systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
TRANSCRIPT
Systemowe zabezpieczenie kanału elektronicznego
w instytucjach finansowych
Raport specjalny dla uczestników M&IBS 2015
Warstwy zabezpieczeń w instytucjach finansowych
Polityka uwierzytelnienia i autoryzacji:
Instytucja: wdrożenie i integracja, odporność na atak, koszty utrzymania
Użytkownik: ergonomia narzędzi, kultura wykorzystania, migracja i polityka cenowa
Polityka zabezpieczeń „wewnętrznych”:
Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania oprogramowania i rozwoju biznesu
Monitoring systemów i polityka reagowania na zagrożenia
Systemy anty-fraudowe i wykrywania zagrożeń
Uwierzytelnienie i autoryzacja – bieżąca sytuacja
Pierwszą i podstawową formą ochrony klientów jest udostępnienie im narzędzi autoryzacji i uwierzytelniania takich jak:
Login i hasło (także PIN mobilny)
Kody SMS – Wszystkie badane banki
Tokeny (narzędziowe i mobilne) – 4 badane banki
Biometria – 1 badany bank
Narzędzia te są najłatwiejsze i najtańsze w implementacji z perspektywy banków
Gwarantują one podstawowy poziom zabezpieczenia
W bardzo dużej mierze ich skuteczność zależy od wiedzy i uwagi klienta
Pierwsza linia ochrony klientów chroni jedynie przed podstawowymi zagrożeniami
Rozwiązania takie jak kody SMS które wydawały się być gwarantem bezpieczeństwa zawiodły w ostatnich latach
Banki starając się podnosić bezpieczeństwo poświęcają ergonomię użytkowania:
Bywa to czasem wymiana nieadekwatna do osiąganego efektu – hasło maskowane, dodatkowe „pytania” przy logowaniu
Skomplikowane procesy „zaufania” urządzeń mobilnych które w niektórych przypadkach wymagają wykorzystania 2-3 kanałów kontaktu (mobile/internet/call center)
Skomplikowane i niejasne systemy zarządzania limitami w których klienci bardzo łatwo mogą się pogubić
Wprowadzanie dodatkowych haseł i numerów identyfikacji w mobile – np. osobny identyfikator w PeoPay w stosunku do normalnego loginu do bankowości mobilnej PEKAO
Uwierzytelnienie i autoryzacja – bieżąca sytuacja
Uwierzytelnienie i autoryzacja – specyfika Mobile
Uwierzytelnienie i autoryzacja – specyfika Mobile
Uwierzytelnienie i autoryzacja – słabości systemów
Słabe hasła i polityka zmiany/odzyskiwania hasła
Edukacja klientów
na temat silnego uwierzytelniania i autoryzacji
możliwych ataków i reagowania
Słabości w systemach bankowości elektronicznej
polityka limitów
możliwość podmiany rachunku
możliwość zdobycia numeru telefonu
Dwa najpoważniejsze zagrożenia czyhające na klientów:
Malware – coraz bardziej zaawansowane i niebezpieczne oprogramowanie które może nie tylko kopiować wprowadzany przez klienta tekst ale także przechwytywać SMSy lub podstawiać niepoprawne numery rachunków gdy nieświadomy klient wykonuje przelew
Phishing – podszywanie się pod strony bankowe starając się w ten sposób zdobyć dane do logowania. Hasło maskowane nie jest wystarczającym zabezpieczeniem, zwłaszcza w przypadku klientów mniej świadomych zagrożeń lub nieuważnych
W ostatnich 12 miesiącach mieliśmy do czynienia z kilkoma dużymi zdarzeniami jak ataki MITM
Uwierzytelnienie i autoryzacja – największe zagrożenia
Walka z malware to codzienność
Banki są odpowiedzialne za bezpieczeństwo klientów:
Podstawa to edukacja - jak atakujący oszukują klienta i nasze systemy
Kolejny krok to bezpieczne i łatwe w użyciu narzędzia autoryzacyjne
Przygotowanie się na potencjalne ataki:
Analiza ryzyk i danych z rynku w celu przewidywania zagrożeń
Ciągłe doskonalenie stosowanych w banku mechanizmów obronnych na podstawie przeprowadzonych analiz
Stosowanie wielu warstw ochronnych
Uwierzytelnienie i autoryzacja – największe zagrożenia
