ZAGROŻENIA BANKOWYCH SYSTEMÓW INFORMATYCZNYCH Zagrożenia (threat) – potencjalna groźba naruszeń bezpieczeństwa BSI. Bierne (podsłuch, analiza ruchu w sieci) oraz czynne (modyfikacja lub niszczenie zasobów, celowa dezinformacja). Wewnętrzne (spowodowane przez legalnych użytkowników systemu) oraz zewnętrzne (hakerzy). Przypadkowe (błędy i przeoczenia użytkowników, awarie sprzętowe, błędy w oprogramowaniu) oraz celowe (świadome działanie użytkowników). Sprzętowe (hardware) i programowe (software). Np. wprowadzenie błędnej kwoty transakcji przez kasjera to zagrożenie czynne, wewnętrzne, przypadkowe i programowe.

KLASYFIKACJA ATAKÓW NA BEZPIECZEŃSTWO BSI Atak – celowa (a nie przypadkowa) próba naruszenia bezpieczeństwa BSI PRZECHWYCENIE PRZERWANIE Z M Z M Miejsce przeznaczenia informacji Źródło informacji Miejsce przeznaczenia informacji Źródło informacji Z M Z M MODYFIKACJA PODROBIENIE

OSZUSTWA BANKOWE Operowanie czekami bez pokrycia. Fałszowanie zastawów i gwarancji na zaciągane kredyty. Operacje dotyczące depozytów i zawartości skarbców bankowych. ”Czyszczenie" pieniędzy pochodzących z transakcji nielegalnych (handel bronią i narkotykami), "lewe konta”. Operacje gotówkowe (przetrzymywanie gotówki na kontach). Podrabianie, fałszowanie kart kredytowych, manipulacje w bankomatach. Włamania komputerowe przez sieć.

WYBRANE INFORMACJE O PRZESTĘPSTWACH BANKOWYCH PL - w 1997 r. transakcje oszukańcze to 0,21% wartości sprzedaży, w 2000 r. to 0,15%. W Europie to 0,07%. PL -w 2000 r. na 55 mln transakcji o wartości 9,7 mld zł wyłudzono 12,4 mln zł. PL - w 2000 r. było 10 tys. oszustw z kartami, przy rocznej dynamice przekraczającej 50%. Średnie straty banków USA wynikające z klasycznego napadu z bronią w ręku to 8 tys $, jedno oszustwo komputerowe to strata rzędu 500 tys. $. Łączne straty w wyniku oszustw komputerowych w USA to 10 mld $ rocznie. Np. rosyjscy hakerzy w 1995 roku dokonali w Citibanku nielegalnych operacji na kwotę 12 mln $.

PRZYKŁADY PRZESTĘPSTW Fałszywe bankomaty, wypłacające prawdziwe pieniądze po to aby rejestrować kody PIN oraz informacje zapisane na kartach, w celu późniejszego "wyczyszczenia" kont klientów. Mikrokamery rejestrujące PIN podawane w bankomatach. Kasjerki POS z uprawnieniami do ręcznej autoryzacji dokonujące zakupów na numer karty obcej osoby. Podwójne obciążanie konta klienta za ten sam zakup. Skopiowanie zawartości paska magnetycznego karty na zapleczu (skimming) i dokonywanie zakupów w „dziuplach”. Zakupy w Internecie na podstawie numeru karty i czasu jej ważności (informacje dostępne na każdym kwicie z POS) Klient zakłada konto z XX zł na fałszywy dowód, pobiera kartę, za parę dni w bankomatach wypłaca całą kwotę i natychmiast zjawia się w banku po cały depozyt.

PRZYKŁADY Z POLSKI ZUS o/Warszawa - dopisywano do systemu martwe dusze, którym przyznawano emerytury. Pieniądze odbierano przez znajomych. ZUS o/Gdańsk - „uśmiercano” emerytów (nie był potrzebny akt zgonu) pobierano zapomogę pośmiertną a potem w systemie ich reanimowano. Bank X o/Bydgoszcz - informatyk przelewał w piątek wieczorem na swoje konto piątkowe wpłaty a następnie w poniedziałek rano przelewał je z powrotem na konta klientów. Odsetki wyniosły ponad 3 mln zł. Sprawca uciekł za granicę.

PRZYKŁADY ZE ŚWIATA Andriej Rublov i jego druzja - hackerzy z Czeczeni. W 1994 r. ukradli z banków w Rosji ponad 300 mln $ doprowadzając do kryzysu w rosyjskim systemie bankowym w 1995 r. Rekord zagarniętych sum. Deri S. - 16-letni uczeń z Izraela włamuje się do Pentagonu, VISA, sieci telekomunikacyjnej Izraela. Uzyskuje tysiące kodów kart kredytowych Visa. Władymir Lewin - 24-letni haker z Petersburga w 1996 r. próbuje przetransferować z nowojorskiego Citibanku 12 mln $ ale kradnie tylko 400 tys. $. W 1998 r. po ekstradycji do USA skazany na 3 lata więzienia.

