Wykład na temat bezpieczeńśtwa systemów informatycznych

Transkrypt

1
Bezpieczeństwo systemu
informatycznego banku
Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński
2
Przyczyny unikania bankowych usług
elektronicznych
60%
52%
50%
40%
30%
20%
20%
20%
9%
10%
1%
0%
brak dostępu do
Internetu
brak zaufania do
bezpieczeństwa usługi
brak takiej potrzeby
brak wiedzy, jak
korzystać z usługi
3
Ataki przez Internet na firmy i branże
(w I połowie 2004 r., w świecie w procentach)
16
firmyy zajmujące się e-handlem
10
msp
organizacje pozarządowe
6
firmy high-tech
4
usługi biznesowe
4
usługi finansowe
4
56
pozostałe
0
10
20
30
40
50
 Źródło: opracowanie za Rzeczpospolitą na podstawie danych firmy Symantec
60
4
Dwie funkcje zabezpieczeń stosowanych przy
świadczeniu usług bankowości elektronicznej
Budowa zaufania
do instytucji
Ochrona rachunków
klientów i ich transakcji
gwarancja pewności
ochrona poufności
(dane o rachunkach)
gwarancja bezbłędności
ochrona prywatności
(dane osobowe)
gwarancja
bezpieczeństwa
ochrona środków
pieniężnych
5
Rodzaje zabezpieczeń versus 2003/2004
Transmisja
szyfrowana
w Internecie
Proste uwierzytelnianie
danych
SSL
Inne metody
identyfikator
użytkownika i hasło
token
spójne
procedury
operacyjne
PIN (4 cyfry)
kody
jednorazowe
firewall
certyfikat
użytkownika
rejestracja
aktywności
w telefonie
WAP
DES
RSA
Silne uwierzytelnianie
danych
WTLS
algorytm A5
podpis
cyfrowy
blokada
konta
aut.wył.
użytk. z syst.
6
Wybrane aspekty bezpieczeństwa banku
 Bank jest instytucją zaufania publicznego i jego bezpieczeństwo
jest ważne nie tylko dla pojedynczego banku, ale również dla
całego systemu bankowego
 Wg podmiotu, któremu chcemy zapewnić bezpieczeństwo; można
wyróżnić:
– bezpieczeństwo klientów
– bezpieczeństwo pracowników banku
– bezpieczeństwo informacji banku
– bezpieczeństwo banku jako instytucji
 Wg rodzaju bezpieczeństwa:
– bezpieczeństwo fizyczne (istniejące obiektywnie
– bezpieczeństwo psychiczne (odczuwane )
7
Model polityki zabezpieczeń
PRAWO
POLITYKA
ZABEZPIE
CZEŃ
STANDARDY
Zabezpieczenie fizyczne
- strefy bezpieczeństwa
- strażnicy
- urządzenia kontroli dostępu
ochrona
pomieszczeń
Zabezpieczenie
administracyjne
organizacja, kadry,
procedury, szkolenia
ochrona
elektromagnetyczna
ochrona
transmisji
ZAGROŻENIA
KRYPTOGRAFIA
Zabezpieczenie
techniczno-programowe
- urządzenia
- oprogramowanie
implementac
je
kryptografii
implementacje
metod
logicznych
8
Zmiany w systemach informatycznych to:
zmiany sprzętowe,
aktualizacje oprogramowania,
nowe procedury,
nowe funkcje,
nowi użytkownicy, dodatkowe połączenia
sieciowe i międzysieciowe.
A. Białas, Zarządzanie…, s. 58.
9
Podział zagrożeń
wewnętrzne
–
–
–
–
–
brak polityki bezpieczeństwa
nadmierne przywileje
brak dokumentowania operacji
brak planów ciągłości
nieprawidłowości
zewnętrzne
– techniczne
– strukturalne
– systemowe
10
Zagrożenia techniczne
podszywanie się pod innego użytkownika
działanie bez upoważnienia właściwego
użytkownika
ujawnienie danych (poufnych)
zmiana lub usunięcie danych
przechwytywanie danych
wykonywanie nielegalnych transakcji
11
Najczęstsze przyczyny niewłaściwego zabezpieczenia
systemów informatycznych banku
niewystarczająca świadomość zagrożeń
brak wiedzy specjalistycznej, a w szczególności z zakresu
zarządzania zabezpieczeniem systemów o poufnym
charakterze
wysokie koszty budowy zabezpieczeń, często trudnych do
uzasadnienia
niechęć pracowników do przestrzegania dodatkowych,
złożonych, utrudniających codzienną pracę procedur
niewystarczająca współpraca zainteresowanych komórek
banku
błędy (niezamierzone) pracowników banku
12
Polityka zabezpieczenia systemów
teleinformatycznych obejmuje: (cz.1)
 organizację infrastruktury systemu zabezpieczenia
 Ewidencję aktywów informacyjnych, ich wartość i poziomy
wrażliwości
 rozpoznawanie zagrożeń, (ryzyko ogólne)
 system informowania o incydentach
 monitorowanie systemu zabezpieczeń
 identyfikację klientów i ich uwierzytelnianie
 zabezpieczenie oprogramowania
 kasowanie nieodtwarzalne
 przeciwdziałanie oprogramowaniu “złośliwemu” (wirusom, trojanom
i robakom itp.)
 zabezpieczenie komputerów osobistych
 zabezpieczenie komputerów przenośnych
 zabezpieczenie systemów teleinformatycznych
13
Polityka zabezpieczenia systemów
teleinformatycznych obejmuje: (cz. 2)
 infrastrukturę sieci
 Internet
 kryptografię
