Bezpieczeństwo informatyki bankowej

IV FORUM INFORMATYKI
W BANKOWOŚCI SPÓŁDZIELCZEJ
Bezpieczeństwo informatyki bankowej
specyfika banków spółdzielczych
dr Dariusz Garczyński
Uniwersytet Ekonomiczny we Wrocławiu
[email protected]
Warszawa, 13 marca 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
Plan wystąpienia
1. Współczesne zagrożenia bezpieczeństwa systemów informatycznych w
bankowości
2. Rola nowych technologii w dostarczaniu produktów i usług bankowych
3. Koncepcja Web 2.0 i jej konsekwencje dla bezpieczeństwa IT
4. Social engineering a bezpieczeństwo IT
5. Czy cyberterroryzm sięgnie banków spółdzielczych?
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
Zamiast wstępu
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
Zamiast wstępu
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
Zamiast wstępu
Drogi: Uniwersytet Ekonomiczny konto e-mail użytkowników,
Ten mail jest z help desk administrator; chcemy wam zauważyć stan
swojego konta e-mail do skrzynki pocztowej został przekroczony swojej
kwoty / Limit przydzielany przez administratora portalu Mail jesteś
obecnie działa na 5GB, możesz nie być w stanie odbierać lub wysyłanie
nowych wiadomości dopóki Re-Validate/increase limitu poczty, aby
nowy 25GB Kontyngent Mail.
Wystarczy Kliknij nowy mail 25GB skrzynki pocztowej. zaktualizować link poniżej.
http://tinyurl.com/dxvl2co
UWAGA: Jeśli nie można kliknąć łącze, radzimy, aby skopiować i wkleić
w nowej przeglądarce, aby zwiększyć swoje skrzynki pocztowej do
naszego nowego 25GB Poczta
Kontyngent. To jest bezpłatne i nie trzeba za to zapłacić. Twoje konto
pozostanie aktywne po pomyślnym Zwiększ swoją pocztę Kontyngent.
Pozdrawiam,
Administrator systemu poczty
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
Współczesne zagrożenia bezpieczeństwa
systemów informatycznych w bankowości
wirusy; 4%
niezadowolony
personel; 9%
ataki z
zewnątrz;
3%
nieuczciwy
personel; 10%
pomyłki
ludzkie; 54%
problemy
fizyczne; 20%
źródło: Bezpieczeństwo systemów informatycznych w bankach w
Polsce, J. Grzywacz, SGH, 2003
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
Współczesne zagrożenia bezpieczeństwa
systemów informatycznych w bankowości
problemy z wdrożeniem nowych rozwiązań w
zakresie zabezpieczeń
niewystarczające mechanizmy
bezpieczeństwa zaimplementowane w
kanałach elektronicznych
luki w bezpieczeństwie oferowanych na rynku
rozwiązań
brak lub niewystarczająca świadomość
zagrożeń istniejących po stronie
użytkowników
5%
19%
29%
47%
0% 5% 10%15%20%25%30%35%40%45%50%
źródło: Bezpieczeństwo IT w bankach w Polsce, raport KPMG, 2011
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
Współczesne zagrożenia bezpieczeństwa
systemów informatycznych w bankowości
inne; 21%
kradzież
poufnej
dokumentacji
; 5%
incydenty
związane z
usługą e-mail;
21%
social
engineering;
5%
skanowanie
infrastruktury
kanałów
elektronicznych;
16%
wirusy/malware;
16%
kradzieże sprzętu
IT; 16%
źródło: Bezpieczeństwo IT w bankach w Polsce, raport KPMG, 2011
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
Rola nowych technologii w dostarczaniu
produktów i usług bankowych
NOWE
TECHNOLOGIE
INTERNET
TELEFONIA
KOMÓRKOWA
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
Koncepcja Web 2.0 i jej konsekwencje dla
bezpieczeństwa IT
Koncepcja Web 2.0 to rozumienie ogólnoświatowej
sieci
Internet
jako
platformy
tworzenia
i
publikowania treści nie przez pojedynczych autorów
ale przez wszystkich użytkowników…
User Created Content
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
Koncepcja Web 2.0 i jej konsekwencje dla
bezpieczeństwa IT
Zagrożenie bezpieczeństwa IT ze strony mediów
społecznościowych to przede wszystkim ujawnianie
wielu osobistych danych użytkowników systemów na
różnego rodzaju portalach społecznościowych
szwedzki stół z
prywatnymi danymi
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
Social engineering a bezpieczeństwo IT
Łamałem ludzi, nie
hasła…
K. Mytnick
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
Social engineering a bezpieczeństwo IT
Social engineering (inżynieria społeczna, inżynieria
socjalna lub socjotechnika) – sztuka manipulacji
nakierowana na zdobycie poufnych informacji,
zazwyczaj wykorzystująca ludzką niewiedzę lub
łatwowierność…
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
Social engineering a bezpieczeństwo IT
"jestem w Europie i potrzebuję zalogować się na serwer za pomocą SSH,
czy możesz otworzyć mi połączenie na porcie 59022 lub podobnym? Czy
hasło roota nadal jest 88j4bb3rw0cky88? Czy zmieniliśmy je już na
88Scr3am3r88? Dziękuję„
„nie znam mojego publicznego IP, spieszę się bardzo na spotkanie, ustaw
mi hasło na changeme123, a ja się zaloguję i sam je zmienię”
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
Social engineering a bezpieczeństwo IT
Metoda „na niezadowolonego klienta”
„Dostałem od was fakturę/dokument/plik którego nie mogę otworzyć.
Odsyłam go w załączniku i proszę sprawdzić.”
Metoda „na telemarketera”
„oprogramowanie jest bardzo atrakcyjne cenowo proszę tylko posłuchać
co oferujemy”
„proszę zatem podać mi jakiego typu baz danych Pan używa żebym mógł
potwierdzić, że takie rozwiązanie wspieramy – np. MySQL i Firebird,proszę jeszcze podać mi wersje silników – MySQL 5, Firebird 2.1.2.”
przykłady za AVG.PL
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
Czy cyberterroryzm sięgnie banków
spółdzielczych?
a dlaczego nie?..
potencjalnym celem cyberterrorystów jest każda
firma posiadająca system informatyczny
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
Czy cyberterroryzm sięgnie banków
spółdzielczych?
Sony Online Entertainments
Citigroup
Syria
Estonia
Międzynarodowy Fundusz
Walutowy
Lockheed Martin
Gruzja
Międzynarodowy Komitet
Olimpijski
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
Czy cyberterroryzm sięgnie banków
spółdzielczych?
systemy informatyczne narażone są na trzy grupy
cyberataków:
• propagandowo – dezinformacyjny
• sabotaż komputerowy
• zamachy na krytyczną infrastrukturę połączone z ingerencją
w jej funkcjonowanie
jednym z elementów krytycznej infrastruktury
państwa jest system bankowy
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
Czy cyberterroryzm sięgnie banków
spółdzielczych?
celami mogą być:
• bank centralny,
• centra rozliczeniowe,
• systemy giełdowe,
• międzybankowe systemy rozliczeniowe,
• banki,
• systemy płatnicze,
• sieci bankomatów itp.
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014
Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych
I to by było na tyle…
Dziękuję za uwagę
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014