Bezpieczeństwo transakcji bankowych w Internecie

Koło Naukowe Prawa Bankowego UW
Artur Bilski
* Badania
pokazują, że już niemal ¼ Polaków korzysta z bankowości
internetowej.
* Konta
internetowe oferują już niemal wszystkie banki, powstały
nawet instytucje bankowe oferujące swoje usługi głównie przez
Internet, skupiając się klientach-internautach.
* Nawet
te, które tego nie robią prowadzą elektroniczne rejestry
danych, a ich działalność oparta jest w znacznej mierze
o zdigitalizowane nośniki informacji bez których są bezradne.
* Oznacza
to, że miliardy złotych oszczędności krążą obecnie w sieci,
a ta suma z każdym dniem coraz bardziej rośnie. Jednocześnie
wzrasta także ryzyko utraty posiadanych środków w przypadku
zorganizowanego ataku cyberprzestępców albo innej grupy, która
dzięki
obejściu
elektronicznych
systemów
zabezpieczeń
(obejmujących szeroką gamę środków ochronnych) będzie chciała
dokonać operacji na szkodę banku (i klienta).
* Obecnie
wciąż dwiema najpopularniejszymi formami
elektronicznej realizacji transakcji udostępnianych klientom
banków są:2
- aplikacje
internetowe udostępniane bezpośrednio przez
banki (91% wskazań)
-
centra obsługi telefonicznej (82%).
* Dużo mniejszym zainteresowaniem cieszą się:
- aplikacje mobilne dostępne w wybranych
modelach
telefonów komórkowych (18%)
- programy obsługiwane przez WAP (18%)
1
L. Wroński, K. Radziwon (red.): Bezpieczeństwo IT w bankach. Badanie funkcji IT w bankach, Warszawa 2011
Niektóre spośród
w Internecie, to:
metod
stosowanych
przez
przestępców
* Złośliwe oprogramowanie (m.in. wirusy komputerowe, trojany)
* DDoSy (zalew danymi z wielu komputerów naraz)
* Scram (internetowe oszustwa, np. imitacja strony bankowej)
* Spam (zalew informacjami, w tym phising, spoofing, pharming)
* Man in the middle (śledzenie transakcji przez osobę
nieupoważnioną)
* Botnet
(wykorzystywanie zainfekowanych komputerów do
zdobywania informacji i „zarażania” innych użytkowników sieci)
2 Na
podstawie: M. Madej: Rewolucja informatyczna – istota, przejawy oraz wpływ na postrzeganie
bezpieczeństwa państw i systemu międzynarodowego [w:] M. Madej, M. Terlikowski: Bezpieczeństwo
teleinformatyczne państwa, Warszawa 2009, str. 17-41
Celami cybernetycznych przestępców mogą być w szczególności:
* Destabilizacja elektronicznego systemu bankowego
* Kradzież tożsamości klientów
* Uzyskanie dostępu do poufnych danych, chronionych tajemnicą
bankową
* Wyłudzenie sum na wielką skalę
* Poznanie strategii inwestycyjnych banku i jego klientów
Informacje wartościowe dla przestępców, a przez to podlegające
szczególnej ochronie:
* Wszelkie dane osobowe
* Hasła
* Numery kart płatniczych
* Elektroniczne dokumenty zawierające dane bankowe
Działania zabezpieczające podejmowane przez banki:
* Podstawowa
identyfikacja klienta: - identyfikator + PIN, token,
token + PIN
* Protokół szyfrowania transmisji danych w Internecie – SSL
* Dostęp w oparciu o certyfikaty
* Kody wysyłane SMS’em
* Jednorazowe kody autoryzujące transakcje
* Podpis elektroniczny
* Karty mikroprocesorowe z zapisanym certyfikatem
* Limity transakcji
* Automatyczne wygasanie sesji po okresie nieaktywności
użytkownika
* Biometryczne metody zabezpieczające
Na poziomie klienta:
* Internetowe procedury weryfikacyjne, w tym hasła
- Weryfikacja wiedzy użytkownika (something you know - SYK)
- Weryfikacja stanu posiadania (something you have - SYH)
- Weryfikacja cech fizycznych (something you are - SYA)
- Weryfikacja czynności (something you do - SYD)
* Weryfikacja telefoniczna
- rozmowa
- wiadomość tekstowa (np. hasło generowane przez maszynę kodującą,
a następnie przesyłane klientowi jako sms)
* Karty kodów jednorazowych wymagane do polecenia przelewów
