SlideShare a Scribd company logo

Bezpieczenstwo platnosci elektronicznych

Download as PPTX, PDF
Michał Olczak
Michał Olczak

Electronic Payments security

Software
1 of 18
Cyberbezpieczeństwo płatności w bankowości mobilnej Michał Olczak koordynator bezpieczeństwa Lider zespołu rozwoju bankowości mobilnej oraz internetowej
2 AGENDA • Cyberbezpieczeństwo płatności • Bankowość mobilna a internetowa • Bieżąca sytuacja • Co może nas czekać wkrótce • Podsumowanie
3 Cyberbezpieczeństwo płatności
E-commerce to około 26 mld PLN Prognozy na rok 2020 to 90 mld PLN (co 2 złotówka wydawana) Gwałtowny rozwój aplikacji mobilnych oraz płatności. SMS / BLIK / PeoPay / HCE Rynek m-płatności na świecie do roku 2017 osiągnie wartość 1 tryliona USD [Forrester] 4 Cyberbezpieczeństwo płatności
5 Bezpieczeństwo płatności 25% transakcji w cyberprzestrzeni to płatności mobilne 3,5 mln Polaków korzystających z bankowości mobilnej Czy jest bezpieczenie?
6 Bankowość mobilna bezpieczniejsza niż internetowa?
7 Bankowość mobilna a internetowa Porównanie zabezpieczeń w bankowości mobilnej i internetowej: • bezpieczeństwo aplikacji natywnych vs aplikacje i przeglądarki na PC • bezpieczeństwo WebView oraz aplikacji webowych • silne uwierzytelnianie • uwierzytelnianie urządzeń • biometria jako dodatkowy czynnik Wytyczne rekomendacji KNF w zakresie bezpieczeństwa płatności elektronicznych (z wyłączeniem mobile)
8 Bankowość mobilna a internetowa Podobne problemy: uprawnienia administratora, szyfrowanie, uwierzytelnianie, autoryzacja, mobile to kanał, który przechodzi przez te same problemy co desktop. Bezpieczeństwo WebView oraz aplikacji webowych (OWASP Top 10): Dużo problemów typu XSS, XSA, dużo zmian w 2014 roku Silne uwierzytelnianie : w internecie głównie kanał SMS, na mobile traci sens jeśli używamy na tym samym urządzeniu, plus malware przechwytujący
9 Rekomendacja KNF Obowiązuje od 1 lutego 2015 Wybrane elementy z rekomendacji: • Polityka bezpieczeństwa płatności internetowych • Dobre praktyki dla dostawców • Spójne i zintegrowane podejście do monitorowania, obsługi i działań następczych w stosunku do incydentów • Procedurę niezwłocznego informowania właściwych organów (tj. organów nadzoru oraz organów ds. ochrony danych) • Procedurę współpracy z właściwymi organami ścigania w zakresie incydentów bezpieczeństwa • Dzienniki zdarzeń pozwalające na śledzenie wprowadzania nowych oraz modyfikowania i usuwania istniejących danych transakcji i poleceń zapłaty • Dostawcy usług płatniczych powinni analizować dane transakcji i poleceń zapłaty oraz posiadać narzędzia do oceny dzienników zdarzeń.
10 Zabezpieczenia Bezpieczne wytwarzanie bankowości mobilnej: • Audyt ISO 27k • OWASP ASVS • testy penetracyjne • silne uwierzytelnianie Monitorowanie działającego systemu: • wykrywanie oszustw (czarne listy, analiza behawioralna, anomalie) • wykrywanie incydentów (detekcja wewnętrzna/zewnętrzna) • procedury/zespół reagowania (CERT/CSIRT/SOC)
11 Bieżąca sytuacja
12 Bieżąca sytuacja W 2014, malware na platformę Android poza oficjalnym sklepem. Liczba złośliwego oprogramowania mobilnego tylko w IV kwartale 2014 r. wzrosła o 14%. [źródło: Intel] Wykryte oprogramowanie typu malware w oficjalnym sklepie Android, głównie naruszenie prywatności. Potwierdzone przypadki podmiany ruchu z użyciem ataków na rutery domowe.
13 Bieżąca sytuacja W 2014 pierwsze przypadki ataków typu ransomware na platformie OS (szacunkowo 30% płaci) 35 mln PLN w 2014 wykradzione przez cyberprzestępców z użyciem malware, źródło TVP2
14 Bieżąca sytuacja 70% brak wsparcia 2FA 40% akceptuje dowolny certyfikat SSL wg badania IOActive 40 bankowych aplikacji 2014
15 Co może nas czekać wkrótce
16 Trendy w zagrożeniach (FireEye 2014) Android luki wzrost o 188% od 2011 iOS luki wzrost o 262% od 2011 31% aplikacji z Google Play ściąganych co najmniej 50,000 zawiera luki umożlwiające zdalny dostęp BYOD
17 PODSUMOWANIE • Cybergospodarka (mobile centric) a cyberprzestępcy • Warto analizować ryzyka cyklicznie (Agile) by być gotowym na nadchodzące zagrożenia • Bezpieczeństwo płatności mobilnych to proces podobny do tego jaki przechodziła bankowość elektroniczna
Dziękuję i proszę o pytania ;) Michał Olczak michal.olczak@bzwbk.pl @michalolczak pl.linkedin.com/in/michal0lczak 20