STATYSTYKA ZAGROŻEŃ BSI Źródła zagrożeń % Sprawcy przestępstw Pomyłki 54 Urzędnicy 50 Awarie sprzętu 20 Kadra kierownicza 22 Nieuczciwy personel 10 Pracownicy przetwarzania danych 11 Niezadowolony personel 9 Kasjerzy 7 Wirusy 4 Inni Ataki z zewnątrz 3

ŹRÓDŁA ZAGROŻEŃ Błędy i przeoczenia personelu Działania nieuczciwych i niezadowolonych pracowników Zagrożenia fizyczne Wirusy i krakerzy

BŁĘDY I PRZEOCZENIA PERSONELU Przypadkowe ujawnienie informacji przez operatora Niezamierzone ujawnienie hasła dostępu Wykorzystywania słabych haseł Przypadkowe wprowadzenie niewłaściwych danych Przypadkowa zmiana atrybutów pliku i praw dostępu Przypadkowe usunięcie istotnych danych z dysku Przypadkowa zmiana parametrów aplikacji Przypadkowa dezorganizacji relacji w bazie danych Niezamierzone zaniedbanie w tworzeniu backup’u Niezamierzone pozostawienie włączonego komputera Zagubienie karty identyfikacyjnej Nieumyślne wprowadzenie wirusa komputerowego

DZIAŁANIA NIEUCZCIWYCH I NIEZADOWOLONYCH PRACOWNIKÓW Transferowanie wartości pieniężnych na prywatne konta. Umyślna modyfikacja niszczenie zasobów systemu. Świadome ujawnianie osobom postronnym tajemnic związanych z pracą w systemie. Celowe wprowadzanie wirusów komputerowych. Kopiowanie poufnych informacji na zewnętrzne nośniki. Świadome unieruchamianie bądź powodowanie awarii sprzętu. Uruchamianie programów z zewnątrz (gry, komunikacja) Powodowanie fałszywych alarmów w celu uśpienia czujności administratora systemu. Tworzenie i wykorzystywanie ukrytych kanałów (covert channel) do przysłania poufnych informacji osobom nieupoważnionym.

ZAGROŻENIA FIZYCZNE Losowa zawodność sprzętu. Zanik zasilania w sieci energetycznej. Awaria sprzętu. Utrata danych w wyniku zniszczenia dysku bądź innych zewnętrznych nośników danych. Włamania do budynku, zalania, pożary. Klęski żywiołowe, powodzie, huragany, trzęsienia ziemi.

ŚRODKI OCHRONY BSI Poziomy zabezpieczeń Środki fizyczne Środki techniczne Środki programowe Środki kontroli dostępu Środki kryptograficzne Środki organizacyjne Środki prawne

POZIOMY ZABEZPIECZEŃ Komputer osobisty (terminal, klient) i jego system operacyjny – hasła dostępu na poziomie BIOS. Sieciowy system operacyjny – hasła dostępu, prawa dostępu, grupy użytkowników, ślady audytowe, programy śledzące, firewall, kryptografia. System zarządzania bazą danych – regulowanie zakresu dostępu do danych na poziomie pól bazy danych. Oprogramowanie aplikacyjne – mechanizmy identyfikacji i uwierzytelniania, ograniczenie praw dostępu do zasobów i funkcji. Poziom fizyczny – podtrzymywanie napięcia w sieci, zabezpieczenia antywłamaniowe i przeciwpożarowe. Poziom organizacyjny

ŚRODKI FIZYCZNE Urządzenia przeciwwłamaniowe. Sejfy. Alarmy. Urządzenia ochrony przeciwpożarowej. Odpowiednie przystosowanie pomieszczeń do pracy z komputerami. Rozwiązania architektoniczne (lokalizacja ośrodka obliczeniowego wewnątrz budynku). Urządzenia klimatyzacyjne.

ŚRODKI TECHNICZNE Urządzenia podtrzymujące zasilanie. Karty magnetyczne i mikroprocesorowe. Urządzenia biometryczne do identyfikacji osób na podstawie linii papilarnych, głosu, siatkówki oka. Urządzenia do tworzenia kopii zapasowych wraz z procedurami i metodami ich wykorzystania. Zapory ogniowe (firewall) i serwery Proxy. Sprzętowe blokady dostępu do klawiatur, napędów dysku. Urządzenia do ochrony przed emisją ujawniającą. Optymalizacja konfiguracji sprzętowej komputerów. Dublowanie okablowania. Dublowanie centrów obliczeniowych i baz danych.

