Wykład na temat bezpieczeńśtwa systemów informatycznych
Transkrypt
Wykład na temat bezpieczeńśtwa systemów informatycznych
1 Bezpieczeństwo systemu informatycznego banku Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 2 Przyczyny unikania bankowych usług elektronicznych 60% 52% 50% 40% 30% 20% 20% 20% 9% 10% 1% 0% brak dostępu do Internetu brak zaufania do bezpieczeństwa usługi Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński brak takiej potrzeby brak wiedzy, jak korzystać z usługi 3 Ataki przez Internet na firmy i branże (w I połowie 2004 r., w świecie w procentach) 16 firmyy zajmujące się e-handlem 10 msp organizacje pozarządowe 6 firmy high-tech 4 usługi biznesowe 4 usługi finansowe 4 56 pozostałe 0 10 20 30 40 50 Źródło: opracowanie za Rzeczpospolitą na podstawie danych firmy Symantec Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 60 4 Dwie funkcje zabezpieczeń stosowanych przy świadczeniu usług bankowości elektronicznej Budowa zaufania do instytucji Ochrona rachunków klientów i ich transakcji gwarancja pewności ochrona poufności (dane o rachunkach) gwarancja bezbłędności ochrona prywatności (dane osobowe) gwarancja bezpieczeństwa ochrona środków pieniężnych Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 5 Rodzaje zabezpieczeń versus 2003/2004 Transmisja szyfrowana w Internecie Proste uwierzytelnianie danych SSL Inne metody identyfikator użytkownika i hasło token spójne procedury operacyjne PIN (4 cyfry) kody jednorazowe firewall certyfikat użytkownika rejestracja aktywności w telefonie WAP DES RSA Silne uwierzytelnianie danych WTLS algorytm A5 Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński podpis cyfrowy blokada konta aut.wył. użytk. z syst. 6 Wybrane aspekty bezpieczeństwa banku Bank jest instytucją zaufania publicznego i jego bezpieczeństwo jest ważne nie tylko dla pojedynczego banku, ale również dla całego systemu bankowego Wg podmiotu, któremu chcemy zapewnić bezpieczeństwo; można wyróżnić: – bezpieczeństwo klientów – bezpieczeństwo pracowników banku – bezpieczeństwo informacji banku – bezpieczeństwo banku jako instytucji Wg rodzaju bezpieczeństwa: – bezpieczeństwo fizyczne (istniejące obiektywnie – bezpieczeństwo psychiczne (odczuwane ) Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 7 Model polityki zabezpieczeń PRAWO POLITYKA ZABEZPIE CZEŃ STANDARDY Zabezpieczenie fizyczne - strefy bezpieczeństwa - strażnicy - urządzenia kontroli dostępu ochrona pomieszczeń Zabezpieczenie administracyjne organizacja, kadry, procedury, szkolenia ochrona elektromagnetyczna Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński ochrona transmisji ZAGROŻENIA KRYPTOGRAFIA Zabezpieczenie techniczno-programowe - urządzenia - oprogramowanie implementac je kryptografii implementacje metod logicznych 8 Zmiany w systemach informatycznych to: zmiany sprzętowe, aktualizacje oprogramowania, nowe procedury, nowe funkcje, nowi użytkownicy, dodatkowe połączenia sieciowe i międzysieciowe. A. Białas, Zarządzanie…, s. 58. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 9 Podział zagrożeń wewnętrzne – – – – – brak polityki bezpieczeństwa nadmierne przywileje brak dokumentowania operacji brak planów ciągłości nieprawidłowości zewnętrzne – techniczne – strukturalne – systemowe Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 10 Zagrożenia techniczne podszywanie się pod innego użytkownika działanie bez upoważnienia właściwego użytkownika ujawnienie danych (poufnych) zmiana lub usunięcie danych przechwytywanie danych wykonywanie nielegalnych transakcji Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 11 Najczęstsze przyczyny niewłaściwego zabezpieczenia systemów informatycznych banku niewystarczająca świadomość zagrożeń brak wiedzy specjalistycznej, a w szczególności z zakresu zarządzania zabezpieczeniem systemów o poufnym charakterze wysokie koszty budowy zabezpieczeń, często trudnych do uzasadnienia niechęć pracowników do przestrzegania dodatkowych, złożonych, utrudniających codzienną pracę procedur niewystarczająca współpraca zainteresowanych komórek banku błędy (niezamierzone) pracowników banku Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 12 Polityka zabezpieczenia systemów teleinformatycznych obejmuje: (cz.1) organizację infrastruktury systemu zabezpieczenia Ewidencję aktywów informacyjnych, ich wartość i poziomy wrażliwości rozpoznawanie zagrożeń, (ryzyko ogólne) system informowania o incydentach monitorowanie systemu zabezpieczeń identyfikację klientów i ich uwierzytelnianie zabezpieczenie oprogramowania kasowanie nieodtwarzalne przeciwdziałanie