bezpieczenstwo kanalow elektronicznych (generic )
TRANSCRIPT
Innowacja Technologii ICT vs Człowiek
Bezpieczeństwo Kanałów Elektronicznych
Grzegorz Dlugajczyk CISSO, CSLO, CPEH, CNFE, CVA
Katowice, 7 czerwiec 2016r.
Do not put content
on the brand
Rozwój kanałów elektronicznych w Polsce
wczoraj
dzisiaj
2011 2012 2013 2014 2015
2012 2013 2014 2015
Liczba użytkowników bankowości internetowej w Polsce (mln)
Liczba użytkowników bankowości mobilnej w Polsce (mln)
+ ~46 %
+ ~5000 %
Źródło: Rynek bankowości internetowej - Związek Banków Polskich
IoT
17,7620,80
21,86
25,1130,30
0,11
2,5
3,48
5,07
Źródło: Rynek bankowości mobilnej - Związek Banków Polskich
jutro
Do not put content
on the brand
Ankieta KNF – wynik badania świadomości zagrożeń w sieci
https://www.knf.gov.pl/Images/KNF_badanie_14012016_tcm75-44164.pdf
Do not put content
on the brand
Przykładowe kanały dostępu oraz metody zabezpieczeń
Użytkownik
Contact Centre
Strona internetowa
Aplikacja mobilna
Co-browsing
Oddział Banku
Terminal (POS/ATM)
Karta płatnicza
BLIK
VoIP/Chat/Video
BANK
Token sprzętowe
Token programowy
Podpis elektroniczny
PIN
Dokument tożsamości
Biometria
Pytania kontrolne
Kody jednorazowe
Hasło + OTP
Hasło + Captcha
Do not put content
on the brand
Prawdopodobieństwo wystąpienia ryzyka:
Małe Średnie Duże
Kto może być zagrożony
Klient indywidualny
Małe lub średniePrzedsiębiorstwo
Duże Przedsiębiorstwo
Podatność(świadomość zagrożenia)
Bezpieczeństwo(słabość zabezpieczeń)
Osiągnięte korzyści(profit)
Apetyt na ryzyko
Do not put content
on the brand
Kiedy występuję zagrożenie ataku
BANK
Punkt dostępudo sieci internet np. WiFi, router
Podatność systemu operacyjnego np. Windows
Android, itd
• złośliwy SMS/MMS• złośliwa aplikacja• duplikat karty GSM
Malware / trojan np. zeus
Podatność przeglądarkilub wtyczek
• przechwycenie danych identyfikujących tożsamość
• przechwycenie danych uwierzytelniających i autoryzacji
• nieautoryzowana modyfikacja transakcji / przelewu
• nr telefonu• przelewy wzorcowe• sposób autoryzacji
przejęcie komunikacji C&C
MiTMMiTB
Inżynieria społeczna
fałszywa strona
Do not put content
on the brand
Ryzyko ataku na urządzenie dostępowe
Bots
Spam Zombie
Click Fraud zombie
DDoS Zombie
Anonymous Proxy
Fake Web Serwer
Phishing site
Malware Download site
Warez/Piracy site
Spam site
Personality
Stealing personality
Fraud activities
Privacy disclosure
Reputation hijacking
Virtual personality
Access to mailboxes
Email havesting data
Email harvesting contact
Fake mail serwer
Do not put content
on the brand
Bezpieczeństwo – bankowość elektroniczna
instaluj aplikacje mobilne tylko z zaufanych źródeł i ogranicz wykonywanie płatnościelektronicznych z obcych urządzeń lub źródeł niezaufanych (np. nieznane WiFi)
weryfikuj i aktualizuj dane osobowe w systemach bankowości elektronicznej (np. telefon,adres zamieszkania)
nie otwieraj emaili lub SMS/MMS z URL, które wskazują na konieczność zalogowania się dobankowości elektronicznej (phishing)
posiadaj świadomość kanałów, z których korzystasz oraz zagrożeń im towarzyszących
wykonuj regularną aktualizację systemu operacyjnego dla urządzenia, z któregokorzystasz
zdefiniuj limity dla kanałów, z których korzystasz i deaktywuj te, z których nie korzystasz
Klient indywidualny
Do not put content
on the brand
Bezpieczeństwo – bankowość elektroniczna
wykonuj regularne akcje uświadamiające dla swoich pracowników i wskazujsposób reagowania i zgłaszania incydentów bezpieczeństwa w firmie
wyodrębnij stanowiska komputerowe tylko do usług płatności elektronicznych,wyposażając je w techniczne systemy prewencyjne typu antyMalware,antySpyware oraz regularnie aktualizuj systemy i aplikacje tam zainstalowane
wprowadź procedury akceptacji dużych płatności oraz limity dla kanałów dostępu
poinformuj niezwłocznie Bank, jeżeli twoje konto bankowe mogło zostaćskompromitowane, zmieniając hasło z innego zaufanego urządzenia lub kanałudostępu do bankowości elektronicznej.
monitoruj stan konta i weryfikuj regularnie wykonane płatności / historię zmian nafirmowych rachunkach
Klient korporacyjny
Do not put content
on the brand
IoT
http://www.engadget.com/2016/02/22/visa-iot-payments-cars/
IoT nowym wyzwaniem w kanałach płatności elektronicznych
Innowacja & Wygoda
Bezpieczeństwo
DZIĘKUJĘ
Grzegorz Dlugajczyk | Business Manager
Departament Zarządzania Ryzykiem Operacyjnym
ING BANK
ul. Sokolska 34, 40-090 Katowice