 nieautoryzowane zajęcie (obiektu)
 kontrolę dostępu do komputerów i nośników danych
 ochronę personelu
 ochronę przeciwpożarową
 wykrywanie i informowanie o niebezpieczeństwach (systemy
alarmowe)
 zabezpieczenie nośników informacji i dokumentacji
 planowanie działań w sytuacjach awaryjnych
»
zabezpieczenia podczas pracy poza siedzibą macierzystą
[1] J. Beczkowski: Elementy praktyczne budowy wspólnej polityki
zabezpieczania systemów i ochrony danych, III Forum Teleinformatyki,
Legionowo, 22-23 października 1997
14
Planowanie bezpieczeństwa operacji
 identyfikacja informacji, które mogłyby być atrakcyjne dla
przestępcy,
 określenie metod, których mógłby użyć przestępca do zdobycia
informacji (czy musi przykładowo włamać się do budynku, czy też
może uzyskać dane poprzez Sieć),
 rozwijanie procedur operacji identyfikujących metody
przestępców komputerowych, które uniemożliwiłyby dostęp
włamywaczom do informacji oraz wykryłyby wszystkie naruszenia
bezpieczeństwa,
 zaangażowanie pracowników w proces wdrażania programu
bezpieczeństwa operacji (pracownicy powinni znać program
bezpieczeństwa operacji oraz ogólny program polityki
bezpieczeństwa)
A. Machnacz, Bezpieczeństwo operacji…, s. 38-39.m
15
Integralność
systemu
(System integrity)
Atrybuty bezpieczeństwa
Właściwość polegająca na tym, że system realizuje swoją
zamierzoną funkcję w nienaruszony sposób,
wolny od nieautoryzowanej manipulacji, celowej lub
przypadkowej
Rozliczalność
(Accountability)
Właściwość zapewniająca, że działania
podmiotu (użytkownika) mogą być
jednoznacznie przypisane tylko temu podmiotowi
Niezawodność
(Reliability)
Właściwość oznaczająca spójne,
zamierzone zachowanie i skutki
16
Atrybuty bezpieczeństwa
Poufność
(Confidentiality)
Właściwość zapewniająca, że informacja nie jest udostępniana
lub ujawniana nieautoryzowanym osobom, podmiotom lub
procesom
Autentyczność
(Authenticity)
Właściwość zapewniająca, że tożsamość podmiotu
lub zasobu jest taka, jak deklarowana;
dotyczy użytkowników, procesów, systemów
czy nawet instytucji; autentyczność związana jest
z badaniem, czy ktoś jest tym, za kogo się podaje
Dostępność
(Availability)
Właściwość bycia dostępnym i możliwym do
wykorzystania na żądanie, w założonym czasie przez kogoś,
kto ma do tego prawo
Integralność
danych
(Data integrity)
Właściwość zapewniająca, że dane nie zostały zmienione
lub zniszczone w sposób nieautoryzowany
17
Najczęściej stosowane hasła przez
użytkowników komputerów
Nazwisko lub
imię użytkownika
9%
Nazwy
miejscowości
9%
Nazwy zespołów
muzycznych
10%
Imię zwierzęcia
8%
Nazwa drużyny
piłkarskiej
10%
Imię dziecka
23%
Data urodzin
12%
Imię
współmałżonka
19%
18
Kryptografia … to panaceum
Kryptografia jest nauką (spokrewnioną z
matematyką) zajmującą się metodami szyfrowania
wiadomości, danych
To wiedza o metodach przesyłania wiadomości w
zamaskowanej postaci, tak aby tylko odbiorca był
w stanie odczytać wysłaną przez nadawcę
wiadomość, będąc jednocześnie pewnym, że nie
została ona przez nikogo zmodyfikowana
19
Zgłoszone przestępstwa w obiektach
banków
Kategoria przestępstw
1996
Kradzież mienia łącznie
252
kradzież mienia
kradzież zuchwała
Kradzież z włamaniem
i
1998
1999
367
997
1546*
9
3
8
w tym kieszonkowa
Rabunek mienia
rozbójnicze
1997
wymuszenia
w tym z bronią
Zagarnięcie mienia
w tym o znacznej wartości
223
349
969
*
19
14
15
*
132
97
121
92
20
28
39
81
7
15
26
46
5245
5668
5563
*
317
220
151
*
Źródło: Zymon G., Standardowe zabezpieczenia to za mało, Bank, 2/2001, s. 35-38.
20
Podsumowując największe zagrożenie dla
zabezpieczeń stanowią
 PRACOWNICY
– błędy pracowników (niezamierzone)
– celowo złośliwa działalność
OSOBY ZEWNĘTRZNE KIEROWANE
ZAMIARAMI PRZESTĘPCZYMI
– hakerzy
– oszuści
BRAK WYOBRAŹNI DECYDENTÓW
– niezamierzony (głup….)
– zamierzony – działania na rzecz konkurentów
21
Literatura
22
Dziękuję za uwagę!

Wykład na temat bezpieczeńśtwa systemów informatycznych

Transkrypt

Podobne dokumenty

Wykład na temat hardware`u stosowanego w bankach

instrukcja - jak wypożyczyć kurs multimedialny

JAK ODNALEŹĆ AUDIOBOOKI W KATALOGU?

FORMULARZ DLA OGŁOSZENIODAWCÓW INSTYTUCJA: Wyższa

XX Jubileuszowa Międzynarodowa Konferencja Naukowa

PISANIE PO ANGIELSKU - T. Kotliński

Wykład na temat obiektów systemów informatycznych

Jak skutecznie realizować cele i osiągnąć sukces? (4 h)

INSTRUKCJA REJESTRACJI NOWEGO CZYTELNIKA W