Recommended

PayByNet - Piotr Kiełcz
PayByNet - Piotr KiełczPayByNet - Piotr Kiełcz
PayByNet - Piotr Kiełcz
EastCamp Białystok
 
It breakfast fin_28.08.2014_knf
It breakfast fin_28.08.2014_knfIt breakfast fin_28.08.2014_knf
It breakfast fin_28.08.2014_knf
Foundation IT Leader Club Poland
 
Płatności mobilne
Płatności mobilnePłatności mobilne
Płatności mobilne
Emil Ślązak
 
PSD2 Open Banking - ochrona przed wyłudzeniami
PSD2 Open Banking - ochrona przed wyłudzeniami PSD2 Open Banking - ochrona przed wyłudzeniami
PSD2 Open Banking - ochrona przed wyłudzeniami
Alicja Folga
 
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Logicaltrust pl
 
Pekao24 Spotkanie Prasowe 15.06.2007
Pekao24 Spotkanie Prasowe 15.06.2007Pekao24 Spotkanie Prasowe 15.06.2007
Pekao24 Spotkanie Prasowe 15.06.2007Wojciech Boczoń
 
Psd2 nowa rzeczywistość w bankowości elektronicznej
Psd2 nowa rzeczywistość w bankowości elektronicznejPsd2 nowa rzeczywistość w bankowości elektronicznej
Psd2 nowa rzeczywistość w bankowości elektronicznej
Integrated Solutions
 
Serwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacji
Serwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacjiSerwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacji
Serwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacji
Wojciech Boczoń
 

Recommended

PayByNet - Piotr Kiełcz
PayByNet - Piotr KiełczPayByNet - Piotr Kiełcz
PayByNet - Piotr Kiełcz
EastCamp Białystok
 
It breakfast fin_28.08.2014_knf
It breakfast fin_28.08.2014_knfIt breakfast fin_28.08.2014_knf
It breakfast fin_28.08.2014_knf
Foundation IT Leader Club Poland
 
Płatności mobilne
Płatności mobilnePłatności mobilne
Płatności mobilne
Emil Ślązak
 
PSD2 Open Banking - ochrona przed wyłudzeniami
PSD2 Open Banking - ochrona przed wyłudzeniami PSD2 Open Banking - ochrona przed wyłudzeniami
PSD2 Open Banking - ochrona przed wyłudzeniami
Alicja Folga
 
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Logicaltrust pl
 
Pekao24 Spotkanie Prasowe 15.06.2007
Pekao24 Spotkanie Prasowe 15.06.2007Pekao24 Spotkanie Prasowe 15.06.2007
Pekao24 Spotkanie Prasowe 15.06.2007Wojciech Boczoń
 
Psd2 nowa rzeczywistość w bankowości elektronicznej
Psd2 nowa rzeczywistość w bankowości elektronicznejPsd2 nowa rzeczywistość w bankowości elektronicznej
Psd2 nowa rzeczywistość w bankowości elektronicznej
Integrated Solutions
 
Serwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacji
Serwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacjiSerwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacji
Serwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacji
Wojciech Boczoń
 
Bezpieczeństwo w bankowości widziane oczami mediów
Bezpieczeństwo w bankowości widziane oczami mediówBezpieczeństwo w bankowości widziane oczami mediów
Bezpieczeństwo w bankowości widziane oczami mediówBykSebaj
 
