3. Warstwy zabezpieczeń w instytucjach finansowych
Polityka uwierzytelnienia i autoryzacji:
Instytucja: wdrożenie i integracja, odporność na atak, koszty utrzymania
Użytkownik: ergonomia narzędzi, kultura wykorzystania, migracja i polityka
cenowa
Polityka zabezpieczeń „wewnętrznych”:
Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania
oprogramowania i rozwoju biznesu
Monitoring systemów i polityka reagowania na zagrożenia
Systemy anty-fraudowe i wykrywania zagrożeń
4. Uwierzytelnienie i autoryzacja – bieżąca sytuacja
Pierwszą i podstawową formą ochrony klientów jest
udostępnienie im narzędzi autoryzacji i
uwierzytelniania takich jak:
Login i hasło (także PIN mobilny)
Kody SMS – Wszystkie badane banki
Tokeny (narzędziowe i mobilne) – 4 badane banki
Biometria – 1 badany bank
Narzędzia te są najłatwiejsze i najtańsze w
implementacji z perspektywy banków
Gwarantują one podstawowy poziom zabezpieczenia
W bardzo dużej mierze ich skuteczność zależy od
wiedzy i uwagi klienta
5. Pierwsza linia ochrony klientów chroni jedynie przed podstawowymi zagrożeniami
Rozwiązania takie jak kody SMS które wydawały się być gwarantem bezpieczeństwa
zawiodły w ostatnich latach
Banki starając się podnosić bezpieczeństwo poświęcają ergonomię użytkowania:
Bywa to czasem wymiana nieadekwatna do osiąganego efektu – hasło maskowane,
dodatkowe „pytania” przy logowaniu
Skomplikowane procesy „zaufania” urządzeń mobilnych które w niektórych
przypadkach wymagają wykorzystania 2-3 kanałów kontaktu (mobile/internet/call
center)
Skomplikowane i niejasne systemy zarządzania limitami w których klienci bardzo
łatwo mogą się pogubić
Wprowadzanie dodatkowych haseł i numerów identyfikacji w mobile – np. osobny
identyfikator w PeoPay w stosunku do normalnego loginu do bankowości mobilnej
PEKAO
Uwierzytelnienie i autoryzacja – bieżąca sytuacja
8. Uwierzytelnienie i autoryzacja – słabości systemów
Słabe hasła i polityka zmiany/odzyskiwania
hasła
Edukacja klientów
na temat silnego uwierzytelniania i
autoryzacji
możliwych ataków i reagowania
Słabości w systemach bankowości
elektronicznej
polityka limitów
możliwość podmiany rachunku
możliwość zdobycia numeru telefonu
9. Dwa najpoważniejsze zagrożenia czyhające na
klientów:
Malware – coraz bardziej zaawansowane i
niebezpieczne oprogramowanie które może nie tylko
kopiować wprowadzany przez klienta tekst ale także
przechwytywać SMSy lub podstawiać niepoprawne
numery rachunków gdy nieświadomy klient wykonuje
przelew
Phishing – podszywanie się pod strony bankowe
starając się w ten sposób zdobyć dane do logowania.
