Bezpieczeństwo transakcji bankowych w Internecie
Transkrypt
Bezpieczeństwo transakcji bankowych w Internecie
Koło Naukowe Prawa Bankowego UW Artur Bilski * Badania pokazują, że już niemal ¼ Polaków korzysta z bankowości internetowej. * Konta internetowe oferują już niemal wszystkie banki, powstały nawet instytucje bankowe oferujące swoje usługi głównie przez Internet, skupiając się klientach-internautach. * Nawet te, które tego nie robią prowadzą elektroniczne rejestry danych, a ich działalność oparta jest w znacznej mierze o zdigitalizowane nośniki informacji bez których są bezradne. * Oznacza to, że miliardy złotych oszczędności krążą obecnie w sieci, a ta suma z każdym dniem coraz bardziej rośnie. Jednocześnie wzrasta także ryzyko utraty posiadanych środków w przypadku zorganizowanego ataku cyberprzestępców albo innej grupy, która dzięki obejściu elektronicznych systemów zabezpieczeń (obejmujących szeroką gamę środków ochronnych) będzie chciała dokonać operacji na szkodę banku (i klienta). * Obecnie wciąż dwiema najpopularniejszymi formami elektronicznej realizacji transakcji udostępnianych klientom banków są:2 - aplikacje internetowe udostępniane bezpośrednio przez banki (91% wskazań) - centra obsługi telefonicznej (82%). * Dużo mniejszym zainteresowaniem cieszą się: - aplikacje mobilne dostępne w wybranych modelach telefonów komórkowych (18%) - programy obsługiwane przez WAP (18%) 1 L. Wroński, K. Radziwon (red.): Bezpieczeństwo IT w bankach. Badanie funkcji IT w bankach, Warszawa 2011 Niektóre spośród w Internecie, to: metod stosowanych przez przestępców * Złośliwe oprogramowanie (m.in. wirusy komputerowe, trojany) * DDoSy (zalew danymi z wielu komputerów naraz) * Scram (internetowe oszustwa, np. imitacja strony bankowej) * Spam (zalew informacjami, w tym phising, spoofing, pharming) * Man in the middle (śledzenie transakcji przez osobę nieupoważnioną) * Botnet (wykorzystywanie zainfekowanych komputerów do zdobywania informacji i „zarażania” innych użytkowników sieci) 2 Na podstawie: M. Madej: Rewolucja informatyczna – istota, przejawy oraz wpływ na postrzeganie bezpieczeństwa państw i systemu międzynarodowego [w:] M. Madej, M. Terlikowski: Bezpieczeństwo teleinformatyczne państwa, Warszawa 2009, str. 17-41 Celami cybernetycznych przestępców mogą być w szczególności: * Destabilizacja elektronicznego systemu bankowego * Kradzież tożsamości klientów * Uzyskanie dostępu do poufnych danych, chronionych tajemnicą bankową * Wyłudzenie sum na wielką skalę * Poznanie strategii inwestycyjnych banku i jego klientów Informacje wartościowe dla przestępców, a przez to podlegające szczególnej ochronie: * Wszelkie dane osobowe * Hasła * Numery kart płatniczych * Elektroniczne dokumenty zawierające dane bankowe Działania zabezpieczające podejmowane przez banki: * Podstawowa identyfikacja klienta: - identyfikator + PIN, token, token + PIN * Protokół szyfrowania transmisji danych w Internecie – SSL * Dostęp w oparciu o certyfikaty * Kody wysyłane SMS’em * Jednorazowe kody autoryzujące transakcje * Podpis elektroniczny * Karty mikroprocesorowe z zapisanym certyfikatem * Limity transakcji * Automatyczne wygasanie sesji po okresie nieaktywności użytkownika * Biometryczne metody zabezpieczające Na poziomie klienta: * Internetowe procedury weryfikacyjne, w tym hasła - Weryfikacja wiedzy użytkownika (something you know - SYK) - Weryfikacja stanu posiadania (something you have - SYH) - Weryfikacja cech fizycznych (something you are - SYA) - Weryfikacja czynności (something you do - SYD) * Weryfikacja telefoniczna - rozmowa - wiadomość tekstowa (np. hasło generowane przez maszynę kodującą, a następnie przesyłane klientowi jako sms) * Karty kodów jednorazowych wymagane do polecenia przelewów * Zabezpieczenie dostępu do posiadanego komputera i łącza internetowego przed dostępem niepowołanych osób, w tym ochrona antywirusowa * Zachowanie dla wyłącznie własnej wiedzy nazw kont i haseł Na poziomie banku: * Ochrona komputerów banku przed wirusami i innym złośliwym oprogramowaniem * Zapewnienie szczelności aplikacji uwierzytelniania klientów * Zachowanie w sekrecie danych podlegających tajemnicy bankowej i nie dopuszczenie upoważnionych * Informowanie do ich wycieku poza krąg podmiotów klientów o zasadach korzystania z