Nowe technologie a bezpieczeństwo
Nowe technologie a bezpieczeństwoNowe technologie a bezpieczeństwo
Nowe technologie a bezpieczeństwoKasia Horsten-Szemro
 
Rekrutacja elektroniczna 2014
Rekrutacja elektroniczna 2014Rekrutacja elektroniczna 2014
Rekrutacja elektroniczna 2014tomaszkarwas
 
BezpieczeńStwo Danych W Sieci
BezpieczeńStwo Danych W SieciBezpieczeńStwo Danych W Sieci
BezpieczeńStwo Danych W Sieci
rakowski.jakub
 
Bezpieczeństwo w Internecie
Bezpieczeństwo w InternecieBezpieczeństwo w Internecie
Bezpieczeństwo w Interneciemarecki_wepa_1982
 
Bezpieczeństwo w sieci1
Bezpieczeństwo w sieci1Bezpieczeństwo w sieci1
Bezpieczeństwo w sieci1
tomaszkarwas
 
Building the Digital Branch: Feb. 2016
Building the Digital Branch: Feb. 2016Building the Digital Branch: Feb. 2016
Building the Digital Branch: Feb. 2016
ALATechSource
 
Cyberprzestępczość 2.0 (TAPT 2014)
Cyberprzestępczość 2.0 (TAPT 2014)Cyberprzestępczość 2.0 (TAPT 2014)
Cyberprzestępczość 2.0 (TAPT 2014)
Adam Ziaja
 
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
PwC Polska
 
Nowy standard płatności mobilnych
Nowy standard płatności mobilnychNowy standard płatności mobilnych
Nowy standard płatności mobilnychWojciech Boczoń
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcji
SecuRing
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Michał Olczak
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 
Bezpieczenstwo Kanalow elektronicznych (generic )
Bezpieczenstwo Kanalow elektronicznych (generic )Bezpieczenstwo Kanalow elektronicznych (generic )
Bezpieczenstwo Kanalow elektronicznych (generic )
Grzegorz DLUGAJCZYK
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
SecuRing
 
Kongres Mobilny: Dariusz Mazurkiewicz, Polski Standard Płatności (BLIK)
Kongres Mobilny: Dariusz Mazurkiewicz, Polski Standard Płatności (BLIK)Kongres Mobilny: Dariusz Mazurkiewicz, Polski Standard Płatności (BLIK)
Kongres Mobilny: Dariusz Mazurkiewicz, Polski Standard Płatności (BLIK)
ecommerce poland expo
 
II Kongres eHandlu: Wojciech Chochołowicz, Gino Rossi i Jarosław Królewski, H...
II Kongres eHandlu: Wojciech Chochołowicz, Gino Rossi i Jarosław Królewski, H...II Kongres eHandlu: Wojciech Chochołowicz, Gino Rossi i Jarosław Królewski, H...
II Kongres eHandlu: Wojciech Chochołowicz, Gino Rossi i Jarosław Królewski, H...
ecommerce poland expo
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
Logicaltrust pl
 
ATMdrive.pl
ATMdrive.plATMdrive.pl
ATMdrive.plAdamSirocki
 
Raport „Środowisko bezpieczeństwa klientów bankowości elektronicznej”
Raport „Środowisko bezpieczeństwa klientów bankowości elektronicznej”Raport „Środowisko bezpieczeństwa klientów bankowości elektronicznej”
Raport „Środowisko bezpieczeństwa klientów bankowości elektronicznej”
Pawel Wawrzyniak
 
Internet of information
Internet of informationInternet of information
Internet of information
Magda Borowik
 
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
SecuRing
 

More Related Content

Viewers also liked

Bezpieczeństwo w bankowości widziane oczami mediów
Bezpieczeństwo w bankowości widziane oczami mediówBezpieczeństwo w bankowości widziane oczami mediów
Bezpieczeństwo w bankowości widziane oczami mediówBykSebaj
 
Nowe technologie a bezpieczeństwo
Nowe technologie a bezpieczeństwoNowe technologie a bezpieczeństwo
Nowe technologie a bezpieczeństwoKasia Horsten-Szemro
 
Rekrutacja elektroniczna 2014
Rekrutacja elektroniczna 2014Rekrutacja elektroniczna 2014
Rekrutacja elektroniczna 2014tomaszkarwas
 
