Bezpieczenstwo w transakcjach finansowych

BEZPIECZECSTWO W TRANSAKCJACH FINANSOWYCH
Do głównych atrybutów bezpieczeństwa bankowości elektronicznej wyróżnia się:
q� Poufność informacji (confidentiality) to takie przekształcenie informacji, aby była ona niemożliwa do
odczytania przez inną osobę poza właściwym odbiorcą
q� Autentyfikacja - stwierdzanie autentyczności (authentication) polega na upewnieniu się, że nadawca jest
tym, za kogo (za co) się podaje.
q� Integralność danych (integrity) polega na upewnieniu się, że w trakcie transmisji zawartość przesyłki nie
została naruszona - czyli, że nikt nie przechwycił np. naszego listu, nie zmienił jego zawartości i nie odesłał go
do nas.
q� Niezaprzeczalność nadania (non-repudiation) to usługa chroniąca przed możliwością wyparcia się przez
nadawcę wysłania określonej informacji. Usługa niezaprzeczalności dostarcza dowodu co do integralności
informacji i autentyczności nadawcy.
q� dostępność wyraża się w gwarancji stałego dostępu do systemów bankowości elektronicznej,
q� niezawodność poprawne i bezawaryjne działanie systemu, spełniający potrzeby klientów1.
yródła ataków na bezpieczeństwo systemów informatycznych
Miejsce Miejsce
przeznaczenia przeznaczenia
yródło yródło
informacji informacji
informacji informacji
PRZERWANIE PRZECHWYCENIE
Miejsce Miejsce
przeznaczenia przeznaczenia
yródło yródło
informacji informacji
informacji informacji
MODYFIKACJA PODROBIENIE
yródło: D. Wawrzyniak: Bezpieczeństwo bankowości elektronicznej [w] Praca zbiorowa pod red. A. Gospodarowicza:
Bankowość elektroniczna, Warszawa 2005
Wyróżnić można:
Zagrożenia ze strony serwera prowadzą do przejęcia lub zniszczenia jego zasobów.
q� Głównie za pomocą różnorakich programów wkraczających w systemy informatyczne - bakterie, robaki i
konie trojańskie.
q� Bakterie używane są w celu powielania się, które niszczy system w skutek jego zablokowania, robaki
przenoszą się z systemu do systemu i pozostawiają bakterie i wirusy. Z kolei konie trojańskie naruszają
bezpieczne działanie systemu najczęściej poprzez wykradanie haseł, udając przy okazji dokonanie
bezpiecznych operacji.
q� Zagrożeniem serwera jest także bomba logiczna, czyli ukryty fragment programu specjalnie uruchamiany w
ustalonym czasie lub po zakończeniu określonej czynności.
q� Serwerom zagrażają także wejścia umożliwiające ominięcie zabezpieczeń, zwane inaczej furtkami, ataki na
bazy danych, sabotaż komputerowy oraz cyberterroryzm.
q� Niebezpieczne są również działania ze strony personelu banku, czyli błędy i niedociągnięcia pracowników
banku a także nieuczciwość osób administrujących system.
q� Niebezpieczeństwo dla serwera stwarzają zagrożenia losowe i środowiskowe, tj. powodzie, pożary, burze,
awarie zasilania, kurz.
1
Por. P. Laskowski: Bezpieczeństwo elektronicznych operacji bankowych. Wałbrzyska Wyższa Szkoła Zarządzania i
Przedsiębiorczości, Wałbrzych 2008, s. 194
Zagrożenia ze strony klienta przede wszystkim wiążą się z procedurami logowania się do systemu i z pracą z
wykorzystaniem oprogramowania.
q� Dyskredytacja zabezpieczeń dostępu do systemu, czyli ujawnienie loginu, hasła, kodu PIN, listy haseł
jednorazowych oraz innych, najczęściej poprzez sprawdzenie wszystkich możliwości. Zjawisko to nosi nazwę
krackingu.
q� Klient może stać się ofiarą phishingu, oszustwa polegającego na wysłaniu maila do klienta z prośbą o
zalogowanie się na podrobionej, bardzo podobnej stronie banku.
q� Stosowanie niewystarczających zabezpieczeń pełnego dostępu do rachunku.
q� Zainstalowanie błędnego oprogramowania lub też użytkowanie oprogramowania niezgodnie z
przeznaczeniem.
