ZAGROŻENIA BANKOWYCH

SYSTEMÓW

INFORMATYCZNYCH

• Zagrożenia (threat) – potencjalna groźba naruszeń

bezpieczeństwa BSI.

• Bierne (podsłuch, analiza ruchu w sieci) oraz czynne

(modyfikacja lub niszczenie zasobów, celowa
dezinformacja).

• Wewnętrzne (spowodowane przez legalnych

użytkowników systemu) oraz zewnętrzne (hakerzy).

• Przypadkowe (błędy i przeoczenia użytkowników,

awarie sprzętowe, błędy w oprogramowaniu) oraz
celowe (świadome działanie użytkowników).

• Sprzętowe (hardware) i programowe (software).
• Np. wprowadzenie błędnej kwoty transakcji przez

kasjera to zagrożenie czynne, wewnętrzne,
przypadkowe i programowe.

KLASYFIKACJA ATAKÓW NA

BEZPIECZEŃSTWO BSI

• Atak – celowa (a nie przypadkowa) próba

naruszenia bezpieczeństwa BSI

Z

M

Z

M

Z

M

M

Z

PRZERWANIE

PODROBIENIE

MODYFIKACJA

PRZECHWYCENIE

Źródło
informacji

Źródło
informacji

Miejsce
przeznaczenia
informacji

Miejsce
przeznaczenia
informacji

OSZUSTWA BANKOWE

•Operowanie czekami bez pokrycia.
•Fałszowanie zastawów i gwarancji na zaciągane

kredyty.

•Operacje dotyczące depozytów i zawartości

skarbców bankowych.

•”Czyszczenie" pieniędzy pochodzących z

transakcji nielegalnych (handel bronią i
narkotykami), "lewe konta”.

•Operacje gotówkowe (przetrzymywanie gotówki

na kontach).

•Podrabianie, fałszowanie kart kredytowych,

manipulacje w bankomatach.

•Włamania komputerowe przez sieć.

WYBRANE INFORMACJE O

PRZESTĘPSTWACH

BANKOWYCH

• PL - w 1997 r. transakcje oszukańcze to 0,21%

wartości sprzedaży, w 2000 r. to 0,15%. W Europie

to 0,07%.

• PL -w 2000 r. na 55 mln transakcji o wartości 9,7

mld zł wyłudzono 12,4 mln zł.

• PL - w 2000 r. było 10 tys. oszustw z kartami, przy

rocznej dynamice przekraczającej 50%.

• Średnie straty banków USA wynikające z

klasycznego napadu z bronią w ręku to 8 tys $, jedno

oszustwo komputerowe to strata rzędu 500 tys. $.

• Łączne straty w wyniku oszustw komputerowych w

USA to 10 mld $ rocznie.

• Np. rosyjscy hakerzy w 1995 roku dokonali w

Citibanku nielegalnych operacji na kwotę 12 mln $.

PRZYKŁADY PRZESTĘPSTW

• Fałszywe bankomaty, wypłacające prawdziwe

pieniądze po to aby rejestrować kody PIN oraz

informacje zapisane na kartach, w celu późniejszego

"wyczyszczenia" kont klientów.

• Mikrokamery rejestrujące PIN podawane w

bankomatach.

• Kasjerki POS z uprawnieniami do ręcznej autoryzacji

dokonujące zakupów na numer karty obcej osoby.

• Podwójne obciążanie konta klienta za ten sam zakup.

• Skopiowanie zawartości paska magnetycznego karty

na zapleczu (skimming) i dokonywanie zakupów w

„dziuplach”.

• Zakupy w Internecie na podstawie numeru karty i

czasu jej ważności (informacje dostępne na każdym

kwicie z POS)

• Klient zakłada konto z XX zł na fałszywy dowód,

pobiera kartę, za parę dni w bankomatach wypłaca

całą kwotę i natychmiast zjawia się w banku po cały

depozyt.

PRZYKŁADY Z POLSKI

• ZUS o/Warszawa - dopisywano do systemu

martwe dusze, którym przyznawano emerytury.
Pieniądze odbierano przez znajomych.

• ZUS o/Gdańsk - „uśmiercano” emerytów (nie był

potrzebny akt zgonu) pobierano zapomogę
pośmiertną a potem w systemie ich
reanimowano.

• Bank X o/Bydgoszcz - informatyk przelewał w

piątek wieczorem na swoje konto piątkowe
wpłaty a następnie w poniedziałek rano
przelewał je z powrotem na konta klientów.
Odsetki wyniosły ponad 3 mln zł. Sprawca uciekł
za granicę.

PRZYKŁADY ZE ŚWIATA

• Andriej Rublov i jego druzja - hackerzy z Czeczeni.

W 1994 r. ukradli z banków w Rosji ponad 300 mln
$ doprowadzając do kryzysu w rosyjskim systemie
bankowym w 1995 r. Rekord zagarniętych sum.

• Deri S. - 16-letni uczeń z Izraela włamuje się do

Pentagonu, VISA, sieci telekomunikacyjnej Izraela.
Uzyskuje tysiące kodów kart kredytowych Visa.

