Bezpieczeństwo informatyki bankowej
Transkrypt
Bezpieczeństwo informatyki bankowej
IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ Bezpieczeństwo informatyki bankowej specyfika banków spółdzielczych dr Dariusz Garczyński Uniwersytet Ekonomiczny we Wrocławiu [email protected] Warszawa, 13 marca 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych Plan wystąpienia 1. Współczesne zagrożenia bezpieczeństwa systemów informatycznych w bankowości 2. Rola nowych technologii w dostarczaniu produktów i usług bankowych 3. Koncepcja Web 2.0 i jej konsekwencje dla bezpieczeństwa IT 4. Social engineering a bezpieczeństwo IT 5. Czy cyberterroryzm sięgnie banków spółdzielczych? IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych Zamiast wstępu IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych Zamiast wstępu IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych Zamiast wstępu Drogi: Uniwersytet Ekonomiczny konto e-mail użytkowników, Ten mail jest z help desk administrator; chcemy wam zauważyć stan swojego konta e-mail do skrzynki pocztowej został przekroczony swojej kwoty / Limit przydzielany przez administratora portalu Mail jesteś obecnie działa na 5GB, możesz nie być w stanie odbierać lub wysyłanie nowych wiadomości dopóki Re-Validate/increase limitu poczty, aby nowy 25GB Kontyngent Mail. Wystarczy Kliknij nowy mail 25GB skrzynki pocztowej. zaktualizować link poniżej. http://tinyurl.com/dxvl2co UWAGA: Jeśli nie można kliknąć łącze, radzimy, aby skopiować i wkleić w nowej przeglądarce, aby zwiększyć swoje skrzynki pocztowej do naszego nowego 25GB Poczta Kontyngent. To jest bezpłatne i nie trzeba za to zapłacić. Twoje konto pozostanie aktywne po pomyślnym Zwiększ swoją pocztę Kontyngent. Pozdrawiam, Administrator systemu poczty IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych Współczesne zagrożenia bezpieczeństwa systemów informatycznych w bankowości wirusy; 4% niezadowolony personel; 9% ataki z zewnątrz; 3% nieuczciwy personel; 10% pomyłki ludzkie; 54% problemy fizyczne; 20% źródło: Bezpieczeństwo systemów informatycznych w bankach w Polsce, J. Grzywacz, SGH, 2003 IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych Współczesne zagrożenia bezpieczeństwa systemów informatycznych w bankowości problemy z wdrożeniem nowych rozwiązań w zakresie zabezpieczeń niewystarczające mechanizmy bezpieczeństwa zaimplementowane w kanałach elektronicznych luki w bezpieczeństwie oferowanych na rynku rozwiązań brak lub niewystarczająca świadomość zagrożeń istniejących po stronie użytkowników 5% 19% 29% 47% 0% 5% 10%15%20%25%30%35%40%45%50% źródło: Bezpieczeństwo IT w bankach w Polsce, raport KPMG, 2011 IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych Współczesne zagrożenia bezpieczeństwa systemów informatycznych w bankowości inne; 21% kradzież poufnej dokumentacji ; 5% incydenty związane z usługą e-mail; 21% social engineering; 5% skanowanie infrastruktury kanałów elektronicznych; 16% wirusy/malware; 16% kradzieże sprzętu IT; 16% źródło: Bezpieczeństwo IT w bankach w Polsce, raport KPMG, 2011 IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych Rola nowych technologii w dostarczaniu produktów i usług bankowych NOWE TECHNOLOGIE INTERNET TELEFONIA KOMÓRKOWA IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych Koncepcja Web 2.0 i jej konsekwencje dla bezpieczeństwa IT Koncepcja Web 2.0 to rozumienie ogólnoświatowej sieci Internet jako platformy tworzenia i publikowania treści nie przez pojedynczych autorów ale przez wszystkich użytkowników… User Created Content IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych Koncepcja Web 2.0 i jej konsekwencje dla bezpieczeństwa IT Zagrożenie bezpieczeństwa IT ze strony mediów społecznościowych to przede wszystkim ujawnianie wielu osobistych danych użytkowników systemów na różnego rodzaju portalach społecznościowych szwedzki stół z prywatnymi danymi IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych Social engineering a bezpieczeństwo IT Łamałem ludzi, nie hasła… K. Mytnick IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych Social engineering a bezpieczeństwo IT Social engineering (inżynieria społeczna, inżynieria socjalna lub socjotechnika) – sztuka manipulacji nakierowana na zdobycie poufnych informacji, zazwyczaj wykorzystująca ludzką niewiedzę lub łatwowierność… IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych Social engineering a bezpieczeństwo IT "jestem w Europie i potrzebuję zalogować się na serwer za pomocą SSH, czy możesz otworzyć mi połączenie na porcie 59022 lub podobnym? Czy hasło roota nadal jest 88j4bb3rw0cky88? Czy zmieniliśmy je już na 88Scr3am3r88? Dziękuję„ „nie znam mojego publicznego IP, spieszę się bardzo na spotkanie, ustaw mi hasło na changeme123, a ja się zaloguję i sam je zmienię” IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych Social engineering a bezpieczeństwo IT Metoda „na niezadowolonego klienta” „Dostałem od was fakturę/dokument/plik którego nie mogę otworzyć. Odsyłam go w załączniku i proszę sprawdzić.” Metoda „na telemarketera” „oprogramowanie jest bardzo atrakcyjne cenowo proszę tylko posłuchać co oferujemy” „proszę zatem podać mi jakiego typu baz danych Pan używa żebym mógł potwierdzić, że takie rozwiązanie wspieramy – np. MySQL i Firebird,proszę jeszcze podać mi wersje silników – MySQL 5, Firebird 2.1.2.” przykłady za AVG.PL IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych Czy cyberterroryzm sięgnie banków spółdzielczych? a dlaczego nie?.. potencjalnym celem cyberterrorystów jest każda firma posiadająca system informatyczny IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych Czy cyberterroryzm sięgnie banków spółdzielczych? Sony Online Entertainments Citigroup Syria Estonia Międzynarodowy Fundusz Walutowy Lockheed Martin Gruzja Międzynarodowy Komitet Olimpijski IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych Czy cyberterroryzm sięgnie banków spółdzielczych? systemy informatyczne narażone są na trzy grupy cyberataków: • propagandowo – dezinformacyjny • sabotaż komputerowy • zamachy na krytyczną infrastrukturę połączone z ingerencją w jej funkcjonowanie jednym z elementów krytycznej infrastruktury państwa jest system bankowy IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych Czy cyberterroryzm sięgnie banków spółdzielczych? celami mogą być: • bank centralny, • centra rozliczeniowe, • systemy giełdowe, • międzybankowe systemy rozliczeniowe, • banki, • systemy płatnicze, • sieci bankomatów itp. IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014 Bezpieczeństwo informatyki bankowej – specyfika banków spółdzielczych I to by było na tyle… Dziękuję za uwagę IV FORUM INFORMATYKI W BANKOWOŚCI SPÓŁDZIELCZEJ, Warszawa, 13 maja 2014