BezpieczeńStwo Danych W Sieci
BezpieczeńStwo Danych W SieciBezpieczeńStwo Danych W Sieci
BezpieczeńStwo Danych W Sieci
rakowski.jakub
 
Bezpieczeństwo w Internecie
Bezpieczeństwo w InternecieBezpieczeństwo w Internecie
Bezpieczeństwo w Interneciemarecki_wepa_1982
 
Bezpieczeństwo w sieci1
Bezpieczeństwo w sieci1Bezpieczeństwo w sieci1
Bezpieczeństwo w sieci1
tomaszkarwas
 
Building the Digital Branch: Feb. 2016
Building the Digital Branch: Feb. 2016Building the Digital Branch: Feb. 2016
Building the Digital Branch: Feb. 2016
ALATechSource
 
Cyberprzestępczość 2.0 (TAPT 2014)
Cyberprzestępczość 2.0 (TAPT 2014)Cyberprzestępczość 2.0 (TAPT 2014)
Cyberprzestępczość 2.0 (TAPT 2014)
Adam Ziaja
 
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
PwC Polska
 

Viewers also liked (9)

Bezpieczeństwo w bankowości widziane oczami mediów
Bezpieczeństwo w bankowości widziane oczami mediówBezpieczeństwo w bankowości widziane oczami mediów
Bezpieczeństwo w bankowości widziane oczami mediów
 
Nowe technologie a bezpieczeństwo
Nowe technologie a bezpieczeństwoNowe technologie a bezpieczeństwo
Nowe technologie a bezpieczeństwo
 
Rekrutacja elektroniczna 2014
Rekrutacja elektroniczna 2014Rekrutacja elektroniczna 2014
Rekrutacja elektroniczna 2014
 
BezpieczeńStwo Danych W Sieci
BezpieczeńStwo Danych W SieciBezpieczeńStwo Danych W Sieci
BezpieczeńStwo Danych W Sieci
 
Bezpieczeństwo w Internecie
Bezpieczeństwo w InternecieBezpieczeństwo w Internecie
Bezpieczeństwo w Internecie
 
Bezpieczeństwo w sieci1
Bezpieczeństwo w sieci1Bezpieczeństwo w sieci1
Bezpieczeństwo w sieci1
 
Building the Digital Branch: Feb. 2016
Building the Digital Branch: Feb. 2016Building the Digital Branch: Feb. 2016
Building the Digital Branch: Feb. 2016
 
Cyberprzestępczość 2.0 (TAPT 2014)
Cyberprzestępczość 2.0 (TAPT 2014)Cyberprzestępczość 2.0 (TAPT 2014)
Cyberprzestępczość 2.0 (TAPT 2014)
 
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
 

Similar to Bezpieczenstwo platnosci elektronicznych

Nowy standard płatności mobilnych
Nowy standard płatności mobilnychNowy standard płatności mobilnych
Nowy standard płatności mobilnychWojciech Boczoń
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcji
SecuRing
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Michał Olczak
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 
Bezpieczenstwo Kanalow elektronicznych (generic )
Bezpieczenstwo Kanalow elektronicznych (generic )Bezpieczenstwo Kanalow elektronicznych (generic )
Bezpieczenstwo Kanalow elektronicznych (generic )
Grzegorz DLUGAJCZYK
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
SecuRing
 
Kongres Mobilny: Dariusz Mazurkiewicz, Polski Standard Płatności (BLIK)
Kongres Mobilny: Dariusz Mazurkiewicz, Polski Standard Płatności (BLIK)Kongres Mobilny: Dariusz Mazurkiewicz, Polski Standard Płatności (BLIK)
Kongres Mobilny: Dariusz Mazurkiewicz, Polski Standard Płatności (BLIK)
ecommerce poland expo
 
II Kongres eHandlu: Wojciech Chochołowicz, Gino Rossi i Jarosław Królewski, H...
II Kongres eHandlu: Wojciech Chochołowicz, Gino Rossi i Jarosław Królewski, H...II Kongres eHandlu: Wojciech Chochołowicz, Gino Rossi i Jarosław Królewski, H...
II Kongres eHandlu: Wojciech Chochołowicz, Gino Rossi i Jarosław Królewski, H...
ecommerce poland expo
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
Logicaltrust pl
 
Raport „Środowisko bezpieczeństwa klientów bankowości elektronicznej”
Raport „Środowisko bezpieczeństwa klientów bankowości elektronicznej”Raport „Środowisko bezpieczeństwa klientów bankowości elektronicznej”
Raport „Środowisko bezpieczeństwa klientów bankowości elektronicznej”
Pawel Wawrzyniak
 
