Innowacja Technologii ICT vs Człowiek Bezpieczeństwo Kanałów Elektronicznych Grzegorz Dlugajczyk CISSO, CSLO, CPEH, CNFE, CVA Katowice, 7 czerwiec 2016r.
Rozwój kanałów elektronicznych w Polsce wczoraj Liczba użytkowników bankowości internetowej w Polsce (mln) + ~46 % 21,86 25,11 30,30 17,76 20,80 dzisiaj 2011 2012 2013 2014 2015 Źródło: Rynek bankowości internetowej - Związek Banków Polskich Liczba użytkowników bankowości mobilnej w Polsce (mln) jutro + ~5000 % 3,48 5,07 2,5 IoT 0,11 2012 2013 2014 2015 Źródło: Rynek bankowości mobilnej - Związek Banków Polskich
Ankieta KNF wynik badania świadomości zagrożeń w sieci https://www.knf.gov.pl/images/knf_badanie_14012016_tcm75-44164.pdf
Przykładowe kanały dostępu oraz metody zabezpieczeń Contact Centre Strona internetowa Hasło + OTP Aplikacja mobilna Hasło + Captcha Token sprzętowe Użytkownik Co-browsing Oddział Banku Terminal (POS/ATM) Token programowy Podpis elektroniczny PIN Dokument tożsamości BANK Karta płatnicza BLIK Biometria Pytania kontrolne Kody jednorazowe VoIP/Chat/Video
Kto może być zagrożony Apetyt na ryzyko Klient indywidualny Małe lub średnie Przedsiębiorstwo Duże Przedsiębiorstwo Podatność (świadomość zagrożenia) Bezpieczeństwo (słabość zabezpieczeń) Osiągnięte korzyści (profit) Prawdopodobieństwo wystąpienia ryzyka: Małe Średnie Duże
Kiedy występuję zagrożenie ataku Inżynieria społeczna Malware / trojan np. zeus Podatność przeglądarki lub wtyczek fałszywa strona przechwycenie danych identyfikujących tożsamość przechwycenie danych uwierzytelniających i autoryzacji nr telefonu przelewy wzorcowe sposób autoryzacji Podatność systemu operacyjnego np. Windows Android, itd MiTM MiTB BANK Punkt dostępu do sieci internet np. WiFi, router złośliwy SMS/MMS złośliwa aplikacja duplikat karty GSM nieautoryzowana modyfikacja transakcji / przelewu przejęcie komunikacji C&C
Ryzyko ataku na urządzenie dostępowe Phishing site Fake mail serwer Malware Download site Email harvesting contact Email havesting data Access to mailboxes Email Fake Web Serwer Warez/Piracy site Spam site Stealing personality Fraud activities Virtual personality DDoS Zombie Bots Personality Privacy disclosure Click Fraud zombie Anonymous Proxy Reputation hijacking Spam Zombie
Bezpieczeństwo bankowość elektroniczna Klient indywidualny instaluj aplikacje mobilne tylko z zaufanych źródeł i ogranicz wykonywanie płatności elektronicznych z obcych urządzeń lub źródeł niezaufanych (np. nieznane WiFi) weryfikuj i aktualizuj dane osobowe w systemach bankowości elektronicznej (np. telefon, adres zamieszkania) nie otwieraj emaili lub SMS/MMS z URL, które wskazują na konieczność zalogowania się do bankowości elektronicznej (phishing) posiadaj świadomość kanałów, z których korzystasz oraz zagrożeń im towarzyszących wykonuj regularną aktualizację systemu operacyjnego dla urządzenia, z którego korzystasz zdefiniuj limity dla kanałów, z których korzystasz i deaktywuj te, z których nie korzystasz
Bezpieczeństwo bankowość elektroniczna Klient korporacyjny wykonuj regularne akcje uświadamiające dla swoich pracowników i wskazuj sposób reagowania i zgłaszania incydentów bezpieczeństwa w firmie wyodrębnij stanowiska komputerowe tylko do usług płatności elektronicznych, wyposażając je w techniczne systemy prewencyjne typu antymalware, antyspyware oraz regularnie aktualizuj systemy i aplikacje tam zainstalowane wprowadź procedury akceptacji dużych płatności oraz limity dla kanałów dostępu poinformuj niezwłocznie Bank, jeżeli twoje konto bankowe mogło zostać skompromitowane, zmieniając hasło z innego zaufanego urządzenia lub kanału dostępu do bankowości elektronicznej. monitoruj stan konta i weryfikuj regularnie wykonane płatności / historię zmian na firmowych rachunkach
IoT nowym wyzwaniem w kanałach płatności elektronicznych Innowacja & Wygoda IoT Bezpieczeństwo http://www.engadget.com/2016/02/22/visa-iot-payments-cars/
DZIĘKUJĘ Grzegorz Dlugajczyk Business Manager Departament Zarządzania Ryzykiem Operacyjnym ING BANK ul. Sokolska 34, 40-090 Katowice Grzegorz.Dlugajczyk@ingbank.pl