Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów Michał Olczak Obserwatorium.biz Warszawa, 29.10.2015
O mnie Michał Olczak, Członek zarządu, CTO absolwent Politechniki Poznańskiej, kierunek informatyka. współzałożyciel i członek zarządu Obserwatorium.biz. ponad 10 letnie doświadczenie w rozwoju bezpiecznych aplikacji, architekt bezpieczeństwa organizator OWASP Poznań członek Forum Bezpieczeństwa Transakcji Elektronicznych ZBP ponad 10 letnim doświadczeniem w tworzeniu systemów bankowości internetowej i mobilnej w banku BZWBK. promuje kulturę innowacji w połączeniu z cyberodpowiedzialnością.
Agenda Bezpieczeństwo jako główna przeszkoda w rozwoju płatności mobilnych Wyzwania dla bezpieczeństwa w świecie płatności natychmiastowych Bezpieczeństwo bankowości elektronicznej vs systemy płatności Edukacja użytkowników i rynku Rekomendacja
Bezpieczeństwo cyfrowe czynnik wstrzymujący płatności Problemy Kradzież tożsamości klienta hasła, sms, aplikacje Malware, Phishing mobilny Prywatność rosnące obawy Chmury obliczeniowe brak standardów
Płatności mobilne to konieczność
Płatności mobilne Polska vs Świat Źródło: Raport Polska jest Mobi 2015 Źródło: http://think.withgoogle.com/mobileplanet/
Stan obecny - ebanking Źródło raport 08/2015
Stan obecny - mbanking Źródło raport 08/2015
Porównanie internet vs mobile Hasło maskowalne standard w internecie, w mobile zabija UX Jednolity mechanizm międzykanałowy nieistnieje Powiadomienia nie są standardem Limity wciąż rosną Edukacja w zakresie bezpiecznego korzystania nie jest czytelna Inne mechanizmy bezpieczeństwa: FDS, threat intelligence, biometria?
Stan obecny - mbanking Źródło raport 08/2015
Podsumowanie wyzwań dla rozwoju bezpieczeństwa płatności interoperacyjność / wielokanałowość ergonomia użytkowania narzędzi uwierzytelniania i autoryzacji finansowe (koszty wdrożenia i utrzymania danej metody) technicznego (łatwość integracji) odporność na znane ataki (techniczne oraz socjotechniczne) odpowiedzialność za włamanie i procedury reagowania
Stan obecny i trendy Obecnie Trendy W Internecie kody SMS W kanale mobilnym często tylko hasła Regałowe FDS Brak wykrywania malware na stacji klienta lub wykrywaniu w oparciu o znane ataki Wykrywanie incydentów oparte o SIEM Brak standardów w przypadku włamania Fido / nowe standardy uwierzytelniania Biometria GSMA Mobile Connect Podejście omnikanałowe w oparciu o zabezpieczenia systemowe (FDS) Wykrywanie incydentów oparte o sieć i rozproszone systemy SIEM Edukacja klientów
Porównanie banki vs systemy płatności 3D Secure vs płatności natychmiastowe Problemy z weryfikacją rachunku przy płatności Mechanizm blokowania rachunków słupów nie jest wystarczający Brak mechaznimu wymiany informacji Edukacja klientów Bezpieczeństwo HCE oraz Apple Pay
Zwinny system bezpieczeństwa płatności Warstwa 1 Użytkownik/punkt końcowy Uwierzytelnianie i autoryzacja użytkownika i urządzenia końcowego Warstwa 2 Nawigacja Opiera sie o monitorowanie i analize sesji w aplikacji. Polega na poroẃnaniu zachowania do nauczonych wzorcoẃ ba dz okresĺonych reguł. (LOGI) Warstwa 3 Zachowanie Oparta o zachowanie zwia zane z klientem ba dz jego specyficznymi akcjami zwia zanymi z przepływami mie dzy rachunkami. (SIEM, FDS) Warstwa 4 Analiza powiązań Analiza opartej o powia zania pomie dzy danymi z systemu oraz innych źro deł, takich jak analiza incydentoẃ ba dz wymiana informacji z innymi podmiotami. (BIG DATA, Predictive analytics, Machine Learning)
Edukacja użytkowników oraz rynku poprzez kampanie społeczną Edukacja użytkowników w zakresie cyberbezpieczeństwa Edukacja uczestników rynku w jaki sposób reagować w przypadku incydentów, Współpraca w celu wypracowania standardów bezpieczeństwa dla budowy i weryfikacji systemów płatności Współpraca w celu walki z cyberprzestępczością, automatyzacja rozwiązań Przykładem działania strategicznego jest projekt w USA: STOP.THINK.CONNECT.
Bezpieczeństwo aplikacji mobilnych oraz API Błędy i podatności w systemach operacyjnych, platformach mobilnych Poufność połączenia, certyfikaty Zaufanie urządzenia Przechowywanie haseł, tokenów i wrażliwych informacji API security (SOAP, REST) Bezpieczeństwo implementacji mechanizmów kontroli dostępu. Ransomware, malware mobilny Relacja bezpieczeństwo vs wygoda użytkowania vs wielokanałowość
Innowacje a bezpieczeństwo płatności
Rekomendacje Autoryzacja musi uwzględniać priorytety w zakresie ergonomii, bezpieczeństwa i ekonomiki narzędzi autoryzacyjnych. Bezpieczeństwo systemu płatności musi być łatwo zarządzalne i odporne na ataki. Rozwój narzędzi autoryzacyjnych powinien być uregulowany w drodze budowy, wdrożenia i aktualizacji standardów. OWASP Mobile Security Project, ASVS. Nadzieje wiąże się z biometria, natomiast każde ze stosowanych rozwiązań identyfikacja głosowa, z użyciem linii papilarnych, naczyń krwionośnych palca czy tez identyfikacja twarzy wiąże się z szeregiem problemów technicznych, związanych z bezpieczeństwem oraz gotowością klientów do jej akceptacji. Nowe metodologie w tworzeniu oprogramowania takie jak scrum znajdują swoje zastosowanie w tworzeniu systemów finansowych, co wymaga również nowego zautomatyzowanego i zwinnego podejścia do bezpieczeństwa tych systemów (devops).
Kontakt Michał Olczak, CTO, współzałożyciel Michał.Olczak@obserwatorium.biz +48 695 500 928