas pracy poza siedzibą macierzystą [1] J. Beczkowski: Elementy praktyczne budowy wspólnej polityki zabezpieczania systemów i ochrony danych, III Forum Teleinformatyki, Legionowo, 22-23 października 1997
14 Planowanie bezpieczeństwa operacji identyfikacja informacji, które mogłyby być atrakcyjne dla przestępcy, określenie metod, których mógłby użyć przestępca do zdobycia informacji (czy musi przykładowo włamać się do budynku, czy też może uzyskać dane poprzez Sieć), rozwijanie procedur operacji identyfikujących metody przestępców komputerowych, które uniemożliwiłyby dostęp włamywaczom do informacji oraz wykryłyby wszystkie naruszenia bezpieczeństwa, zaangażowanie pracowników w proces wdrażania programu bezpieczeństwa operacji (pracownicy powinni znać program bezpieczeństwa operacji oraz ogólny program polityki bezpieczeństwa) A. Machnacz, Bezpieczeństwo operacji, s. 38-39.m
15 Atrybuty bezpieczeństwa Integralność systemu (System integrity) Właściwość polegająca na tym, że system realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od nieautoryzowanej manipulacji, celowej lub przypadkowej Rozliczalność (Accountability) Właściwość zapewniająca, że działania podmiotu (użytkownika) mogą być jednoznacznie przypisane tylko temu podmiotowi Niezawodność (Reliability) Właściwość oznaczająca spójne, zamierzone zachowanie i skutki
16 Atrybuty bezpieczeństwa Poufność (Confidentiality) Właściwość zapewniająca, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom Autentyczność (Authenticity) Dostępność (Availability) Integralność danych (Data integrity) Właściwość zapewniająca, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana; dotyczy użytkowników, procesów, systemów czy nawet instytucji; autentyczność związana jest z badaniem, czy ktoś jest tym, za kogo się podaje Właściwość bycia dostępnym i możliwym do wykorzystania na żądanie, w założonym czasie przez kogoś, kto ma do tego prawo Właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany
17 Najczęściej stosowane hasła przez użytkowników komputerów Nazwisko lub imię użytkownika 9% Nazwy miejscowości 9% Imię zwierzęcia 8% Imię dziecka 23% Nazwy zespołów muzycznych 10% Nazwa drużyny piłkarskiej 10% Data urodzin 12% Imię współmałżonka 19%
18 Kryptografia to panaceum Kryptografia jest nauką (spokrewnioną z matematyką) zajmującą się metodami szyfrowania wiadomości, danych To wiedza o metodach przesyłania wiadomości w zamaskowanej postaci, tak aby tylko odbiorca był w stanie odczytać wysłaną przez nadawcę wiadomość, będąc jednocześnie pewnym, że nie została ona przez nikogo zmodyfikowana
19 Zgłoszone przestępstwa w obiektach banków Kategoria przestępstw 1996 1997 1998 1999 Kradzież mienia łącznie 252 367 997 1546* w tym kieszonkowa 8 9 3 kradzież mienia 223 349 969 * kradzież zuchwała 19 14 15 * Kradzież z włamaniem 132 97 121 92 Rabunek mienia i wymuszenia rozbójnicze 20 28 39 81 w tym z bronią 7 15 26 46 Zagarnięcie mienia 5245 5668 5563 * w tym o znacznej wartości 317 220 151 * Źródło: Zymon G., Standardowe zabezpieczenia to za mało, Bank, 2/2001, s. 35-38.
20 Podsumowując największe zagrożenie dla PRACOWNICY błędy pracowników (niezamierzone) celowo złośliwa działalność zabezpieczeń stanowią OSOBY ZEWNĘTRZNE KIEROWANE ZAMIARAMI PRZESTĘPCZYMI hakerzy oszuści BRAK WYOBRAŹNI DECYDENTÓW niezamierzony (głup.) zamierzony działania na rzecz konkurentów
21 Literatura
22 Dziękuję za uwagę!