(Microsoft PowerPoint - Zgodno\234\346 fraudy i inne wyzwania

Zgodność, fraudy i inne
wyzwania oraz zagrożenia w
Bankach Spółdzielczych
Aleksander Czarnowski
AVET Information and Network Security Sp. z o.o.
Kilka słów o AVET INS
• 1997 – rozpoczęcie działalności
• Od początku zajmujemy się tylko
bezpieczeństwem informacji
• Niezależny audytor i konsultant
• 100% polskiego kapitału
• Dzięki umowie z ComSec Consulting: usługi
QSA i ASV w ramach PCI DSS
Co robimy?
• Skierowani na biznes
– Biznes, bezpieczeństwo, zaufanie
• Wysoce technologiczna firma
• Niezależna i obiektywna ocena i pomoc w
podejmowaniu strategicznych decyzji
Nasze wartości
Kryzys – szansa czy pułapka
Szanse
Zagrożenia
• Wyrównanie szans z dużymi
bankami komercyjnymi
• Duża szybkość
podejmowania decyzji
• Duża elastyczność
• Bliski i dobry kontakt z
klientem
• Brak „niebezpiecznych”
produktów
• Zaufanie klientów
• Rosnąca liczba fraudów
– Wyłudzanie kredytów
– Przestępstwa kartowe
– Przestępstwa internetowe
• Efektem fraudów jest
rosnąca liczba wymogów
• Rosnąca liczba wymogów
oznacza wzrost kosztów
operacyjnych dla Banku
Rola AVET INS
• Zarządzanie Ryzykiem Operacyjnym
• Zgodność z wymogami KNF
– pomoc w kontrolach i inspekcjach na miejscu
• Ochrona przed fraudami:
– Przestępstwa kartowe (PCI DSS)
– Przestępstwa internetowe
Proces audytu
1. Modelowanie zagrożeń
2. Testy penetracyjne
infrastruktury
3. Testy penetracyjne
aplikacji
4. Audyt aplikacji
5. Audyt kodu
6. Ocena zgodności
7. Strategia naprawy
8. Kontrola nad procesem
naprawy
Infrastruktura sieciowa, serwerowa, aplikacyjna, bazodanowa
TESTY PENETRACYJNE
Testy penetracyjne
Zewnętrzne
Wewnętrzne
• Ocena zabezpieczeń z
Internetu
• Testy widoczności
• Różne poziomy uprawnień
(dotyczy tylko aplikacji)
• Ocena odporności systemu
na ataki z wnętrzna Banku
– Różne poziomy uprawnień
– Różne lokalizacje ataku
– Różne cele ataku
Usuwanie podatności u źródła ich powstawania
AUDYT KODU ŹRÓDŁOWEGO
Audyt kodu: proces
Audyt kodu: przykład
• Źródło błędu
• Jego zasięg i wpływ
• Ryzyko
• Metoda usunięcia błędu
Brak walidacji danych wejściowych
OWASP Top 10
Standard PCI DSS – bezpieczeństwo
danych kartowych
12 wymogów
•
•
•
•
•
•
•
•
•
•
•
•
Build and Maintain a Secure Network
Requirement 1: Install and maintain a firewall configuration to
protect cardholder data
Requirement 2: Do not use vendor-supplied defaults for system
passwords and other security parameters
Protect Cardholder Data
Requirement 3: Protect stored cardholder data
Requirement 4: Encrypt transmission of cardholder data across
open, public networks
Maintain a Vulnerability Management Program
Requirement 5: Use and regularly update anti-virus software
Requirement 6: Develop and maintain secure systems and
applications
Implement Strong Access Control Measures
Requirement 7: Restrict access to cardholder data by business needto-know
Requirement 8: Assign a unique ID to each person with computer
access
Requirement 9: Restrict physical access to cardholder data
Regularly Monitor and Test Networks
Requirement 10: Track and monitor all access to network resources
and cardholder data
Requirement 11: Regularly test security systems and processes
Maintain an Information Security Policy
Requirement 12: Maintain a policy that addresses information
security
Wyzwania
• Audyt może prowadzić tylko
organizacja uprawniona:
QSA
• Za 12 wymogami kryje się
ponad 140 szczegółowych
pytań
• Termin osiągnięcia
zgodności: JUŻ MINĄŁ!!!
PCI DSS
Audyt zerowy /
Gap analysis
Strategia
naprawy
Udział dostawcy
systemu
Realizacja
strategii
Pomoc w
realizacji
Udział dostawcy
infrastruktury
Osiągnięcie
zgodności
PODSUMOWANIE
Podsumowanie
• AVET INS pomaga Bankom inwestować we właściwe
zabezpieczenia ograniczając koszty zarządzania
ryzykiem operacyjnym i bezpieczeństwem
• Możemy wspomóc Bank na każdym etapie
zarządzania bezpieczeństwem
• Doświadczenie w innych bankach oraz w sektorze
finansowym
Dziękujemy za uwagę!
PYTANIA?
Osoby kontaktowe
AVET INS:
• Aleksander Czarnowski – Prezes Zarządu, • Jacek Kokosza – Wiceprezes
Zarządu
tel. (022) 504 – 06 - 16;
tel. (022) 504-06-16;
kom. 0 -502-502-425
kom. 0-502-502-440,
e-mail:
e-mail:
[email protected]
[email protected]