Zagrożenia wspólne serwera i klienta
q� Sniffing polega na podsłuchiwaniu lub podglądaniu, dzięki któremu można poznać treść przekazywanych
danych. Spoofing - podszywanie się pod inny komputer, który należy do danej sieci, przejmując tym samym
całą sesję użytkownika wraz z maszyną.
q� Network snooping opiera się na badaniu parametrów sieci, zwłaszcza w aspekcie stosowanych zabezpieczeń.
q� Ataki Domain Name System związane są z zajęciem przez jednego użytkownika dzielonych zasobów,
odcinając tym samym dostęp dla pozostałych użytkowników.
q� Atak man-in-the-middle definiuje się jako monitorowanie połączenia przez nieupoważnioną osobę, która
pośredniczy w transmisji danych pomiędzy serwerem i klientem.
Aspekty prawne ochrony informacji
q� Ustawa o ochronie danych osobowych - obowiązek ochrony praw i wolności człowieka, poszanowania jego
prywatności. Ustawa definiuje ważne pojęcia występujące w bankowości elektronicznej, takie jak zbiór
danych, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, przetwarzanie,
administrator danych.
q� Prawo Bankowe - w rozumieniu tej ustawy tajemnica bankowa obejmuje wszystkie wiadomości dotyczące:
czynności umowy i osób będących stroną umowy (zarówno w fazie negocjacji, zawarcia jak i realizacji
umowy), osób, które nie będąc stroną umowy wykonały czynności pozostające w związku z zawarciem takiej
umowy.
q� Kodeks pracy - zobowiązuje wszystkich pracowników mających dostęp do informacji do zachowania w
tajemnicy informacji, które mogłyby narazić pracodawcę na szkodę.
q� Kodeks karny - zawiera zagadnienia o ściganiu przestępstw komputerowych, w tym przestępstw przeciwko
ochronie informacji, mieniu, bezpieczeństwu powszechnemu, wiarygodności dokumentów. W kodeksie
karnym uwzględniono przestępstwa związane z bezpieczeństwem elektronicznym takie jak hacking
komputerowy (nieuprawnione wejście do systemu przez naruszenie zabezpieczeń), podsłuch komputerowy
(bezprawne przechwycenie informacji za pomocą nowoczesnych urządzeń technicznych), bezprawne
niszczenie informacji (usuwanie, zmiana, utrudnianie osobie uprawnionej korzystanie z informacji), sabotaż
komputerowy (zakłócanie, paraliż funkcjonowania systemów informatycznych mających istotne znaczenie
dla państwa i jego obywateli), oszustwo komputerowe (osiągnięcie korzyści majątkowej, wyrządzenie szkody
przez wpływ na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji) i fałszerstwo
komputerowe (polega na przerabianiu lub podrabianiu dokumentów zapisanych w formie elektronicznej).
q� Ustawa o usługach płatniczych - zasady wydawania i używania kart płatniczych oraz różnych form pieniądza
elektronicznego zostały zawarte w ustawie o elektronicznych instrumentach płatniczych. Ustawa ta zawiera
ważne regulacje odnoszące się do odpowiedzialności poszczególnych podmiotów transakcji.
q� Ustawa o podpisie elektronicznym - warunki stosowania podpisu elektronicznego, skutki prawne jego
stosowania, zasady świadczenia usług certyfikacyjnych oraz zasady nadzoru nad podmiotami oferującymi
takie usługi
Sposoby zabezpieczenia informacji
q� kryptografię,
q� podpis cyfrowy,
q� środki kontroli dostępu (fizyczne, techniczne, programowe)
Ad. KRYPTOGRAFIA
ALGORYTMY KLUCZA SYMETRYCZNEGO (KLUCZA POUFNEGO)
W tej metodzie ten sam klucz używany jest zarówno do szyfrowania danych jak i do ich rozkodowania. Ponieważ
używany jest ten sam klucz do obu czynności musi on być utrzymywany w "wielkim" sekrecie.
q� ZALETA: stosunkowo niski nakład obliczeń ponoszonych na szyfrowanie i rozkodowanie nawet dużych plików.
q� WADA: konieczność dostarczenia klucza wszystkim zainteresowanym, co może doprowadzić do jego
przechwycenia w przypadku przesyłania poprzez sieć publiczną.
Jednym z najbardziej znanych algorytmów klucza prywatnego (symetycznego) jest DES - Data Encryption Standard
wdrożony w 1978 roku przez IBM dla Narodowego Biura Standardów USA (National Institute of Standards and
Technology - NIST). Używa 56-bitowego klucza i bitów parzystości.