* Zabezpieczenie dostępu do posiadanego komputera i łącza internetowego
przed dostępem niepowołanych osób, w tym ochrona antywirusowa
* Zachowanie dla wyłącznie własnej wiedzy nazw kont i haseł
Na poziomie banku:
* Ochrona
komputerów banku przed wirusami i innym złośliwym
oprogramowaniem
* Zapewnienie szczelności aplikacji uwierzytelniania klientów
* Zachowanie w sekrecie danych podlegających tajemnicy bankowej
i nie dopuszczenie
upoważnionych
* Informowanie
do
ich
wycieku
poza
krąg
podmiotów
klientów o zasadach korzystania z usług bankowości
internetowej, a także edukacja w zakresie unikania oszustów
i prawidłowego korzystania z rachunku bieżącego w formie
elektronicznej
Środki służące ochronie danych:
* Zapora
sieciowa (ang. firewall – zapora ogniowa, ściana ognia) – jest jednym ze
sposobów zabezpieczania komputerów, sieci i serwerów przed intruzami. Zapora
sprawdza cały ruch sieciowy wchodzący i wychodzący, ogranicza i zabrania
dostępu w obydwie strony nieznanym programom lub użytkownikom.
* Programy
antywirusowe - ma za zadanie wykrywanie, zabezpieczanie,
zwalczanie, usuwanie i naprawianie szkód spowodowanych wirusami
komputerowymi. Jeśli uruchamiana aplikacja będzie zawierała szkodliwe
oprogramowanie wtedy program wykona odpowiedni ruch który wykluczy wirusa
i pozwoli na dostęp do uruchamianego programu. Ważną funkcją każdego
antywirusa jest odpowiednio częsta aktualizacja definicji wirusów zawartych
w programie.
* Programy
antyspamowe - służy do blokowania niechcianej korespondencji
przesyłanej droga elektroniczną. Programy filtrują wiadomości i wykorzystują tak
zwane czarne listy adresów i domen używanych przez spamerów.
* IDS
(ang. Intrusion Detection System) jego celem jest zidentyfikowanie
niebezpiecznych działań zachodzących w sieci. Wyszukuje wszystkie
niedozwolone lub podejrzane ruchy w sieci, które mogą stanowić zagrożenie dla
systemu.
Sposobem na podniesienie poziomu bezpieczeństwa transakcji
internetowej
jest
zastosowanie
kwalifikowanego
podpisu
elektronicznego. Zapewnia on następujące funkcje:
* Autentyczność – nadawca jest tym, za kogo się podaje
* Integralność – wiadomość nie została zmodyfikowana
w drodze do
odbiorcy
* Niezaprzeczalność
– zapewnia, że wiadomość została podpisana
przez konkretną osobę
* Pamiętaj,
żaden bank nigdy nie wysyła do swoich klientów pytań
dotyczących haseł lub innych poufnych danych ani próśb o ich
aktualizację
* Sprawdź
na stronie Twojego Banku jakie zabezpieczenia stosowane są
w serwisie internetowym
* Komputer
lub telefon komórkowy podłączony do Internetu musi mieć
zainstalowany program antywirusowy i musi on być na bieżąco
aktualizowany
* Dokonuj
płatności internetowych tylko z wykorzystaniem „pewnych
komputerów”
* Instaluj na swoim komputerze tylko legalne oprogramowanie
* Nie otwieraj wiadomości i dołączonych do nich załączników nieznanego
pochodzenia
3
Związek Banków Polskich: Bezpieczeństwo transakcji bankowych w Internecie
* Jeśli
przy logowaniu pojawią się nietypowe komunikaty lub prośby
o podanie danych osobowych lub dodatkowe pola z pytaniem o hasła do
autoryzacji, natychmiast zgłoś problem do swojego Banku
* Przed zalogowaniem sprawdź, czy połączenie z bankiem jest bezpieczne
(protokół https)
* Sprawdzaj prawidłowość certyfikatu
* Nigdy nie udostępniaj osobom trzecim identyfikatora ani hasła dostępu
* Nie zapisuj nigdzie haseł służących do logowania i pamiętaj o ich
regularnej zmianie
* Dokonuj
transakcji w znanych i zweryfikowanych przez siebie
sklepach internetowych. W przypadku mniejszych serwisów zbadaj
ich wiarygodność
Warunki bezpiecznego hasła
* Nie stosuj tego samego hasła do różnych systemów.
