Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Bezpieczeństwo zdalnych transakcji elektronicznych

OpublikowałBogusława Osiecki Został zmieniony 10 lat temu

Podobne prezentacje

Prezentacja na temat: "Bezpieczeństwo zdalnych transakcji elektronicznych"— Zapis prezentacji:

1 Bezpieczeństwo zdalnych transakcji elektronicznych
Robert Kępczyński, CISSP, IBM Polska

2 Środowisko zdalnej transakcji elektronicznej
Internet Bank Dane identyfikacyjne, transakcyjne i logi

3 Anatomia zdalnej elektronicznej transakcji
Transakcja elektroniczna to ciąg wielu czynności operacyjnych od momentu zainicjowania po stronie klienta do momentu zakończenia ostatniej operacji po stronie banku. Typowe czynności operacyjne w transakcji elektronicznej: Uwierzytelnienie sesji Uwierzytelnienie pojedynczej operacji Automatyczne sprawdzanie stanu konta i uprawnień do wykonania transakcji Dodatkowe sprawdzanie tożsamości przez pracownika banku Wykonanie transakcji Zarejestrowanie danych o transakcji w logu ….

4 Typy oszustw w transakcjach elektronicznych
Klient wykonał transakcję a następnie wypiera się, że to nie on Ktoś nie będący klientem ani pracownikiem banku wykonał zdalną transakcje Pracownicy banku wykonują transakcje na koncie klienta bez jego wiedzy

5 Service Service Product
IBM Security Governance Services Security Risk Management Security Program Design and Management Regulatory and Standards Compliance IBM Privacy Services Privacy Awareness Privacy Assessment Privacy Strategy and Implementation IBM Infrastructure Threat Mitigation Services Vulnerability Management Network Perimeter Defense Mobile and Wireless Security Content Checking Desktop Security Managed Security Services IBM Transaction and Data Integrity Services Business Transaction Security Data Security Digital Certificate IBM Identity and Access Management Services Identity Assessment and Strategy Identity Proofing Identity Lifecycle Management Directory Services Access Management Strong Authentication Solutions IBM Application Security Services Application Security Lifecycle IBM Physical Security Services Site Security Digital Video Surveillance IBM Personnel Security Services Security Awareness Program IBM Security Education and Training Services (See ITES / Learning Services)

6 Kto ponosi koszty nielegalnej transakcji?
W bankowej transakcji elektronicznej nie zostaje żaden materialny ślad jej wykonania po stronie klienta. Kto ponosi koszty nielegalnej transakcji bankowej kiedy nie można wykryć sprawcy? Problem kosztów nielegalnych transakcji elektronicznych na razie nie ma prostego rozwiązania prawnego w przeciwieństwie do nielegalnych transakcji bankomatowych i czekowych. Warto prześledzić historię i rozwiązania z innych krajów, gdzie temu problemowi poświęcono wiele uwagi.

7 Kto ponosi koszty podrobionego czeku?
Jeśli bank zaakceptuje podrobiony czek, to automatycznie pokrywa stratę finansową. Jeśli sprzedawca zaakceptuje podrobiony czek, to będzie to jego strata finansowa. W 1965r. w W. Brytanii wprowadzono zasadę, że za przyjęte przez sprzedawcę podrobione czeki o wartości do 50 GBP stratę finansową pokrywa bank. W 2000r. podwyższono limit wartości czeku do GBP. W żadnym wypadku osoba, na której nazwisko wystawiono fałszywy czek, nie ponosiła straty finansowej o ile nie udowodniono, że na czeku na pewno jest jej podpis.

8 Kto ponosi koszty nielegalnej transakcji bankomatowej?
Jeszcze w latach 90-tych w W. Brytanii (też w Norwegii i Holandii) klient musiał udowodnić, że nielegalna transakcja wykonana na jego kartę nie była wykonana przez niego. Spory rozstrzygano w sądzie. Zwykle wygrywał bank. Obrona klienta koncentrowała się na wykazaniu, że w miejscu lokalizacji bankomatu i dniu wykonania transakcji właściciel karty był gdzie indziej. Niektóre przestępstwa sięgały GBP. W tym samym czasie w USA bank musiał udowodnić klientowi, że to on zrobił podejrzaną transakcję. Średnia roczna strata amerykańskiego banku z powodu nielegalnych transakcji bankomatowych wynosiła USD.

9 Podział zagrożeń w zdalnej transakcji
Zagrożenia dla zdalnych transakcji występują poza bankiem i wewnątrz banku. Przeciwdziałanie im powinno być właściwie rozdzielone między bank i klienta. Podział zagrożeń nie stanowi większego problemu w transakcjach bankomatowych i czekowych. Eliminacja możliwości obejścia systemu uwierzytelniania Ochrona poufności jednorazowych haseł Ochrona poufności zbioru z zaszyfrowanymi hasłami Ochrona integralności operacji komputerowych Ochrona integralności logów Ochrona poufności hasła Ochrona antywirusowa Ograniczenie dostępu do komputera Zabezpieczenie bezprzewodowego dostępu do Internetu Bank Klient

10 Zautomatyzowany atak nr.1
SSL SSL SSL SSL SSL SSL Pharming lub phishing

11 Zautomatyzowany atak nr.2
Końcówka SSL Koń trojański Monitor i klawiatura SSL Końcówka SSL Koń trojański Monitor i klawiatura SSL SSL Końcówka SSL Koń trojański Monitor i klawiatura Końcówka SSL Koń trojański Monitor i klawiatura

12 Ważne lekcje z dotychczasowych doświadczeń
Silne uwierzytelnienie klienta nie zabezpiecza przed nieautoryzowaną transakcją wykonaną w trybie man-in-the-middle W elektronicznym banku z silnym uwierzytelnieniem klienta można przeprowadzić zautomatyzowany atak na masową skalę Skuteczność systemu bezpieczeństwa w banku elektronicznym zależy też od sposobu rozstrzygania spory między klientem a bankiem

13 Dwa elementy skutecznego systemu bezpieczeństwa w banku elektronicznym
Skuteczny system bezpieczeństwa w banku elektronicznym powinien obejmować co najmniej dwa elementy: Silny system uwierzytelnienia z mechanizmem zabezpieczającym przed atakiem man-in-the-middle Zarządzanie ryzykiem operacyjnym środowiska, w którym jest wykonywana transakcja. Innymi słowy: zarządzanie ryzykiem wszystkich operacji (po stronie klienta i banku), które są konieczne do wykonania transakcji.

14 Sposób 1: Dwa niezależne kanały komunikacyjne
Internet SSL GSM

15 Urządzenie do składania e-podpisu
Sposób 2: Podpis elektroniczny poza PC SSL Urządzenie do składania e-podpisu

16 Zarządzanie ryzykiem operacyjnym i transakcje
„Ryzyko operacyjne należy rozumieć jako ryzyko straty wynikające z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów technicznych lub ze zdarzeń” zewnętrznych. (cytat z Rekomendacji M) Nieautoryzowana transakcja jest stratą operacyjną. Proces zarządzania ryzykiem operacyjnym powinien integrować wszystkie działania związane z bezpieczeństwem transakcji Niedopasowane procesy Zawodne procesy Systemy techniczne Ludzie Zdarzenia zewnętrzne Poziom zależności ryzyka operacyjnego od IT

17 Monitorowanie zagrożeń zdalnych transakcji
Transakcja elektroniczna składa się z wielu czynności operacyjnych po stronie banku i po stronie klienta. Monitorowanie zagrożeń zdalnych transakcji polega na monitorowaniu wybranych operacji, które mogą być zmienione lub świadomie zakłócone w celu wykonania nieautoryzowanej transakcji. Aby monitorowanie zagrożeń przynosiło więcej korzyści niż problemów musi być poprzedzone analizą ryzyka wszystkich operacji, z których jest zbudowana zdalna transakcja

18 Co monitorujemy w przypadku zdalnej transakcji?
Parametry środowiska, w którym pracuje komputer klienta (obecność właściwego cookies, pora dnia, lokalizacja geograficzna, powiązanie geograficzne z transakcjami bankomatowymi, …) Parametry środowiska bankowego. W szczególności parametry operacji kluczowych dla wykonania zdalnej transakcji (dostęp do zbiorów z danymi uwierzytelniającymi, przeszukiwanie historii konta klienta, …) Parametry transakcji zdefiniowanej przez klienta (konto banku docelowego, nietypowość transakcji względem dotychczasowej historii, ilość transakcji w czasie, …)

19 Analiza ryzyka zdalnej elektronicznej transakcji
Metodyka jakościowej analizy ryzyk elektronicznej transakcji bankowej: Utworzenie listy operacji uczestniczących w wykonaniu transakcji Utworzenie czarnych scenariuszy tj. sekwencji operacji prowadzących do nieautoryzowanej transakcji (w celu określenia konkretnego kontekstu sytuacyjnego dla zagrożeń) Przeprowadzanie jakościowej analizy ryzyka dla każdego czarnego scenariusza Utworzenie listy najbardziej zagrożonych operacji w czarnych scenariuszach Wybór parametrów do monitorowania dla operacji z punktu 4

20 Dziękuję za uwagę

Pobierz ppt "Bezpieczeństwo zdalnych transakcji elektronicznych"

Podobne prezentacje

Departament Informatyzacji MAiC

Departament Informatyzacji MAiC
niemiecki z ekonomią w tle

niemiecki z ekonomią w tle
Modelowanie przypadków użycia

Modelowanie przypadków użycia
Dla każdego ucznia i studenta w wieku od 18 do 26 lat oferujemy

Dla każdego ucznia i studenta w wieku od 18 do 26 lat oferujemy

Banki wirtulne PRZYGOTOWAŁA Marta Papiernik.

Banki wirtulne PRZYGOTOWAŁA Marta Papiernik.
Zarządzanie Ryzykiem Operacyjnym

Zarządzanie Ryzykiem Operacyjnym
Cooperate Sales Manager dostosowanie oferty banku do potrzeb i możliwości klienta Niewodniki, kwiecień 2009.

Cooperate Sales Manager dostosowanie oferty banku do potrzeb i możliwości klienta Niewodniki, kwiecień 2009.
w Bankach Spółdzielczych z wykorzystaniem rozwiązań Wdrożenie wymagań NUK w Bankach Spółdzielczych z wykorzystaniem rozwiązań Asseco Poland S.A. Zawiercie,

w Bankach Spółdzielczych z wykorzystaniem rozwiązań Wdrożenie wymagań NUK w Bankach Spółdzielczych z wykorzystaniem rozwiązań Asseco Poland S.A. Zawiercie,
MOF Microsoft Operations Framework

MOF Microsoft Operations Framework
© SkyCash | www.skycash.com VI KONFERENCJA SEPA | Warszawa, 8 maja 2009 r. © SkyCash | www.skycash.com VI KONFERENCJA SEPA | Warszawa, 8 maja 2009 r. ©

© SkyCash | VI KONFERENCJA SEPA | Warszawa, 8 maja 2009 r. © SkyCash | VI KONFERENCJA SEPA | Warszawa, 8 maja 2009 r. ©
1 Szansa dla banków Konferencja Polskie regiony w Europie – szanse rozwoju Warszawa, 6 kwietnia 2006 r.

1 Szansa dla banków Konferencja Polskie regiony w Europie – szanse rozwoju Warszawa, 6 kwietnia 2006 r.
Platformy na żądanie (ASP) element wdrożenia rozwiązania e-learning

Platformy na żądanie (ASP) element wdrożenia rozwiązania e-learning
Wytyczne Ministra Rozwoju Regionalnego w zakresie wyboru projektów w trybie konkursowym Szkolenie, 17-18 maja 2007 r. Departament Koordynacji i Zarządzania.

Wytyczne Ministra Rozwoju Regionalnego w zakresie wyboru projektów w trybie konkursowym Szkolenie, maja 2007 r. Departament Koordynacji i Zarządzania.
Węgiel jako wyrób Jacek Węglarczyk.

Węgiel jako wyrób Jacek Węglarczyk.
Wartość czynności doradczych audytu Agata Kumpiałowska

Wartość czynności doradczych audytu Agata Kumpiałowska
Amerykańskie programy ubezpieczenia upraw.

Amerykańskie programy ubezpieczenia upraw.
Systemy operacyjne.

Systemy operacyjne.
PKI, OPIE Auth Mateusz Jasiak.

PKI, OPIE Auth Mateusz Jasiak.
RYZYKO OPERACYJNE Jak przeciwdziałać mu w praktyce?

RYZYKO OPERACYJNE Jak przeciwdziałać mu w praktyce?

Podobne prezentacje

Reklamy Google