Internet of information
Internet of informationInternet of information
Internet of information
Magda Borowik
 
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
SecuRing
 
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Pawel Krawczyk
 
Wpływ "customer journey" na obsługę klienta bankowego – postaw na „user exper...
Wpływ "customer journey" na obsługę klienta bankowego – postaw na „user exper...Wpływ "customer journey" na obsługę klienta bankowego – postaw na „user exper...
Wpływ "customer journey" na obsługę klienta bankowego – postaw na „user exper...
ITMAGINATION
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
SecuRing
 
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...ecommerce poland expo
 
Mobilny Portfel 2017
Mobilny Portfel 2017Mobilny Portfel 2017
Mobilny Portfel 2017
Mikhail Miroshnichenko
 
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.
Cybersecurity Foundation
 
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 RokuRaport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku
Cybersecurity Foundation
 

Similar to Bezpieczenstwo platnosci elektronicznych (20)

Nowy standard płatności mobilnych
Nowy standard płatności mobilnychNowy standard płatności mobilnych
Nowy standard płatności mobilnych
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcji
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
 
Bezpieczenstwo Kanalow elektronicznych (generic )
Bezpieczenstwo Kanalow elektronicznych (generic )Bezpieczenstwo Kanalow elektronicznych (generic )
Bezpieczenstwo Kanalow elektronicznych (generic )
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
 
Kongres Mobilny: Dariusz Mazurkiewicz, Polski Standard Płatności (BLIK)
Kongres Mobilny: Dariusz Mazurkiewicz, Polski Standard Płatności (BLIK)Kongres Mobilny: Dariusz Mazurkiewicz, Polski Standard Płatności (BLIK)
Kongres Mobilny: Dariusz Mazurkiewicz, Polski Standard Płatności (BLIK)
 
II Kongres eHandlu: Wojciech Chochołowicz, Gino Rossi i Jarosław Królewski, H...
II Kongres eHandlu: Wojciech Chochołowicz, Gino Rossi i Jarosław Królewski, H...II Kongres eHandlu: Wojciech Chochołowicz, Gino Rossi i Jarosław Królewski, H...
II Kongres eHandlu: Wojciech Chochołowicz, Gino Rossi i Jarosław Królewski, H...
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
 
ATMdrive.pl
ATMdrive.plATMdrive.pl
ATMdrive.pl
 
Raport „Środowisko bezpieczeństwa klientów bankowości elektronicznej”
Raport „Środowisko bezpieczeństwa klientów bankowości elektronicznej”Raport „Środowisko bezpieczeństwa klientów bankowości elektronicznej”
Raport „Środowisko bezpieczeństwa klientów bankowości elektronicznej”
 
Internet of information
Internet of informationInternet of information
Internet of information
 
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
 
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
 
Wpływ "customer journey" na obsługę klienta bankowego – postaw na „user exper...
Wpływ "customer journey" na obsługę klienta bankowego – postaw na „user exper...Wpływ "customer journey" na obsługę klienta bankowego – postaw na „user exper...
Wpływ "customer journey" na obsługę klienta bankowego – postaw na „user exper...
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
 
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
 
Mobilny Portfel 2017
Mobilny Portfel 2017Mobilny Portfel 2017
Mobilny Portfel 2017
 
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.
 
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 RokuRaport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku
 