* Hasło powinno różnić się od nazwy użytkownika.
* Hasło nie może składać się z takich danych, jak imię, nazwisko, data
urodzenia, NIP, znane wyrazy, znana fraza, itp.
* Nikomu nie ujawniaj swojego hasła.
* Zmieniaj hasło co kilka miesięcy.
* Nie przechowuj hasła online, na komputerze czy kartce.
* Nigdy nie podawaj hasła w sposób zdalny, np. przez telefon
albo
e-mail – nie ma sytuacji, w której byłoby to uzasadnione.
* Nigdy nie wpisuj hasła, gdy korzystasz z nieznanych Ci komputerów
(np. w kawiarniach internetowych, kioskach multimedialnych).
Cechy silnego hasła
* Bezpieczne hasło to tzw. hasło silne, które:
* ma co najmniej 8 znaków,
* zawiera kombinację cyfr, wielkich i małych liter oraz symboli (np. #%^&@),
* jest dla Ciebie łatwe do zapamiętania, lecz trudne do odgadnięcia przez inne osoby,
* nie zawiera wyrazów z logicznymi zamiennikami liter, np. „mojeh@sło”,
* nie zawiera całego wyrazu słownikowego,
* różni się znacznie od poprzednich haseł,
* nie zawiera powtórzeń znaków (np. 111111111), sekwencji (np. abcdefgh), ani ciągów
znaków występujących obok siebie na klawiaturze (np. QWERTY).
Jak stworzyć silne hasło?
* Wybierz zdanie, które łatwo zapamiętasz, np. Bardzo lubię czerwone smażone pomidory.
Będzie to podstawa do zbudowania silnego hasła.
* Utwórz nowe, pozbawione znaczenia słowo z dwóch pierwszych liter każdego wyrazu ze
zdania powyżej: baluczsmpo.
* Zwiększ siłę hasła dodając wielkie i małe litery oraz cyfry, np. BaLuczsmP0.
* Zastąp część liter i cyfr znakami specjalnymi, np. B@Lucz$mP0.
