(Microsoft PowerPoint - Zgodno\234\346 fraudy i inne wyzwania
Transkrypt
(Microsoft PowerPoint - Zgodno\234\346 fraudy i inne wyzwania
Zgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Kilka słów o AVET INS • 1997 – rozpoczęcie działalności • Od początku zajmujemy się tylko bezpieczeństwem informacji • Niezależny audytor i konsultant • 100% polskiego kapitału • Dzięki umowie z ComSec Consulting: usługi QSA i ASV w ramach PCI DSS Co robimy? • Skierowani na biznes – Biznes, bezpieczeństwo, zaufanie • Wysoce technologiczna firma • Niezależna i obiektywna ocena i pomoc w podejmowaniu strategicznych decyzji Nasze wartości Kryzys – szansa czy pułapka Szanse Zagrożenia • Wyrównanie szans z dużymi bankami komercyjnymi • Duża szybkość podejmowania decyzji • Duża elastyczność • Bliski i dobry kontakt z klientem • Brak „niebezpiecznych” produktów • Zaufanie klientów • Rosnąca liczba fraudów – Wyłudzanie kredytów – Przestępstwa kartowe – Przestępstwa internetowe • Efektem fraudów jest rosnąca liczba wymogów • Rosnąca liczba wymogów oznacza wzrost kosztów operacyjnych dla Banku Rola AVET INS • Zarządzanie Ryzykiem Operacyjnym • Zgodność z wymogami KNF – pomoc w kontrolach i inspekcjach na miejscu • Ochrona przed fraudami: – Przestępstwa kartowe (PCI DSS) – Przestępstwa internetowe Proces audytu 1. Modelowanie zagrożeń 2. Testy penetracyjne infrastruktury 3. Testy penetracyjne aplikacji 4. Audyt aplikacji 5. Audyt kodu 6. Ocena zgodności 7. Strategia naprawy 8. Kontrola nad procesem naprawy Infrastruktura sieciowa, serwerowa, aplikacyjna, bazodanowa TESTY PENETRACYJNE Testy penetracyjne Zewnętrzne Wewnętrzne • Ocena zabezpieczeń z Internetu • Testy widoczności • Różne poziomy uprawnień (dotyczy tylko aplikacji) • Ocena odporności systemu na ataki z wnętrzna Banku – Różne poziomy uprawnień – Różne lokalizacje ataku – Różne cele ataku Usuwanie podatności u źródła ich powstawania AUDYT KODU ŹRÓDŁOWEGO Audyt kodu: proces Audyt kodu: przykład • Źródło błędu • Jego zasięg i wpływ • Ryzyko • Metoda usunięcia błędu Brak walidacji danych wejściowych OWASP Top 10 Standard PCI DSS – bezpieczeństwo danych kartowych 12 wymogów • • • • • • • • • • • • Build and Maintain a Secure Network Requirement 1: Install and maintain a firewall configuration to protect cardholder data Requirement 2: Do not use vendor-supplied defaults for system passwords and other security parameters Protect Cardholder Data Requirement 3: Protect stored cardholder data Requirement 4: Encrypt transmission of cardholder data across open, public networks Maintain a Vulnerability Management Program Requirement 5: Use and regularly update anti-virus software Requirement 6: Develop and maintain secure systems and applications Implement Strong Access Control Measures Requirement 7: Restrict access to cardholder data by business needto-know Requirement 8: Assign a unique ID to each person with computer access Requirement 9: Restrict physical access to cardholder data Regularly Monitor and Test Networks Requirement 10: Track and monitor all access to network resources and cardholder data Requirement 11: Regularly test security systems and processes Maintain an Information Security Policy Requirement 12: Maintain a policy that addresses information security Wyzwania • Audyt może prowadzić tylko organizacja uprawniona: QSA • Za 12 wymogami kryje się ponad 140 szczegółowych pytań • Termin osiągnięcia zgodności: JUŻ MINĄŁ!!! PCI DSS Audyt zerowy / Gap analysis Strategia naprawy Udział dostawcy systemu Realizacja strategii Pomoc w realizacji Udział dostawcy infrastruktury Osiągnięcie zgodności PODSUMOWANIE Podsumowanie • AVET INS pomaga Bankom inwestować we właściwe zabezpieczenia ograniczając koszty zarządzania ryzykiem operacyjnym i bezpieczeństwem • Możemy wspomóc Bank na każdym etapie zarządzania bezpieczeństwem • Doświadczenie w innych bankach oraz w sektorze finansowym Dziękujemy za uwagę! PYTANIA? Osoby kontaktowe AVET INS: • Aleksander Czarnowski – Prezes Zarządu, • Jacek Kokosza – Wiceprezes Zarządu tel. (022) 504 – 06 - 16; tel. (022) 504-06-16; kom. 0 -502-502-425 kom. 0-502-502-440, e-mail: e-mail: [email protected] [email protected]