Bezpieczenstwo platnosci elektronicznych

  • 1. Cyberbezpieczeństwo płatności w bankowości mobilnej Michał Olczak koordynator bezpieczeństwa Lider zespołu rozwoju bankowości mobilnej oraz internetowej
  • 2. 2 AGENDA • Cyberbezpieczeństwo płatności • Bankowość mobilna a internetowa • Bieżąca sytuacja • Co może nas czekać wkrótce • Podsumowanie
  • 4. E-commerce to około 26 mld PLN Prognozy na rok 2020 to 90 mld PLN (co 2 złotówka wydawana) Gwałtowny rozwój aplikacji mobilnych oraz płatności. SMS / BLIK / PeoPay / HCE Rynek m-płatności na świecie do roku 2017 osiągnie wartość 1 tryliona USD [Forrester] 4 Cyberbezpieczeństwo płatności
  • 5. 5 Bezpieczeństwo płatności 25% transakcji w cyberprzestrzeni to płatności mobilne 3,5 mln Polaków korzystających z bankowości mobilnej Czy jest bezpieczenie?
  • 7. 7 Bankowość mobilna a internetowa Porównanie zabezpieczeń w bankowości mobilnej i internetowej: • bezpieczeństwo aplikacji natywnych vs aplikacje i przeglądarki na PC • bezpieczeństwo WebView oraz aplikacji webowych • silne uwierzytelnianie • uwierzytelnianie urządzeń • biometria jako dodatkowy czynnik Wytyczne rekomendacji KNF w zakresie bezpieczeństwa płatności elektronicznych (z wyłączeniem mobile)
  • 8. 8 Bankowość mobilna a internetowa Podobne problemy: uprawnienia administratora, szyfrowanie, uwierzytelnianie, autoryzacja, mobile to kanał, który przechodzi przez te same problemy co desktop. Bezpieczeństwo WebView oraz aplikacji webowych (OWASP Top 10): Dużo problemów typu XSS, XSA, dużo zmian w 2014 roku Silne uwierzytelnianie : w internecie głównie kanał SMS, na mobile traci sens jeśli używamy na tym samym urządzeniu, plus malware przechwytujący
  • 9. 9 Rekomendacja KNF Obowiązuje od 1 lutego 2015 Wybrane elementy z rekomendacji: • Polityka bezpieczeństwa płatności internetowych • Dobre praktyki dla dostawców • Spójne i zintegrowane podejście do monitorowania, obsługi i działań następczych w stosunku do incydentów • Procedurę niezwłocznego informowania właściwych organów (tj. organów nadzoru oraz organów ds. ochrony danych) • Procedurę współpracy z właściwymi organami ścigania w zakresie incydentów bezpieczeństwa • Dzienniki zdarzeń pozwalające na śledzenie wprowadzania nowych oraz modyfikowania i usuwania istniejących danych transakcji i poleceń zapłaty • Dostawcy usług płatniczych powinni analizować dane transakcji i poleceń zapłaty oraz posiadać narzędzia do oceny dzienników zdarzeń.
  • 10. 10 Zabezpieczenia Bezpieczne wytwarzanie bankowości mobilnej: • Audyt ISO 27k • OWASP ASVS • testy penetracyjne • silne uwierzytelnianie Monitorowanie działającego systemu: • wykrywanie oszustw (czarne listy, analiza behawioralna, anomalie) • wykrywanie incydentów (detekcja wewnętrzna/zewnętrzna) • procedury/zespół reagowania (CERT/CSIRT/SOC)
  • 12. 12 Bieżąca sytuacja W 2014, malware na platformę Android poza oficjalnym sklepem. Liczba złośliwego oprogramowania mobilnego tylko w IV kwartale 2014 r. wzrosła o 14%. [źródło: Intel] Wykryte oprogramowanie typu malware w oficjalnym sklepie Android, głównie naruszenie prywatności. Potwierdzone przypadki podmiany ruchu z użyciem ataków na rutery domowe.
  • 13. 13 Bieżąca sytuacja W 2014 pierwsze przypadki ataków typu ransomware na platformie OS (szacunkowo 30% płaci) 35 mln PLN w 2014 wykradzione przez cyberprzestępców z użyciem malware, źródło TVP2
  • 14. 14 Bieżąca sytuacja 70% brak wsparcia 2FA 40% akceptuje dowolny certyfikat SSL wg badania IOActive 40 bankowych aplikacji 2014
  • 15. 15 Co może nas czekać wkrótce
  • 16. 16 Trendy w zagrożeniach (FireEye 2014) Android luki wzrost o 188% od 2011 iOS luki wzrost o 262% od 2011 31% aplikacji z Google Play ściąganych co najmniej 50,000 zawiera luki umożlwiające zdalny dostęp BYOD
  • 17. 17 PODSUMOWANIE • Cybergospodarka (mobile centric) a cyberprzestępcy • Warto analizować ryzyka cyklicznie (Agile) by być gotowym na nadchodzące zagrożenia • Bezpieczeństwo płatności mobilnych to proces podobny do tego jaki przechodziła bankowość elektroniczna
  • 18. Dziękuję i proszę o pytania ;) Michał Olczak michal.olczak@bzwbk.pl @michalolczak pl.linkedin.com/in/michal0lczak 20