ŚRODKI PROGRAMOWE Dzienniki systemowe (logi) – pozwalają na identyfikację działalności użytkowników. Programy śledzące – pozwalają na monitoring pracy użytkowników w czasie rzeczywistym. Mechanizmy rozliczania – identyfikują wykonawców operacji w systemie. Programy antywirusowe. Programy wykrywające słabe hasła. Mechanizmy zabezpieczenia statystycznych baz danych. Kody korekcyjne - do identyfikacji i poprawy błędów transmisji danych.

KONTROLA DOSTĘPU DO SYSTEMU Uwierzytelnienie użytkownika przez system, na podstawie tego co użytkownik - ZNA (hasła, PIN), - MA (karta magnetyczna, token), - KIM JEST (metody biometryczne) Rozwiązania mieszane, np. karta z hasłem i PIN-em.

METODY KONTROLI DOSTĘPU D – karta magnetyczna i PIN E – karta inteligentna ze wzorcem F - odcisk palca i PIN A - hasło B - identyfikator C - odcisk palca C F E G D A B G – identyfikator ze zdjęciem i hasło

WADY I ZALETY METOD KONTROLI DOSTĘPU Wyszczególnienie Wady Zalety Co użytkownik ZNA Brak możliwości udowodnienia prawa własności użytkownika do danej informacji Łatwość implementacji, wygoda użytkownika Co użytkownik MA Brak możliwości udowodnienia prawa własności użytkownika do danej rzeczy, zawodność techniczna kart Wysokie koszty i techniczne problemy związane z podrabianiem kart Kim użytkownik JEST Wysokie koszty urządzeń rozpoznających Duża efektywność wynikająca z dużej stałości w czasie cech charakterystycznych człowieka, wygoda użytkownika

KONTROLA DOSTĘPU DO ZASOBÓW Kombinacja praw użytkownika do pisania, czytania i wykonywania zasobu. Kontrola dyskrecjonalna – każdy dostęp użytkownika do zasobu wymaga kontroli uprawnień. W zależności od typu odpowiedzi na pytania o prawa dostępu: - jest dostęp, gdy odpowiedź jest pozytywna - jest dostęp, gdy brak jest odpowiedzi negatywnej. Kontrola obowiązkowa – każdy zasób i użytkownik ma przyporządkowany poziom bezpieczeństwa. Obowiązuje zasada czytania w dół oraz pisania w górę. Kontrola zależna od zadań – tworzone są zadania do których przypisuje się zasoby niezbędne do ich wykonania. Zadania (wraz z dostępem do zasobów) są przypisane użytkownikom.

KONTROLA DOSTĘPU DO ZASOBÓW Mechanizmy sterowania dostępem: - Hierarchia dostępu – automatyczne przyznanie uprzywilejowanym użytkownikom prawa będącego nadzbiorem praw użytkowników mniej uprzywilejowanych. - Macierz dostępu – zawiera dane dotyczące praw dostępu użytkowników do zasobów systemu. - Lista możliwości, których posiadanie bezwarunkowo pozwala na dostęp do zasobu. Procedura przyznawania praw dostępu do zasobów: - scentralizowana – odpowiada jedna osoba, - hierarchiczna – główny administrator przyznaje prawa podadministratorom - zdecentralizowany – właściciel zasobu upoważnia inne osoby, - samodzielny – każdy użytkownik przydziela innym użytkownikom prawa dostępu do zasobów przez siebie tworzonych, - dzielony – jednoczesna współpraca kilku uprawnionych użytkowników.

ŚRODKI PRAWNE Ustawa o ochronie tajemnicy państwowej i służbowej (DzU 1982 nr 40) Ustawa o ochronie danych osobowych (DzU 1997 nr 133) Ustawa o ochronie informacji niejawnych (DzU 1999 nr 11) Prawo bankowe (DzU 1997 nr 140) Kodeks pracy (DzU 1974 nr 24) Kodeks karny (DzU 1997 nr 88) Tajemnica przedsiębiorstwa (DzU 1993 nr 47 – ustawa o zwalczaniu nieuczciwej konkurencji) Tajemnica skarbowa (DzU 1997 nr 137) Ustawa o ochronie osób i mienia (DzU 1997 nr 144) Inne: ustawa o statystyce publicznej, uchwała o zapobieganiu prania pieniędzy Zalecenia i regulacje NBP, np. rekomendacja D z 20.X.1997 dot. zarządzania ryzykiem towarzyszącym systemom informatycznym i telekomunikacyjnym.