usług bankowości internetowej, a także edukacja w zakresie unikania oszustów i prawidłowego korzystania z rachunku bieżącego w formie elektronicznej Środki służące ochronie danych: * Zapora sieciowa (ang. firewall – zapora ogniowa, ściana ognia) – jest jednym ze sposobów zabezpieczania komputerów, sieci i serwerów przed intruzami. Zapora sprawdza cały ruch sieciowy wchodzący i wychodzący, ogranicza i zabrania dostępu w obydwie strony nieznanym programom lub użytkownikom. * Programy antywirusowe - ma za zadanie wykrywanie, zabezpieczanie, zwalczanie, usuwanie i naprawianie szkód spowodowanych wirusami komputerowymi. Jeśli uruchamiana aplikacja będzie zawierała szkodliwe oprogramowanie wtedy program wykona odpowiedni ruch który wykluczy wirusa i pozwoli na dostęp do uruchamianego programu. Ważną funkcją każdego antywirusa jest odpowiednio częsta aktualizacja definicji wirusów zawartych w programie. * Programy antyspamowe - służy do blokowania niechcianej korespondencji przesyłanej droga elektroniczną. Programy filtrują wiadomości i wykorzystują tak zwane czarne listy adresów i domen używanych przez spamerów. * IDS (ang. Intrusion Detection System) jego celem jest zidentyfikowanie niebezpiecznych działań zachodzących w sieci. Wyszukuje wszystkie niedozwolone lub podejrzane ruchy w sieci, które mogą stanowić zagrożenie dla systemu. Sposobem na podniesienie poziomu bezpieczeństwa transakcji internetowej jest zastosowanie kwalifikowanego podpisu elektronicznego. Zapewnia on następujące funkcje: * Autentyczność – nadawca jest tym, za kogo się podaje * Integralność – wiadomość nie została zmodyfikowana w drodze do odbiorcy * Niezaprzeczalność – zapewnia, że wiadomość została podpisana przez konkretną osobę * Pamiętaj, żaden bank nigdy nie wysyła do swoich klientów pytań dotyczących haseł lub innych poufnych danych ani próśb o ich aktualizację * Sprawdź na stronie Twojego Banku jakie zabezpieczenia stosowane są w serwisie internetowym * Komputer lub telefon komórkowy podłączony do Internetu musi mieć zainstalowany program antywirusowy i musi on być na bieżąco aktualizowany * Dokonuj płatności internetowych tylko z wykorzystaniem „pewnych komputerów” * Instaluj na swoim komputerze tylko legalne oprogramowanie * Nie otwieraj wiadomości i dołączonych do nich załączników nieznanego pochodzenia 3 Związek Banków Polskich: Bezpieczeństwo transakcji bankowych w Internecie * Jeśli przy logowaniu pojawią się nietypowe komunikaty lub prośby o podanie danych osobowych lub dodatkowe pola z pytaniem o hasła do autoryzacji, natychmiast zgłoś problem do swojego Banku * Przed zalogowaniem sprawdź, czy połączenie z bankiem jest bezpieczne (protokół https) * Sprawdzaj prawidłowość certyfikatu * Nigdy nie udostępniaj osobom trzecim identyfikatora ani hasła dostępu * Nie zapisuj nigdzie haseł służących do logowania i pamiętaj o ich regularnej zmianie * Dokonuj transakcji w znanych i zweryfikowanych przez siebie sklepach internetowych. W przypadku mniejszych serwisów zbadaj ich wiarygodność Warunki bezpiecznego hasła * Nie stosuj tego samego hasła do różnych systemów. * Hasło powinno różnić się od nazwy użytkownika. * Hasło nie może składać się z takich danych, jak imię, nazwisko, data urodzenia, NIP, znane wyrazy, znana fraza, itp. * Nikomu nie ujawniaj swojego hasła. * Zmieniaj hasło co kilka miesięcy. * Nie przechowuj hasła online, na komputerze czy kartce. * Nigdy nie podawaj hasła w sposób zdalny, np. przez telefon albo e-mail – nie ma sytuacji, w której byłoby to uzasadnione. * Nigdy nie wpisuj hasła, gdy korzystasz z nieznanych Ci komputerów (np. w kawiarniach internetowych, kioskach multimedialnych). Cechy silnego hasła * Bezpieczne hasło to tzw. hasło silne, które: * ma co najmniej 8 znaków, * zawiera kombinację cyfr, wielkich i małych liter oraz symboli (np. #%^&@), * jest dla Ciebie łatwe do zapamiętania, lecz trudne do odgadnięcia przez inne osoby, * nie zawiera wyrazów z logicznymi zamiennikami liter, np. „mojeh@sło”, * nie zawiera całego wyrazu słownikowego, * różni się znacznie od poprzednich haseł, * nie zawiera powtórzeń znaków (np. 111111111), sekwencji (np. abcdefgh), ani ciągów znaków występujących obok siebie na klawiaturze (np. QWERTY). Jak stworzyć silne hasło? * Wybierz zdanie, które łatwo