• Władymir Lewin - 24-letni haker z Petersburga w

1996 r. próbuje przetransferować z nowojorskiego
Citibanku 12 mln $ ale kradnie tylko 400 tys. $. W
1998 r. po ekstradycji do USA skazany na 3 lata
więzienia.

STATYSTYKA ZAGROŻEŃ BSI

Źródła

zagrożeń

% Sprawcy

przestępstw

%

Pomyłki

54 Urzędnicy

50

Awarie

sprzętu

20 Kadra kierownicza 22

Nieuczciwy

personel

10 Pracownicy

przetwarzania

danych

11

Niezadowolo

ny personel

9 Kasjerzy

7

Wirusy

4 Inni

10

Ataki z

zewnątrz

3

ŹRÓDŁA ZAGROŻEŃ

• Błędy i przeoczenia personelu
• Działania nieuczciwych i niezadowolonych

pracowników

• Zagrożenia fizyczne
• Wirusy i krakerzy

BŁĘDY I PRZEOCZENIA

PERSONELU

• Przypadkowe ujawnienie informacji przez operatora
• Niezamierzone ujawnienie hasła dostępu
• Wykorzystywania słabych haseł
• Przypadkowe wprowadzenie niewłaściwych danych
• Przypadkowa zmiana atrybutów pliku i praw dostępu
• Przypadkowe usunięcie istotnych danych z dysku
• Przypadkowa zmiana parametrów aplikacji
• Przypadkowa dezorganizacji relacji w bazie danych
• Niezamierzone zaniedbanie w tworzeniu backup’u
• Niezamierzone pozostawienie włączonego komputera
• Zagubienie karty identyfikacyjnej
• Nieumyślne wprowadzenie wirusa komputerowego

DZIAŁANIA NIEUCZCIWYCH I

NIEZADOWOLONYCH

PRACOWNIKÓW

• Transferowanie wartości pieniężnych na prywatne

konta.

• Umyślna modyfikacja niszczenie zasobów systemu.

• Świadome ujawnianie osobom postronnym tajemnic

związanych z pracą w systemie.

• Celowe wprowadzanie wirusów komputerowych.

• Kopiowanie poufnych informacji na zewnętrzne nośniki.

• Świadome unieruchamianie bądź powodowanie awarii

sprzętu.

• Uruchamianie programów z zewnątrz (gry,

komunikacja)

• Powodowanie fałszywych alarmów w celu uśpienia

czujności administratora systemu.

• Tworzenie i wykorzystywanie ukrytych kanałów (covert

channel) do przysłania poufnych informacji osobom

nieupoważnionym.

ZAGROŻENIA FIZYCZNE

• Losowa zawodność sprzętu.
• Zanik zasilania w sieci energetycznej.
• Awaria sprzętu.
• Utrata danych w wyniku zniszczenia dysku

bądź innych zewnętrznych nośników
danych.

• Włamania do budynku, zalania, pożary.
• Klęski żywiołowe, powodzie, huragany,

trzęsienia ziemi.

ŚRODKI OCHRONY BSI

1. Poziomy zabezpieczeń
2. Środki fizyczne
3. Środki techniczne
4. Środki programowe
5. Środki kontroli dostępu
6. Środki kryptograficzne
7. Środki organizacyjne
8. Środki prawne

POZIOMY ZABEZPIECZEŃ

• Komputer osobisty (terminal, klient) i jego

system operacyjny – hasła dostępu na poziomie

BIOS.

• Sieciowy system operacyjny – hasła dostępu,

prawa dostępu, grupy użytkowników, ślady

audytowe, programy śledzące, firewall,

kryptografia.

• System zarządzania bazą danych – regulowanie

zakresu dostępu do danych na poziomie pól

bazy danych.

• Oprogramowanie aplikacyjne – mechanizmy

identyfikacji i uwierzytelniania, ograniczenie

praw dostępu do zasobów i funkcji.

• Poziom fizyczny – podtrzymywanie napięcia w

sieci, zabezpieczenia antywłamaniowe i

przeciwpożarowe.

• Poziom organizacyjny

ŚRODKI FIZYCZNE

• Urządzenia przeciwwłamaniowe.
• Sejfy.
• Alarmy.
• Urządzenia ochrony przeciwpożarowej.
• Odpowiednie przystosowanie pomieszczeń

do pracy z komputerami.

• Rozwiązania architektoniczne (lokalizacja

ośrodka obliczeniowego wewnątrz
budynku).

• Urządzenia klimatyzacyjne.

ŚRODKI TECHNICZNE

• Urządzenia podtrzymujące zasilanie.

• Karty magnetyczne i mikroprocesorowe.

• Urządzenia biometryczne do identyfikacji osób na

podstawie linii papilarnych, głosu, siatkówki oka.

• Urządzenia do tworzenia kopii zapasowych wraz

z procedurami i metodami ich wykorzystania.

• Zapory ogniowe (firewall) i serwery Proxy.

• Sprzętowe blokady dostępu do klawiatur,

napędów dysku.

• Urządzenia do ochrony przed emisją ujawniającą.