Konieczność wdrożenia dedykowanej polityki uwierzytelniania i autoryzacjidla poszczególnego banku / instytucji, uwzględniającej aspekty:
Aspekt techniczny: wdrożenie, integracja i utrzymanie rozwiązania
Aspekt zw. z użytkownikiem: ergonomia narzędzi, kultura wykorzystania, migracja i polityka cenowa
Aspekt biznesowy: koszty wdrożenia, utrzymania, migracji i komunikacji
Aspekt rozwojowo-strategiczny (standardy, regulacje, potencjał rozwoju uwzględniający zmiany technologiczne)
Aspekt zw. z bezpieczeństwem: odporność na ataki wszelkiego typu
Wyzwanie związane z wykorzystaniem potencjału ergonomii wraz ze zrozumieniem jej ograniczeń
Wyzwanie związane z potencjałem „eksportu/importu” uwierzytelniania (eIDAS)
Wyzwanie związane z koniecznością budowy ogólnorynkowych standardów
Edukacja rynku – element szerszych działań zw. z cybersecurity
Uwierzytelnienie i autoryzacja – kierunki rozwoju
Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania oprogramowania i rozwoju biznesu
Innowacyjność i zwinne podejście do developmentu to klucze do sukcesu:
Agile Scrum
DevOps
Zabezpieczenia po stronie banku muszą być niewidzialne dla użytkownika:
Wiele warstw
Automatyzacja
Współpraca między organizacjami (CERT, SOC)
Inteligentne systemy reagowania
Bezpieczeństwo również musi być innowacyjne i zwinne aby wspierać biznes
Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania oprogramowania i rozwoju biznesu
Edukacja – szkolenia
Projektowanie z uwzględnieniem bezpieczeństwa – architekt bezpieczeństwa
DevOps – automatyzacja bezpieczeństwa operacyjnego
Dobre praktyki i standardy:
PCI DSS
OWASP
Innowacje są silnie związane z rozwojem firm (innovation is of crucial importance for a handful of ‘superstar’ fast-growth firms)
Zespoły zwinne tworzące produkty muszą mieć wsparcie w zakresie bezpieczeństwa
Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania oprogramowania i rozwoju biznesu
Zwinne testy bezpieczeństwa, testy oparte o przegląd kodu i architektury są optymalne, pozwalają szybko reagować w sytuacji nowych błędów
Audyt w świecie Scrum’a, nastawienie na biznes i realne bezpieczeństwo
DevOps a gdzie Security - (IAST) Interactive Application Security Testing
Bug Bounty
Data security in the Cloud (IoT)
Legacy Code - (RASP) Runtime Application Self-Protection
Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania oprogramowania i rozwoju biznesu
Monitoring systemów i polityka reagowania na zagrożenia
Audyty bezpieczeństwa dostosowane do nowej rzeczywistości
Monitorowanie incydentów (SIEM) – analiza logów
Procedury awaryjne oraz ustalone ścieżki komunikacyjne (SOC)
Współdziałanie na rzecz poprawy bezpieczeństwa systemów, jesteśmy współzależni
Bezpieczeństwo jako podstawa biznesu (przykład raportowanie CISO)
Systemy anty-fraudowe i wykrywania zagrożeń
Ewolucja od systemów regułowych w kierunku systemów inteligentnych (AI)
Integracja sygnałów z wielu kanałów wewnętrznych (internet, mobile, call center)
Integracja ze źródłami zewnętrznymi, np. inne organizacje
Systemy jutra będą przewidywać z dużym prawdopodobieństwem ataki i reagować w czasie rzeczywistym
Zabezpieczenia wewnętrzne – kierunki rozwoju
Wiele warstw zabezpieczeń w oparciu o analizę ryzyka pozwoli reagować na
ataki na klientów
Systemowe zabezpieczenia w bankowości elektronicznej wymagają współpracy deweloperów oraz działów operacyjnych i bezpieczeństwa (audytu) – usprawni to również reagowanie.
Systemy antyfraudowe dla bankowości elektronicznej są niezbędnym elementem infrastruktury systemowej zabezpieczenia banków i muszą być ́coraz bardziej inteligentne i zautomatyzowane, aby nadarzyć ́za rosnącą liczbą zagrożeń́.
Kontakt
Michał Olczak
695 500 928
Miłosz Brakoniecki
695 250 295