zapamiętasz, np. Bardzo lubię czerwone smażone pomidory. Będzie to podstawa do zbudowania silnego hasła. * Utwórz nowe, pozbawione znaczenia słowo z dwóch pierwszych liter każdego wyrazu ze zdania powyżej: baluczsmpo. * Zwiększ siłę hasła dodając wielkie i małe litery oraz cyfry, np. BaLuczsmP0. * Zastąp część liter i cyfr znakami specjalnymi, np. B@Lucz$mP0. Jedną z metod pozwalających zwiększyć szanse na wykrycie przypadków przestępstw gospodarczych i finansowych jest analiza ryzyka związana z możliwością wystąpienia takich, a nie innych okoliczności, także ze strony klientów Tworzenie profilu ryzyka FEC składa się z 5 elementów:1 * Identyfikacja i akceptacja klienta (Customer Due Diligence - CDD): polega na uzyskaniu potwierdzenia tożsamości danej osoby * Screening danych klientów (Customer name screening): jest to sprawdzenie i porównanie danych z listami podmiotów objętych sankcjami lub ograniczeniami * Screening transakcji (Transaction screening): obejmuje procedurę sprawdzenia, czy dana transakcja zagraniczna nie dotyczy krajów, które są objęte limitami - wśród nich znajdują się m.in. Iran, Kuba, Korea Północna, Birma, Sudan i Syria * Przejrzystość (Transparency): zawiera się w możliwości uzyskania informacji w odniesieniu do charakteru danej płatności oraz powiązanych z nią produktów i podmiotów * Monitorowanie zachowań klientów (Customer activity monitoring - CAM): składa się z dogłębnej oceny i analizy wszelkich podejrzanych zachowań klienta 4 materiały ze szkolenia w zakresie przeciwdziałaniu przestępstwom gospodarczym i finansowym zorganizowanego przez Departament Compliance ING Banku Śląskiego Spośród metod powstrzymywania i zwalczania działań przestępczych, wymierzonych w systemy bankowe, wymienić należy: * Przeciwdziałanie praniu pieniędzy - Osobą odpowiedzialną za działania banku w zakresie counter – money loundering jest zazwyczaj Oficer ds. Przeciwdziałania praniu pieniędzy (Oficer MLRO) * Wykrywanie i zwalczanie finansowania terroryzmu * Kontrolę przepływu kapitału, zarówno wewnątrz, jak i na zewnątrz instytucji bankowej: system tak zwanych 3 linii obrony: - Pierwsza linia obrony: klient oraz biznes (w tym kontrole menedżerskie) - Druga linia obrony: zarządzanie ryzykiem - Trzecia linia obrony: audyt wewnętrzny (można także, w przypadku wystąpienia potrzeby, zastosować profesjonalny audyt zewnętrzny) * * * * * * * * * * * * * A. Goszczycki: Bezpieczeństwo płatności w Internecie – technologie: SET, 3D – Secure, Secure Code, Konferencja SGH „Bezpieczeństwo w bankowości”, Warszawa 2004 A. Suchorzewska: Ochrona prawna systemów informatycznych wobec zagrożeń cyberterroryzmem, Wolters Kluwer, Warszawa 2010 G. Mazurkiewicz: Zapobieganie przestępstwom związanym z wykorzystaniem kart płatniczych, Konferencja SGH „Bezpieczeństwo w bankowości”, Warszawa 2004 G. Szwajkowska, P. Kwaśniewski, K. Leżoń, F. Woźniczka: Usługi bankowości elektronicznej dla klientów detalicznych. Charakterystyka i zagrożenia, Urząd Komisji Nadzoru Finansowego, Warszawa 2010 J. Byrski: Tajemnica bankowa a outsourcing działalności bankowej. Rozważania na tle powierzenia przez bank czynności dotyczących technologii informatycznych, Przegląd Ustawodawstwa Gospodarczego nr 4/2006, Warszawa 2006 K. Krupiński: Bezpieczne transakcje w Internecie, Konferencja SGH „Bezpieczeństwo w bankowości”, Warszawa 2004 L. Wroński, K. Radziwon (red.): Bezpieczeństwo IT w bankach. Badanie funkcji IT w bankach, KPMG, Warszawa 2011 M. Macierzyński: Bezpieczeństwo w bankowości internetowej, bankier.pl, Warszawa 2009 Narodowy Bank Polski (pismo z dnia 9 marca 2001 r.): Bezpieczeństwo operacyjne banku, sygnatura: NB/BI/III/97/01, Warszawa 2001 Narodowy Bank Polski, Komisja Nadzoru Bankowego, Generalny Inspektorat Nadzoru Bankowego: Rekomendacja dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki, Warszawa 2002P. Laskowski: Bezpieczeństwo elektronicznych operacji bankowych, Scientific Biuletin of Chełm, Nr 1/2008, Chełm 2008 R. Kaszubski, A. Tupaj-Cholewa: Prawo bankowe, Wolters Kluwer, Warszawa 2010 U. Mścichowska: Outsourcing informatycznych systemów obsługi, Związek Banków Polskich, Warszawa 2005 Związek Banków Polskich: Bezpieczeństwo transakcji bankowych w Internecie [Internet:] http://www.zbp.pl/bezpieczny_bank# [dostęp: 20.04.2012 r.]