• Optymalizacja konfiguracji sprzętowej

komputerów.

• Dublowanie okablowania.

• Dublowanie centrów obliczeniowych i baz

danych.

ŚRODKI PROGRAMOWE

• Dzienniki systemowe (logi) – pozwalają na

identyfikację działalności użytkowników.

• Programy śledzące – pozwalają na

monitoring pracy użytkowników w czasie
rzeczywistym.

• Mechanizmy rozliczania – identyfikują

wykonawców operacji w systemie.

• Programy antywirusowe.
• Programy wykrywające słabe hasła.
• Mechanizmy zabezpieczenia statystycznych

baz danych.

• Kody korekcyjne - do identyfikacji i poprawy

błędów transmisji danych.

KONTROLA DOSTĘPU DO

SYSTEMU

• Uwierzytelnienie użytkownika przez

system, na podstawie tego co użytkownik
- ZNA (hasła, PIN),
- MA (karta magnetyczna, token),
- KIM JEST (metody biometryczne)

• Rozwiązania mieszane, np. karta z hasłem

i PIN-em.

METODY KONTROLI

DOSTĘPU

JEST

MA

ZNA

G

C

F

E

D

A

B

A - hasło
B - identyfikator
C - odcisk palca

G – identyfikator
ze zdjęciem i hasło

D – karta magnetyczna
i PIN
E – karta inteligentna
ze wzorcem
F - odcisk palca i PIN

WADY I ZALETY METOD

KONTROLI DOSTĘPU

Wyszczególni
enie

Wady

Zalety

Co użytkownik

ZNA

Brak możliwości

udowodnienia prawa
własności
użytkownika do
danej informacji

Łatwość implementacji,

wygoda użytkownika

Co użytkownik
MA

Brak możliwości
udowodnienia prawa
własności

użytkownika do
danej rzeczy,
zawodność

techniczna kart

Wysokie koszty i
techniczne problemy
związane z

podrabianiem kart

Kim

użytkownik
JEST

Wysokie koszty

urządzeń
rozpoznających

Duża efektywność

wynikająca z dużej
stałości w czasie cech
charakterystycznych
człowieka, wygoda

użytkownika

KONTROLA DOSTĘPU DO

ZASOBÓW

• Kombinacja praw użytkownika do pisania, czytania

i wykonywania zasobu.

• Kontrola dyskrecjonalna – każdy dostęp

użytkownika do zasobu wymaga kontroli

uprawnień. W zależności od typu odpowiedzi na

pytania o prawa dostępu:

- jest dostęp, gdy odpowiedź jest pozytywna

- jest dostęp, gdy brak jest odpowiedzi negatywnej.

• Kontrola obowiązkowa – każdy zasób i użytkownik

ma przyporządkowany poziom bezpieczeństwa.

Obowiązuje zasada czytania w dół oraz pisania w

górę.

• Kontrola zależna od zadań – tworzone są zadania

do których przypisuje się zasoby niezbędne do ich

wykonania. Zadania (wraz z dostępem do zasobów)

są przypisane użytkownikom.

KONTROLA DOSTĘPU DO

ZASOBÓW

•

Mechanizmy sterowania dostępem:

- Hierarchia dostępu – automatyczne przyznanie

uprzywilejowanym użytkownikom prawa będącego

nadzbiorem praw użytkowników mniej uprzywilejowanych.

- Macierz dostępu – zawiera dane dotyczące praw dostępu

użytkowników do zasobów systemu.

- Lista możliwości, których posiadanie bezwarunkowo

pozwala na dostęp do zasobu.

•

Procedura przyznawania praw dostępu do zasobów:

- scentralizowana – odpowiada jedna osoba,

- hierarchiczna – główny administrator przyznaje prawa

podadministratorom

- zdecentralizowany – właściciel zasobu upoważnia inne

osoby,

- samodzielny – każdy użytkownik przydziela innym

użytkownikom prawa dostępu do zasobów przez siebie

tworzonych,

- dzielony – jednoczesna współpraca kilku uprawnionych

użytkowników.

ŚRODKI PRAWNE

1.

Ustawa o ochronie tajemnicy państwowej i służbowej

(DzU 1982 nr 40)

2.

Ustawa o ochronie danych osobowych (DzU 1997 nr

133)

3.

Ustawa o ochronie informacji niejawnych (DzU 1999

nr 11)

4.

Prawo bankowe (DzU 1997 nr 140)

5.

Kodeks pracy (DzU 1974 nr 24)

6.

Kodeks karny (DzU 1997 nr 88)

7.

Tajemnica przedsiębiorstwa (DzU 1993 nr 47 –

ustawa o zwalczaniu nieuczciwej konkurencji)

8.

Tajemnica skarbowa (DzU 1997 nr 137)

9.

Ustawa o ochronie osób i mienia (DzU 1997 nr 144)

10.

Inne: ustawa o statystyce publicznej, uchwała o

zapobieganiu prania pieniędzy

11.

Zalecenia i regulacje NBP, np. rekomendacja D z

20.X.1997 dot. zarządzania ryzykiem towarzyszącym

systemom informatycznym i telekomunikacyjnym.