Zgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.
Kilka słów o AVET INS 1997 rozpoczęcie działalności Od początku zajmujemy siętylko bezpieczeństwem informacji Niezależny audytor i konsultant 100% polskiego kapitału Dzięki umowie z ComSec Consulting: usługi QSA i ASV w ramach PCI DSS
Co robimy? Skierowani na biznes Biznes, bezpieczeństwo, zaufanie Wysoce technologiczna firma Niezależna i obiektywna ocena i pomoc w podejmowaniu strategicznych decyzji
Nasze wartości
Kryzys szansa czy pułapka Szanse Wyrównanie szans z dużymi bankami komercyjnymi Duża szybkość podejmowania decyzji Duża elastyczność Bliski i dobry kontakt z klientem Brak niebezpiecznych produktów Zaufanie klientów Zagrożenia Rosnąca liczba fraudów Wyłudzanie kredytów Przestępstwa kartowe Przestępstwa internetowe Efektem fraudów jest rosnąca liczba wymogów Rosnąca liczba wymogów oznacza wzrost kosztów operacyjnych dla Banku
Rola AVET INS Zarządzanie Ryzykiem Operacyjnym Zgodność z wymogami KNF pomoc w kontrolach i inspekcjach na miejscu Ochrona przed fraudami: Przestępstwa kartowe (PCI DSS) Przestępstwa internetowe
1. Modelowanie zagrożeń 2. Testy penetracyjne infrastruktury 3. Testy penetracyjne aplikacji 4. Audyt aplikacji 5. Audyt kodu 6. Ocena zgodności 7. Strategia naprawy 8. Kontrola nad procesem naprawy Proces audytu
Infrastruktura sieciowa, serwerowa, aplikacyjna, bazodanowa TESTY PENETRACYJNE
Testy penetracyjne Zewnętrzne Ocena zabezpieczeńz Internetu Testy widoczności Różne poziomy uprawnień (dotyczy tylko aplikacji) Wewnętrzne Ocena odporności systemu na ataki z wnętrzna Banku Różne poziomy uprawnień Różne lokalizacje ataku Różne cele ataku
Usuwanie podatności u źródła ich powstawania AUDYT KODU ŹRÓDŁOWEGO
Audyt kodu: proces
Audyt kodu: przykład Źródło błędu Jego zasięg i wpływ Ryzyko Metoda usunięcia błędu Brak walidacji danych wejściowych OWASP Top 10
Standard PCI DSS bezpieczeństwo danych kartowych 12 wymogów Build and Maintain a Secure Network Requirement 1:Install and maintain a firewall configuration to protect cardholder data Requirement 2:Do not use vendor-supplied defaults for system passwords and other security parameters Protect Cardholder Data Requirement 3: Protect stored cardholder data Requirement 4:Encrypt transmission of cardholder data across open, public networks Maintain a Vulnerability Management Program Requirement 5: Use and regularly update anti-virus software Requirement 6:Develop and maintain secure systems and applications Implement Strong Access Control Measures Requirement 7: Restrict access to cardholder data by business needto-know Requirement 8:Assign a unique ID to each person with computer access Requirement 9:Restrict physical access to cardholder data Regularly Monitor and Test Networks Requirement 10:Track and monitor all access to network resources and cardholder data Requirement 11:Regularly test security systems and processes Maintain an Information Security Policy Requirement 12:Maintain a policy that addresses information security Wyzwania Audyt może prowadzićtylko organizacja uprawniona: QSA Za 12 wymogami kryje się ponad 140 szczegółowych pytań Termin osiągnięcia zgodności: JUŻ MINĄŁ!!!
PCI DSS Audyt zerowy / Gap analysis Strategia naprawy Realizacja strategii Pomoc w realizacji Osiągnięcie zgodności Udziałdostawcy systemu Udziałdostawcy infrastruktury
PODSUMOWANIE
Podsumowanie AVET INS pomaga Bankom inwestowaćwe właściwe zabezpieczenia ograniczając koszty zarządzania ryzykiem operacyjnym i bezpieczeństwem Możemy wspomóc Bank na każdym etapie zarządzania bezpieczeństwem Doświadczenie w innych bankach oraz w sektorze finansowym
Dziękujemy za uwagę! PYTANIA?
Osoby kontaktowe AVET INS: Aleksander Czarnowski Prezes Zarządu, tel. (022) 504 06-16; kom. 0-502-502-425 e-mail: aleksander.czarnowski@avet.com.pl Jacek Kokosza Wiceprezes Zarządu tel. (022) 504-06-16; kom. 0-502-502-440, e-mail: jacek.kokosza@avet.com.pl