oprogramowaniu “złośliwemu” (wirusom, trojanom i robakom itp.) zabezpieczenie komputerów osobistych zabezpieczenie komputerów przenośnych zabezpieczenie systemów teleinformatycznych Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 13 Polityka zabezpieczenia systemów teleinformatycznych obejmuje: (cz. 2) infrastrukturę sieci Internet kryptografię nieautoryzowane zajęcie (obiektu) kontrolę dostępu do komputerów i nośników danych ochronę personelu ochronę przeciwpożarową wykrywanie i informowanie o niebezpieczeństwach (systemy alarmowe) zabezpieczenie nośników informacji i dokumentacji planowanie działań w sytuacjach awaryjnych » zabezpieczenia podczas pracy poza siedzibą macierzystą [1] J. Beczkowski: Elementy praktyczne budowy wspólnej polityki zabezpieczania systemów i ochrony danych, III Forum Teleinformatyki, Legionowo, 22-23 października 1997 Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 14 Planowanie bezpieczeństwa operacji identyfikacja informacji, które mogłyby być atrakcyjne dla przestępcy, określenie metod, których mógłby użyć przestępca do zdobycia informacji (czy musi przykładowo włamać się do budynku, czy też może uzyskać dane poprzez Sieć), rozwijanie procedur operacji identyfikujących metody przestępców komputerowych, które uniemożliwiłyby dostęp włamywaczom do informacji oraz wykryłyby wszystkie naruszenia bezpieczeństwa, zaangażowanie pracowników w proces wdrażania programu bezpieczeństwa operacji (pracownicy powinni znać program bezpieczeństwa operacji oraz ogólny program polityki bezpieczeństwa) A. Machnacz, Bezpieczeństwo operacji…, s. 38-39.m Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 15 Integralność systemu (System integrity) Atrybuty bezpieczeństwa Właściwość polegająca na tym, że system realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od nieautoryzowanej manipulacji, celowej lub przypadkowej Rozliczalność (Accountability) Właściwość zapewniająca, że działania podmiotu (użytkownika) mogą być jednoznacznie przypisane tylko temu podmiotowi Niezawodność (Reliability) Właściwość oznaczająca spójne, zamierzone zachowanie i skutki Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 16 Atrybuty bezpieczeństwa Poufność (Confidentiality) Właściwość zapewniająca, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom Autentyczność (Authenticity) Właściwość zapewniająca, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana; dotyczy użytkowników, procesów, systemów czy nawet instytucji; autentyczność związana jest z badaniem, czy ktoś jest tym, za kogo się podaje Dostępność (Availability) Właściwość bycia dostępnym i możliwym do wykorzystania na żądanie, w założonym czasie przez kogoś, kto ma do tego prawo Integralność danych (Data integrity) Właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 17 Najczęściej stosowane hasła przez użytkowników komputerów Nazwisko lub imię użytkownika 9% Nazwy miejscowości 9% Nazwy zespołów muzycznych 10% Imię zwierzęcia 8% Nazwa drużyny piłkarskiej 10% Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński Imię dziecka 23% Data urodzin 12% Imię współmałżonka 19% 18 Kryptografia … to panaceum Kryptografia jest nauką (spokrewnioną z matematyką) zajmującą się metodami szyfrowania wiadomości, danych To wiedza o metodach przesyłania wiadomości w zamaskowanej postaci, tak aby tylko odbiorca był w stanie odczytać wysłaną przez nadawcę wiadomość, będąc jednocześnie pewnym, że nie została ona przez nikogo zmodyfikowana Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 19 Zgłoszone przestępstwa w obiektach banków Kategoria przestępstw 1996 Kradzież mienia łącznie 252 kradzież mienia kradzież zuchwała Kradzież z włamaniem i 1998 1999 367 997 1546* 9 3 8 w tym kieszonkowa Rabunek mienia rozbójnicze 1997 wymuszenia w tym z bronią Zagarnięcie mienia w tym o znacznej wartości 223 349 969 * 19 14 15 * 132 97 121 92 20 28 39 81 7 15 26 46 5245 5668 5563 * 317 220 151 * Źródło: Zymon G., Standardowe zabezpieczenia to za mało, Bank, 2/2001, s. 35-38. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 20 Podsumowując największe zagrożenie dla zabezpieczeń stanowią PRACOWNICY – błędy pracowników (niezamierzone) – celowo złośliwa działalność OSOBY ZEWNĘTRZNE KIEROWANE ZAMIARAMI PRZESTĘPCZYMI – hakerzy – oszuści BRAK WYOBRAŹNI DECYDENTÓW – niezamierzony (głup….) – zamierzony – działania na rzecz konkurentów Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 21 Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński Literatura 22 Dziękuję za uwagę! Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński