SlideShare a Scribd company logo

Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych

Michał Olczak
Michał Olczak

Bezpieczne narzędzia uwierzytelniania i autoryzacji. Malware, fraudy i systemy do wykrywania. Bezpieczne połączenie i edukacja klientów

Economy & Finance
1 of 19
Download to read offline
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Raport specjalny dla uczestników M&IBS 2015
Warstwy zabezpieczeń w instytucjach finansowych  Polityka uwierzytelnienia i autoryzacji: Instytucja: wdrożenie i integracja, odporność na atak, koszty utrzymania Użytkownik: ergonomia narzędzi, kultura wykorzystania, migracja i polityka cenowa  Polityka zabezpieczeń „wewnętrznych”: Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania oprogramowania i rozwoju biznesu Monitoring systemów i polityka reagowania na zagrożenia Systemy anty-fraudowe i wykrywania zagrożeń
Uwierzytelnienie i autoryzacja – bieżąca sytuacja  Pierwszą i podstawową formą ochrony klientów jest udostępnienie im narzędzi autoryzacji i uwierzytelniania takich jak: Login i hasło (także PIN mobilny) Kody SMS – Wszystkie badane banki Tokeny (narzędziowe i mobilne) – 4 badane banki Biometria – 1 badany bank  Narzędzia te są najłatwiejsze i najtańsze w implementacji z perspektywy banków  Gwarantują one podstawowy poziom zabezpieczenia  W bardzo dużej mierze ich skuteczność zależy od wiedzy i uwagi klienta
 Pierwsza linia ochrony klientów chroni jedynie przed podstawowymi zagrożeniami  Rozwiązania takie jak kody SMS które wydawały się być gwarantem bezpieczeństwa zawiodły w ostatnich latach  Banki starając się podnosić bezpieczeństwo poświęcają ergonomię użytkowania: Bywa to czasem wymiana nieadekwatna do osiąganego efektu – hasło maskowane, dodatkowe „pytania” przy logowaniu Skomplikowane procesy „zaufania” urządzeń mobilnych które w niektórych przypadkach wymagają wykorzystania 2-3 kanałów kontaktu (mobile/internet/call center) Skomplikowane i niejasne systemy zarządzania limitami w których klienci bardzo łatwo mogą się pogubić Wprowadzanie dodatkowych haseł i numerów identyfikacji w mobile – np. osobny identyfikator w PeoPay w stosunku do normalnego loginu do bankowości mobilnej PEKAO Uwierzytelnienie i autoryzacja – bieżąca sytuacja
Uwierzytelnienie i autoryzacja – specyfika Mobile
Uwierzytelnienie i autoryzacja – specyfika Mobile
Uwierzytelnienie i autoryzacja – słabości systemów  Słabe hasła i polityka zmiany/odzyskiwania hasła  Edukacja klientów na temat silnego uwierzytelniania i autoryzacji możliwych ataków i reagowania  Słabości w systemach bankowości elektronicznej polityka limitów możliwość podmiany rachunku możliwość zdobycia numeru telefonu
 Dwa najpoważniejsze zagrożenia czyhające na klientów: Malware – coraz bardziej zaawansowane i niebezpieczne oprogramowanie które może nie tylko kopiować wprowadzany przez klienta tekst ale także przechwytywać SMSy lub podstawiać niepoprawne numery rachunków gdy nieświadomy klient wykonuje przelew Phishing – podszywanie się pod strony bankowe starając się w ten sposób zdobyć dane do logowania. Hasło maskowane nie jest wystarczającym zabezpieczeniem, zwłaszcza w przypadku klientów mniej świadomych zagrożeń lub nieuważnych  W ostatnich 12 miesiącach mieliśmy do czynienia z kilkoma dużymi zdarzeniami jak ataki MITM Uwierzytelnienie i autoryzacja – największe zagrożenia
 Walka z malware to codzienność  Banki są odpowiedzialne za bezpieczeństwo klientów: Podstawa to edukacja - jak atakujący oszukują klienta i nasze systemy Kolejny krok to bezpieczne i łatwe w użyciu narzędzia autoryzacyjne  Przygotowanie się na potencjalne ataki: Analiza ryzyk i danych z rynku w celu przewidywania zagrożeń Ciągłe doskonalenie stosowanych w banku mechanizmów obronnych na podstawie przeprowadzonych analiz Stosowanie wielu warstw ochronnych Uwierzytelnienie i autoryzacja – największe zagrożenia
 Konieczność wdrożenia dedykowanej polityki uwierzytelniania i autoryzacji dla poszczególnego banku / instytucji, uwzględniającej aspekty: Aspekt techniczny: wdrożenie, integracja i utrzymanie rozwiązania Aspekt zw. z użytkownikiem: ergonomia narzędzi, kultura wykorzystania, migracja i polityka cenowa Aspekt biznesowy: koszty wdrożenia, utrzymania, migracji i komunikacji Aspekt rozwojowo-strategiczny (standardy, regulacje, potencjał rozwoju uwzględniający zmiany technologiczne) Aspekt zw. z bezpieczeństwem: odporność na ataki wszelkiego typu  Wyzwanie związane z wykorzystaniem potencjału ergonomii wraz ze zrozumieniem jej ograniczeń  Wyzwanie związane z potencjałem „eksportu/importu” uwierzytelniania (eIDAS)  Wyzwanie związane z koniecznością budowy ogólnorynkowych standardów  Edukacja rynku – element szerszych działań zw. z cybersecurity Uwierzytelnienie i autoryzacja – kierunki rozwoju
Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania oprogramowania i rozwoju biznesu  Innowacyjność i zwinne podejście do developmentu to klucze do sukcesu: Agile Scrum DevOps  Zabezpieczenia po stronie banku muszą być niewidzialne dla użytkownika: Wiele warstw Automatyzacja Współpraca między organizacjami (CERT, SOC) Inteligentne systemy reagowania  Bezpieczeństwo również musi być innowacyjne i zwinne aby wspierać biznes
Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania oprogramowania i rozwoju biznesu Edukacja – szkolenia Projektowanie z uwzględnieniem bezpieczeństwa – architekt bezpieczeństwa DevOps – automatyzacja bezpieczeństwa operacyjnego  Dobre praktyki i standardy: PCI DSS OWASP  Innowacje są silnie związane z rozwojem firm (innovation is of crucial importance for a handful of ‘superstar’ fast-growth firms)  Zespoły zwinne tworzące produkty muszą mieć wsparcie w zakresie bezpieczeństwa
Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania oprogramowania i rozwoju biznesu  Zwinne testy bezpieczeństwa, testy oparte o przegląd kodu i architektury są optymalne, pozwalają szybko reagować w sytuacji nowych błędów  Audyt w świecie Scrum’a, nastawienie na biznes i realne bezpieczeństwo  DevOps a gdzie Security - (IAST) Interactive Application Security Testing  Bug Bounty  Data security in the Cloud (IoT)  Legacy Code - (RASP) Runtime Application Self- Protection
Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania oprogramowania i rozwoju biznesu
Monitoring systemów i polityka reagowania na zagrożenia  Audyty bezpieczeństwa dostosowane do nowej rzeczywistości  Monitorowanie incydentów (SIEM) – analiza logów  Procedury awaryjne oraz ustalone ścieżki komunikacyjne (SOC)  Współdziałanie na rzecz poprawy bezpieczeństwa systemów, jesteśmy współzależni  Bezpieczeństwo jako podstawa biznesu (przykład raportowanie CISO)
Systemy anty-fraudowe i wykrywania zagrożeń  Ewolucja od systemów regułowych w kierunku systemów inteligentnych (AI)  Integracja sygnałów z wielu kanałów wewnętrznych (internet, mobile, call center)  Integracja ze źródłami zewnętrznymi, np. inne organizacje  Systemy jutra będą przewidywać z dużym prawdopodobieństwem ataki i reagować w czasie rzeczywistym
Zabezpieczenia wewnętrzne – kierunki rozwoju  Wiele warstw zabezpieczeń w oparciu o analizę ryzyka pozwoli reagować na ataki na klientów  Systemowe zabezpieczenia w bankowości elektronicznej wymagają współpracy deweloperów oraz działów operacyjnych i bezpieczeństwa (audytu) – usprawni to również reagowanie.  Systemy antyfraudowe dla bankowości elektronicznej są niezbędnym elementem infrastruktury systemowej zabezpieczenia banków i muszą być́ coraz bardziej inteligentne i zautomatyzowane, aby nadarzyć́ za rosnącą liczbą zagrożeń́.
Kontakt Michał Olczak michal.olczak@obserwatorium.biz 695 500 928 Miłosz Brakoniecki milosz.brakoniecki@obserwatorium.biz 695 250 295

Recommended

Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 RokuRaport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 RokuCybersecurity Foundation
 
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.Cybersecurity Foundation
 
Cyber ruletka po polsku
Cyber ruletka po polskuCyber ruletka po polsku
Cyber ruletka po polskuPwC Polska
 
Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”EYPoland
 
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?PwC Polska
 
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEYPoland
 
Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014EYPoland
 
Psd2 nowa rzeczywistość w bankowości elektronicznej
Psd2 nowa rzeczywistość w bankowości elektronicznejPsd2 nowa rzeczywistość w bankowości elektronicznej
Psd2 nowa rzeczywistość w bankowości elektronicznejIntegrated Solutions
 

Recommended

Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 RokuRaport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 RokuCybersecurity Foundation
 
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.Cybersecurity Foundation
 
Cyber ruletka po polsku
Cyber ruletka po polskuCyber ruletka po polsku
Cyber ruletka po polskuPwC Polska
 
Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”EYPoland
 
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?PwC Polska
 
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEYPoland
 
Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014EYPoland
 
Psd2 nowa rzeczywistość w bankowości elektronicznej
Psd2 nowa rzeczywistość w bankowości elektronicznejPsd2 nowa rzeczywistość w bankowości elektronicznej
Psd2 nowa rzeczywistość w bankowości elektronicznejIntegrated Solutions
 
Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronyLogicaltrust pl
 
[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rok[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rokmsobiegraj
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwCJerzy Łabuda
 
Cyberprzestepcy - Jak się bronić?
Cyberprzestepcy - Jak się bronić?Cyberprzestepcy - Jak się bronić?
Cyberprzestepcy - Jak się bronić?Logicaltrust pl
 
PLNOG 17 - Michał Rosiak - Świadomy Klient to bezpieczna firma
PLNOG 17 - Michał Rosiak - Świadomy Klient to bezpieczna firmaPLNOG 17 - Michał Rosiak - Świadomy Klient to bezpieczna firma
PLNOG 17 - Michał Rosiak - Świadomy Klient to bezpieczna firmaPROIDEA
 
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Pawel Krawczyk
 
Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]CEO Magazyn Polska
 
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...PROIDEA
 
It breakfast fin_28.08.2014_knf
It breakfast fin_28.08.2014_knfIt breakfast fin_28.08.2014_knf
It breakfast fin_28.08.2014_knfFoundation IT Leader Club Poland
 
Audyty IT, eCommerce, Call Contact Center
Audyty IT, eCommerce, Call Contact CenterAudyty IT, eCommerce, Call Contact Center
Audyty IT, eCommerce, Call Contact CenterPrzemysław Federowicz
 
Bezprzewodowe niebezpieczeństwo (TAPT 2016)
Bezprzewodowe niebezpieczeństwo (TAPT 2016)Bezprzewodowe niebezpieczeństwo (TAPT 2016)
Bezprzewodowe niebezpieczeństwo (TAPT 2016)Adam Ziaja
 
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatyczny
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatycznyBezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatyczny
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatycznyEYPoland
 
Top 10 - strony poświęcone bezpieczeństwu w Internecie
Top 10 - strony poświęcone bezpieczeństwu w Internecie Top 10 - strony poświęcone bezpieczeństwu w Internecie
Top 10 - strony poświęcone bezpieczeństwu w Internecie irasz
 
Cyberprzestępcy atakują!
Cyberprzestępcy atakują!Cyberprzestępcy atakują!
Cyberprzestępcy atakują!irasz
 
Cyberprzestępczość 2.0 (TAPT 2014)
Cyberprzestępczość 2.0 (TAPT 2014)Cyberprzestępczość 2.0 (TAPT 2014)
Cyberprzestępczość 2.0 (TAPT 2014)Adam Ziaja
 
Sexsiyyetin formalasmasinda muellim sagird munasieti
Sexsiyyetin formalasmasinda muellim sagird munasietiSexsiyyetin formalasmasinda muellim sagird munasieti
Sexsiyyetin formalasmasinda muellim sagird munasietiAZERİ AZERBAYCAN
 
Hacker i cracker - kim są?
Hacker i cracker - kim są? Hacker i cracker - kim są?
Hacker i cracker - kim są? irasz
 
Bitcoin a polskie prawo
Bitcoin a polskie prawoBitcoin a polskie prawo
Bitcoin a polskie prawoCyberlaw Beata Marek
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...SecuRing
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Logicaltrust pl
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 

More Related Content

What's hot

Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronyLogicaltrust pl
 
[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rok[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rokmsobiegraj
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwCJerzy Łabuda
 
Cyberprzestepcy - Jak się bronić?
Cyberprzestepcy - Jak się bronić?Cyberprzestepcy - Jak się bronić?
Cyberprzestepcy - Jak się bronić?Logicaltrust pl
 
PLNOG 17 - Michał Rosiak - Świadomy Klient to bezpieczna firma
PLNOG 17 - Michał Rosiak - Świadomy Klient to bezpieczna firmaPLNOG 17 - Michał Rosiak - Świadomy Klient to bezpieczna firma
PLNOG 17 - Michał Rosiak - Świadomy Klient to bezpieczna firmaPROIDEA
 
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Pawel Krawczyk
 
Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]CEO Magazyn Polska
 
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...PROIDEA
 

What's hot (8)

Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obrony
 
[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rok[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rok
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwC
 
Cyberprzestepcy - Jak się bronić?
Cyberprzestepcy - Jak się bronić?Cyberprzestepcy - Jak się bronić?
Cyberprzestepcy - Jak się bronić?
 
PLNOG 17 - Michał Rosiak - Świadomy Klient to bezpieczna firma
PLNOG 17 - Michał Rosiak - Świadomy Klient to bezpieczna firmaPLNOG 17 - Michał Rosiak - Świadomy Klient to bezpieczna firma
PLNOG 17 - Michał Rosiak - Świadomy Klient to bezpieczna firma
 
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
 
Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]
 
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...
 

Viewers also liked

Audyty IT, eCommerce, Call Contact Center
Audyty IT, eCommerce, Call Contact CenterAudyty IT, eCommerce, Call Contact Center
Audyty IT, eCommerce, Call Contact CenterPrzemysław Federowicz
 
Bezprzewodowe niebezpieczeństwo (TAPT 2016)
Bezprzewodowe niebezpieczeństwo (TAPT 2016)Bezprzewodowe niebezpieczeństwo (TAPT 2016)
Bezprzewodowe niebezpieczeństwo (TAPT 2016)Adam Ziaja
 
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatyczny
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatycznyBezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatyczny
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatycznyEYPoland
 
Top 10 - strony poświęcone bezpieczeństwu w Internecie
Top 10 - strony poświęcone bezpieczeństwu w Internecie Top 10 - strony poświęcone bezpieczeństwu w Internecie
Top 10 - strony poświęcone bezpieczeństwu w Internecie irasz
 
Cyberprzestępcy atakują!
Cyberprzestępcy atakują!Cyberprzestępcy atakują!
Cyberprzestępcy atakują!irasz
 
Cyberprzestępczość 2.0 (TAPT 2014)
Cyberprzestępczość 2.0 (TAPT 2014)Cyberprzestępczość 2.0 (TAPT 2014)
Cyberprzestępczość 2.0 (TAPT 2014)Adam Ziaja
 
Sexsiyyetin formalasmasinda muellim sagird munasieti
Sexsiyyetin formalasmasinda muellim sagird munasietiSexsiyyetin formalasmasinda muellim sagird munasieti
Sexsiyyetin formalasmasinda muellim sagird munasietiAZERİ AZERBAYCAN
 
Hacker i cracker - kim są?
Hacker i cracker - kim są? Hacker i cracker - kim są?
Hacker i cracker - kim są? irasz
 

Viewers also liked (10)

It breakfast fin_28.08.2014_knf
It breakfast fin_28.08.2014_knfIt breakfast fin_28.08.2014_knf
It breakfast fin_28.08.2014_knf
 
Audyty IT, eCommerce, Call Contact Center
Audyty IT, eCommerce, Call Contact CenterAudyty IT, eCommerce, Call Contact Center
Audyty IT, eCommerce, Call Contact Center
 
Bezprzewodowe niebezpieczeństwo (TAPT 2016)
Bezprzewodowe niebezpieczeństwo (TAPT 2016)Bezprzewodowe niebezpieczeństwo (TAPT 2016)
Bezprzewodowe niebezpieczeństwo (TAPT 2016)
 
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatyczny
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatycznyBezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatyczny
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatyczny
 
Top 10 - strony poświęcone bezpieczeństwu w Internecie
Top 10 - strony poświęcone bezpieczeństwu w Internecie Top 10 - strony poświęcone bezpieczeństwu w Internecie
Top 10 - strony poświęcone bezpieczeństwu w Internecie
 
Cyberprzestępcy atakują!
Cyberprzestępcy atakują!Cyberprzestępcy atakują!
Cyberprzestępcy atakują!
 
Cyberprzestępczość 2.0 (TAPT 2014)
Cyberprzestępczość 2.0 (TAPT 2014)Cyberprzestępczość 2.0 (TAPT 2014)
Cyberprzestępczość 2.0 (TAPT 2014)
 
Sexsiyyetin formalasmasinda muellim sagird munasieti
Sexsiyyetin formalasmasinda muellim sagird munasietiSexsiyyetin formalasmasinda muellim sagird munasieti
Sexsiyyetin formalasmasinda muellim sagird munasieti
 
Hacker i cracker - kim są?
Hacker i cracker - kim są? Hacker i cracker - kim są?
Hacker i cracker - kim są?
 
Bitcoin a polskie prawo
Bitcoin a polskie prawoBitcoin a polskie prawo
Bitcoin a polskie prawo
 

Similar to Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych

Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...SecuRing
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Logicaltrust pl
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 
Bezpieczenstwo platnosci elektronicznych
Bezpieczenstwo platnosci elektronicznychBezpieczenstwo platnosci elektronicznych
Bezpieczenstwo platnosci elektronicznychMichał Olczak
 
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PROIDEA
 
Zaufanie W Systemach Informatycznych
Zaufanie W Systemach InformatycznychZaufanie W Systemach Informatycznych
Zaufanie W Systemach InformatycznychPawel Krawczyk
 
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Rafal
 
Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Wojciech Boczoń
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieKarol Chwastowski
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PROIDEA
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychAnaliza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychguest84f9115
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych guest84f9115
 
Bezpieczne biuro w kieszeni
Bezpieczne biuro w kieszeniBezpieczne biuro w kieszeni
Bezpieczne biuro w kieszenibleoszewski
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiSecuRing
 
Czym charakteryzuje się nowoczesny system CMS na przykładzie CMS Squiz Matrix?
Czym charakteryzuje się nowoczesny system CMS na przykładzie CMS Squiz Matrix?Czym charakteryzuje się nowoczesny system CMS na przykładzie CMS Squiz Matrix?
Czym charakteryzuje się nowoczesny system CMS na przykładzie CMS Squiz Matrix?Squiz Poland
 
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?SecuRing
 
Robotyzacja procesów biznesowych - od optymalizacji do transformacji modelu d...
Robotyzacja procesów biznesowych - od optymalizacji do transformacji modelu d...Robotyzacja procesów biznesowych - od optymalizacji do transformacji modelu d...
Robotyzacja procesów biznesowych - od optymalizacji do transformacji modelu d...Andrzej Sobczak
 

Similar to Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych (20)

Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
 
Bezpieczenstwo platnosci elektronicznych
Bezpieczenstwo platnosci elektronicznychBezpieczenstwo platnosci elektronicznych
Bezpieczenstwo platnosci elektronicznych
 
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
 
Zaufanie W Systemach Informatycznych
Zaufanie W Systemach InformatycznychZaufanie W Systemach Informatycznych
Zaufanie W Systemach Informatycznych
 
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
 
Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmie
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychAnaliza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
 
Bezpieczne biuro w kieszeni
Bezpieczne biuro w kieszeniBezpieczne biuro w kieszeni
Bezpieczne biuro w kieszeni
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcji
 
Enterprise Mobility Suite
Enterprise Mobility SuiteEnterprise Mobility Suite
Enterprise Mobility Suite
 
Czym charakteryzuje się nowoczesny system CMS na przykładzie CMS Squiz Matrix?
Czym charakteryzuje się nowoczesny system CMS na przykładzie CMS Squiz Matrix?Czym charakteryzuje się nowoczesny system CMS na przykładzie CMS Squiz Matrix?
Czym charakteryzuje się nowoczesny system CMS na przykładzie CMS Squiz Matrix?
 
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
 
Robotyzacja procesów biznesowych - od optymalizacji do transformacji modelu d...
Robotyzacja procesów biznesowych - od optymalizacji do transformacji modelu d...Robotyzacja procesów biznesowych - od optymalizacji do transformacji modelu d...
Robotyzacja procesów biznesowych - od optymalizacji do transformacji modelu d...
 

Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych

  • 2. Raport specjalny dla uczestników M&IBS 2015
  • 3. Warstwy zabezpieczeń w instytucjach finansowych  Polityka uwierzytelnienia i autoryzacji: Instytucja: wdrożenie i integracja, odporność na atak, koszty utrzymania Użytkownik: ergonomia narzędzi, kultura wykorzystania, migracja i polityka cenowa  Polityka zabezpieczeń „wewnętrznych”: Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania oprogramowania i rozwoju biznesu Monitoring systemów i polityka reagowania na zagrożenia Systemy anty-fraudowe i wykrywania zagrożeń
  • 4. Uwierzytelnienie i autoryzacja – bieżąca sytuacja  Pierwszą i podstawową formą ochrony klientów jest udostępnienie im narzędzi autoryzacji i uwierzytelniania takich jak: Login i hasło (także PIN mobilny) Kody SMS – Wszystkie badane banki Tokeny (narzędziowe i mobilne) – 4 badane banki Biometria – 1 badany bank  Narzędzia te są najłatwiejsze i najtańsze w implementacji z perspektywy banków  Gwarantują one podstawowy poziom zabezpieczenia  W bardzo dużej mierze ich skuteczność zależy od wiedzy i uwagi klienta
  • 5.  Pierwsza linia ochrony klientów chroni jedynie przed podstawowymi zagrożeniami  Rozwiązania takie jak kody SMS które wydawały się być gwarantem bezpieczeństwa zawiodły w ostatnich latach  Banki starając się podnosić bezpieczeństwo poświęcają ergonomię użytkowania: Bywa to czasem wymiana nieadekwatna do osiąganego efektu – hasło maskowane, dodatkowe „pytania” przy logowaniu Skomplikowane procesy „zaufania” urządzeń mobilnych które w niektórych przypadkach wymagają wykorzystania 2-3 kanałów kontaktu (mobile/internet/call center) Skomplikowane i niejasne systemy zarządzania limitami w których klienci bardzo łatwo mogą się pogubić Wprowadzanie dodatkowych haseł i numerów identyfikacji w mobile – np. osobny identyfikator w PeoPay w stosunku do normalnego loginu do bankowości mobilnej PEKAO Uwierzytelnienie i autoryzacja – bieżąca sytuacja
  • 6. Uwierzytelnienie i autoryzacja – specyfika Mobile
  • 7. Uwierzytelnienie i autoryzacja – specyfika Mobile
  • 8. Uwierzytelnienie i autoryzacja – słabości systemów  Słabe hasła i polityka zmiany/odzyskiwania hasła  Edukacja klientów na temat silnego uwierzytelniania i autoryzacji możliwych ataków i reagowania  Słabości w systemach bankowości elektronicznej polityka limitów możliwość podmiany rachunku możliwość zdobycia numeru telefonu
  • 9.  Dwa najpoważniejsze zagrożenia czyhające na klientów: Malware – coraz bardziej zaawansowane i niebezpieczne oprogramowanie które może nie tylko kopiować wprowadzany przez klienta tekst ale także przechwytywać SMSy lub podstawiać niepoprawne numery rachunków gdy nieświadomy klient wykonuje przelew Phishing – podszywanie się pod strony bankowe starając się w ten sposób zdobyć dane do logowania. Hasło maskowane nie jest wystarczającym zabezpieczeniem, zwłaszcza w przypadku klientów mniej świadomych zagrożeń lub nieuważnych  W ostatnich 12 miesiącach mieliśmy do czynienia z kilkoma dużymi zdarzeniami jak ataki MITM Uwierzytelnienie i autoryzacja – największe zagrożenia
  • 10.  Walka z malware to codzienność  Banki są odpowiedzialne za bezpieczeństwo klientów: Podstawa to edukacja - jak atakujący oszukują klienta i nasze systemy Kolejny krok to bezpieczne i łatwe w użyciu narzędzia autoryzacyjne  Przygotowanie się na potencjalne ataki: Analiza ryzyk i danych z rynku w celu przewidywania zagrożeń Ciągłe doskonalenie stosowanych w banku mechanizmów obronnych na podstawie przeprowadzonych analiz Stosowanie wielu warstw ochronnych Uwierzytelnienie i autoryzacja – największe zagrożenia
  • 11.  Konieczność wdrożenia dedykowanej polityki uwierzytelniania i autoryzacji dla poszczególnego banku / instytucji, uwzględniającej aspekty: Aspekt techniczny: wdrożenie, integracja i utrzymanie rozwiązania Aspekt zw. z użytkownikiem: ergonomia narzędzi, kultura wykorzystania, migracja i polityka cenowa Aspekt biznesowy: koszty wdrożenia, utrzymania, migracji i komunikacji Aspekt rozwojowo-strategiczny (standardy, regulacje, potencjał rozwoju uwzględniający zmiany technologiczne) Aspekt zw. z bezpieczeństwem: odporność na ataki wszelkiego typu  Wyzwanie związane z wykorzystaniem potencjału ergonomii wraz ze zrozumieniem jej ograniczeń  Wyzwanie związane z potencjałem „eksportu/importu” uwierzytelniania (eIDAS)  Wyzwanie związane z koniecznością budowy ogólnorynkowych standardów  Edukacja rynku – element szerszych działań zw. z cybersecurity Uwierzytelnienie i autoryzacja – kierunki rozwoju
  • 12. Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania oprogramowania i rozwoju biznesu  Innowacyjność i zwinne podejście do developmentu to klucze do sukcesu: Agile Scrum DevOps  Zabezpieczenia po stronie banku muszą być niewidzialne dla użytkownika: Wiele warstw Automatyzacja Współpraca między organizacjami (CERT, SOC) Inteligentne systemy reagowania  Bezpieczeństwo również musi być innowacyjne i zwinne aby wspierać biznes
  • 13. Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania oprogramowania i rozwoju biznesu Edukacja – szkolenia Projektowanie z uwzględnieniem bezpieczeństwa – architekt bezpieczeństwa DevOps – automatyzacja bezpieczeństwa operacyjnego  Dobre praktyki i standardy: PCI DSS OWASP  Innowacje są silnie związane z rozwojem firm (innovation is of crucial importance for a handful of ‘superstar’ fast-growth firms)  Zespoły zwinne tworzące produkty muszą mieć wsparcie w zakresie bezpieczeństwa
  • 14. Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania oprogramowania i rozwoju biznesu  Zwinne testy bezpieczeństwa, testy oparte o przegląd kodu i architektury są optymalne, pozwalają szybko reagować w sytuacji nowych błędów  Audyt w świecie Scrum’a, nastawienie na biznes i realne bezpieczeństwo  DevOps a gdzie Security - (IAST) Interactive Application Security Testing  Bug Bounty  Data security in the Cloud (IoT)  Legacy Code - (RASP) Runtime Application Self- Protection
  • 15. Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania oprogramowania i rozwoju biznesu
  • 16. Monitoring systemów i polityka reagowania na zagrożenia  Audyty bezpieczeństwa dostosowane do nowej rzeczywistości  Monitorowanie incydentów (SIEM) – analiza logów  Procedury awaryjne oraz ustalone ścieżki komunikacyjne (SOC)  Współdziałanie na rzecz poprawy bezpieczeństwa systemów, jesteśmy współzależni  Bezpieczeństwo jako podstawa biznesu (przykład raportowanie CISO)
  • 17. Systemy anty-fraudowe i wykrywania zagrożeń  Ewolucja od systemów regułowych w kierunku systemów inteligentnych (AI)  Integracja sygnałów z wielu kanałów wewnętrznych (internet, mobile, call center)  Integracja ze źródłami zewnętrznymi, np. inne organizacje  Systemy jutra będą przewidywać z dużym prawdopodobieństwem ataki i reagować w czasie rzeczywistym
  • 18. Zabezpieczenia wewnętrzne – kierunki rozwoju  Wiele warstw zabezpieczeń w oparciu o analizę ryzyka pozwoli reagować na ataki na klientów  Systemowe zabezpieczenia w bankowości elektronicznej wymagają współpracy deweloperów oraz działów operacyjnych i bezpieczeństwa (audytu) – usprawni to również reagowanie.  Systemy antyfraudowe dla bankowości elektronicznej są niezbędnym elementem infrastruktury systemowej zabezpieczenia banków i muszą być́ coraz bardziej inteligentne i zautomatyzowane, aby nadarzyć́ za rosnącą liczbą zagrożeń́.
  • 19. Kontakt Michał Olczak michal.olczak@obserwatorium.biz 695 500 928 Miłosz Brakoniecki milosz.brakoniecki@obserwatorium.biz 695 250 295