Hasło maskowane nie jest wystarczającym
zabezpieczeniem, zwłaszcza w przypadku klientów
mniej świadomych zagrożeń lub nieuważnych
W ostatnich 12 miesiącach mieliśmy do czynienia z
kilkoma dużymi zdarzeniami jak ataki MITM
Uwierzytelnienie i autoryzacja – największe zagrożenia
10. Walka z malware to codzienność
Banki są odpowiedzialne za bezpieczeństwo klientów:
Podstawa to edukacja - jak atakujący oszukują klienta i nasze systemy
Kolejny krok to bezpieczne i łatwe w użyciu narzędzia autoryzacyjne
Przygotowanie się na potencjalne ataki:
Analiza ryzyk i danych z rynku w celu przewidywania zagrożeń
Ciągłe doskonalenie stosowanych w banku mechanizmów obronnych na podstawie
przeprowadzonych analiz
Stosowanie wielu warstw ochronnych
Uwierzytelnienie i autoryzacja – największe zagrożenia
11. Konieczność wdrożenia dedykowanej polityki uwierzytelniania i autoryzacji
dla poszczególnego banku / instytucji, uwzględniającej aspekty:
Aspekt techniczny: wdrożenie, integracja i utrzymanie rozwiązania
Aspekt zw. z użytkownikiem: ergonomia narzędzi, kultura wykorzystania, migracja i
polityka cenowa
Aspekt biznesowy: koszty wdrożenia, utrzymania, migracji i komunikacji
Aspekt rozwojowo-strategiczny (standardy, regulacje, potencjał rozwoju uwzględniający
zmiany technologiczne)
Aspekt zw. z bezpieczeństwem: odporność na ataki wszelkiego typu
Wyzwanie związane z wykorzystaniem potencjału ergonomii wraz ze
zrozumieniem jej ograniczeń
Wyzwanie związane z potencjałem „eksportu/importu” uwierzytelniania (eIDAS)
Wyzwanie związane z koniecznością budowy ogólnorynkowych standardów
Edukacja rynku – element szerszych działań zw. z cybersecurity
Uwierzytelnienie i autoryzacja – kierunki rozwoju
12. Bezpieczeństwo jako element nowoczesnych metodologii
wytwarzania oprogramowania i rozwoju biznesu
Innowacyjność i zwinne podejście
do developmentu to klucze do
sukcesu:
Agile Scrum
DevOps
Zabezpieczenia po stronie banku
muszą być niewidzialne dla
użytkownika:
Wiele warstw
Automatyzacja
Współpraca między organizacjami (CERT, SOC)
Inteligentne systemy reagowania
Bezpieczeństwo również musi być innowacyjne i zwinne aby wspierać biznes
13. Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania
oprogramowania i rozwoju biznesu
Edukacja – szkolenia
Projektowanie z uwzględnieniem
bezpieczeństwa – architekt bezpieczeństwa
DevOps – automatyzacja bezpieczeństwa
operacyjnego
Dobre praktyki i standardy:
PCI DSS
OWASP
Innowacje są silnie związane z rozwojem firm (innovation is of crucial importance for a
handful of ‘superstar’ fast-growth firms)
Zespoły zwinne tworzące produkty muszą mieć wsparcie w zakresie bezpieczeństwa
14. Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania
oprogramowania i rozwoju biznesu
Zwinne testy bezpieczeństwa, testy oparte o przegląd kodu i architektury są optymalne,
pozwalają szybko reagować w sytuacji nowych błędów
Audyt w świecie Scrum’a, nastawienie na biznes i realne bezpieczeństwo
DevOps a gdzie Security - (IAST) Interactive Application Security Testing
Bug Bounty
Data security in the Cloud (IoT)
Legacy Code - (RASP) Runtime Application Self-
Protection
16. Monitoring systemów i polityka reagowania na zagrożenia
Audyty bezpieczeństwa dostosowane do nowej rzeczywistości
Monitorowanie incydentów (SIEM) – analiza logów
Procedury awaryjne oraz ustalone ścieżki komunikacyjne (SOC)
Współdziałanie na rzecz poprawy bezpieczeństwa systemów, jesteśmy
współzależni
Bezpieczeństwo jako podstawa biznesu (przykład raportowanie CISO)
17. Systemy anty-fraudowe i wykrywania zagrożeń
Ewolucja od systemów regułowych w kierunku systemów inteligentnych (AI)
Integracja sygnałów z wielu kanałów wewnętrznych (internet, mobile, call center)
Integracja ze źródłami zewnętrznymi, np. inne organizacje
Systemy jutra będą przewidywać z dużym prawdopodobieństwem ataki i reagować
w czasie rzeczywistym
18. Zabezpieczenia wewnętrzne – kierunki rozwoju
Wiele warstw zabezpieczeń w oparciu o analizę ryzyka pozwoli reagować na
ataki na klientów
Systemowe zabezpieczenia w bankowości elektronicznej wymagają
współpracy deweloperów oraz działów operacyjnych i bezpieczeństwa
(audytu) – usprawni to również reagowanie.
Systemy antyfraudowe dla bankowości elektronicznej są niezbędnym
elementem infrastruktury systemowej zabezpieczenia banków i muszą być́
coraz bardziej inteligentne i zautomatyzowane, aby nadarzyć́ za rosnącą liczbą
zagrożeń́.