Jedną z metod pozwalających zwiększyć szanse na wykrycie przypadków przestępstw
gospodarczych i finansowych jest analiza ryzyka związana z możliwością wystąpienia
takich, a nie innych okoliczności, także ze strony klientów
Tworzenie profilu ryzyka FEC składa się z 5 elementów:1
* Identyfikacja
i akceptacja klienta (Customer Due Diligence - CDD): polega na uzyskaniu
potwierdzenia tożsamości danej osoby
* Screening danych klientów (Customer name screening): jest to sprawdzenie
i porównanie danych z listami podmiotów objętych sankcjami lub ograniczeniami
* Screening transakcji (Transaction screening): obejmuje procedurę sprawdzenia, czy dana
transakcja zagraniczna nie dotyczy krajów, które są objęte limitami - wśród nich
znajdują się m.in. Iran, Kuba, Korea Północna, Birma, Sudan i Syria
* Przejrzystość (Transparency): zawiera się w możliwości uzyskania informacji
w odniesieniu do charakteru danej płatności oraz powiązanych z nią produktów
i podmiotów
* Monitorowanie zachowań klientów (Customer activity monitoring - CAM): składa się
z dogłębnej oceny i analizy wszelkich podejrzanych zachowań klienta
4
materiały ze szkolenia w zakresie przeciwdziałaniu przestępstwom gospodarczym i finansowym
zorganizowanego przez Departament Compliance ING Banku Śląskiego
Spośród metod powstrzymywania i zwalczania działań przestępczych,
wymierzonych w systemy bankowe, wymienić należy:
* Przeciwdziałanie praniu pieniędzy
- Osobą odpowiedzialną za działania banku w zakresie counter – money
loundering jest zazwyczaj Oficer ds. Przeciwdziałania praniu pieniędzy
(Oficer MLRO)
* Wykrywanie i zwalczanie finansowania terroryzmu
* Kontrolę przepływu kapitału, zarówno wewnątrz,
jak i na zewnątrz
instytucji bankowej: system tak zwanych 3 linii obrony:
- Pierwsza linia obrony: klient oraz biznes (w tym kontrole menedżerskie)
- Druga linia obrony: zarządzanie ryzykiem
- Trzecia linia obrony: audyt wewnętrzny (można także, w przypadku
wystąpienia potrzeby, zastosować profesjonalny audyt zewnętrzny)
*
*
*
*
*
*
*
*
*
*
*
*
*
A. Goszczycki: Bezpieczeństwo płatności w Internecie – technologie: SET, 3D – Secure, Secure Code,
Konferencja SGH „Bezpieczeństwo w bankowości”, Warszawa 2004
A. Suchorzewska: Ochrona prawna systemów informatycznych wobec zagrożeń cyberterroryzmem, Wolters
Kluwer, Warszawa 2010
G. Mazurkiewicz: Zapobieganie przestępstwom związanym z wykorzystaniem kart płatniczych, Konferencja
SGH „Bezpieczeństwo w bankowości”, Warszawa 2004
G. Szwajkowska, P. Kwaśniewski, K. Leżoń, F. Woźniczka: Usługi bankowości elektronicznej dla klientów
detalicznych. Charakterystyka i zagrożenia, Urząd Komisji Nadzoru Finansowego, Warszawa 2010
J. Byrski: Tajemnica bankowa a outsourcing działalności bankowej. Rozważania na tle powierzenia przez
bank czynności dotyczących technologii informatycznych, Przegląd Ustawodawstwa Gospodarczego nr
4/2006, Warszawa 2006
K. Krupiński: Bezpieczne transakcje w Internecie, Konferencja SGH „Bezpieczeństwo w bankowości”,
Warszawa 2004
L. Wroński, K. Radziwon (red.): Bezpieczeństwo IT w bankach. Badanie funkcji IT w bankach, KPMG,
Warszawa 2011
M. Macierzyński: Bezpieczeństwo w bankowości internetowej, bankier.pl, Warszawa 2009
Narodowy Bank Polski (pismo z dnia 9 marca 2001 r.): Bezpieczeństwo operacyjne banku, sygnatura:
NB/BI/III/97/01, Warszawa 2001
Narodowy Bank Polski, Komisja Nadzoru Bankowego, Generalny Inspektorat Nadzoru Bankowego:
Rekomendacja
dotycząca
zarządzania
ryzykami
towarzyszącymi
systemom
informatycznym
i telekomunikacyjnym używanym przez banki, Warszawa 2002P. Laskowski: Bezpieczeństwo elektronicznych
operacji bankowych, Scientific Biuletin of Chełm, Nr 1/2008, Chełm 2008
R. Kaszubski, A. Tupaj-Cholewa: Prawo bankowe, Wolters Kluwer, Warszawa 2010
U. Mścichowska: Outsourcing informatycznych systemów obsługi, Związek Banków Polskich, Warszawa 2005
Związek Banków Polskich: Bezpieczeństwo transakcji bankowych w Internecie [Internet:]
http://www.zbp.pl/bezpieczny_bank# [dostęp: 20.04.2012 r.]