TEKST JAWNY
algorytm szyfrujący tajny klucz
NADAWCA
TEKST ZASZYFROWANY
(poufny)
TEKST ZASZYFROWANY
(poufny)
ODBIORCA
algorytm deszyfrujący tajny klucz
TEKST JAWNY
ALGORYTMY KLUCZA ASYMETRYCZNEGO (PUBLICZNO-PRYWATNEGO)
W przeciwieństwie do metody klucza poufnego komunikujące się ze sobą strony używają dwu różnych kluczy -
jednego do zaszyfrowania przesyłki, drugiego do jej rozkodowania. Nazwa "klucz publiczny" wzięła się stąd, że
algorytmy te bazują na generowaniu klucza przez każdą ze stron i ich wymianie za pośrednictwem sieci publicznej
bez utraty poufności, bowiem klucz publiczny staje się użyteczny jedynie w przypadku posiadania sekretnego,
znanego tylko lokalnie, klucza prywatnego.
Najbardziej znanym algorytmem klucza publicznego jest RSA - opracowany przez Ronalda Rivesta, Adi Shamira i
Leonarda Adlemana na uniwersytecie MIT. Siła algorytmu bazuje na złożoności problemu rozkładu dużych liczb
naturalnych na czynniki pierwsze.
TEKST JAWNY
algorytm szyfrujący jawny klucz odbiorcy
NADAWCA
TEKST ZASZYFROWANY
(poufny)
TEKST ZASZYFROWANY
(poufny)
ODBIORCA
algorytm deszyfrujący tajny klucz odbiorcy
TEKST JAWNY
PODWÓJNE UŻYCIE KODOWANIA ASYMETRYCZNEGO
TEKST JAWNY
(nie autentyfikowany ani poufny)
algorytm szyfrujący (podpis cyfrowy) tajny klucz nadawcy
TEKST PODPISANY
NADAWCA
(autentyfikowany ale nie poufny)
algorytm szyfrujący jawny klucz odbiorcy
TEKST ZASZYFROWANY
(autentyczny i poufny)
TEKST ZASZYFROWANY
algorytm deszyfrujący tajny klucz odbiorcy
TEKST ODSZYFROWANY
ODBIORCA (przed autentyfikacją)
algorytm deszyfrujący (sprawdzanie podpisu) jawny klucz nadawcy
TEKST JAWNY
(po potwierdzeniu autentyczności)
Secure Socket Layer (SSL) - szyfrowana transmisja na www
Podstawy SSL - SSL jest protokołem sieciowym używanym do bezpiecznych połączeń internetowych. Został
opracowany przez firmę Netscape i powszechnie go przyjęto jako standard szyfrowania na WWW.
Normalnie strony z serwerów oraz formularze do serwera są przesyłane przez sieć otwartym tekstem, który
stosunkowo łatwo przechwycić (szczególnie w sieci lokalnej). Jeśli serwer używa protokołu SSL do komunikacji z
przeglądarką, wówczas informacja w obie strony (między serwerem www i przeglądarką) jest przesyłana przez sieć w
sposób zaszyfrowany.
SSL realizuje szyfrowanie, uwierzytelnienie serwera (ewentualnie użytkownika również) i zapewnienie integralności
oraz poufności przesyłanych informacji. W momencie nawiązania połączenia z bezpieczną (stosującą protokół SSL)
stroną www następuje ustalenie algorytmów oraz kluczy szyfrujących, stosowanych następnie przy przekazywaniu
danych między przeglądarką a serwerem www.
Algorytmy w SSL - SSL jest tylko protokołem, w którym stosuje się różne algorytmy szyfrujące.
q� Algorytm asymetryczny z kluczem publicznym i prywatnym serwera WWW (np. algorytm RSA). Ten algorytm
jest używany w czasie inicjacji połączenia SSL: przeglądarka generuje losowo klucz prywatny symetryczny (dla
następnego algorytmu), szyfruje go z użyciem klucza publicznego serwera i przesyła go do serwera, serwer za
pomocą swojego klucza prywatnego asymetrycznego odczytuje klucz prywatny symetryczny.
q� Algorytm symetryczny z kluczem prywatnym (np. RC-4). Kiedy już przeglądarka oraz serwer posiadają ten
sam klucz prywatny, rozpoczyna się komunikacja. Cała transmisja danych między serwerem i przeglądarką
jest szyfrowana za pomocą klucza prywatnego symetrycznego. Jeden klucz jest używany podczas jednej sesji,
w następnej sesji zostaje wygenerowany już nowy klucz prywatny.
q� Funkcja skrótu (np. MD-5) używana do generowania podpisów cyfrowych dla przesyłanej informacji. Podpisy
zapewniają integralność przesyłanej informacji. Jeśli ktoś spróbuje zmienić dane w trakcie transmisji, to
zostanie to wykryte.
Moc szyfrowania - Ważną sprawą dla bezpieczeństwa zaszyfrowanych informacji jest długość używanych kluczy (np.
128 bitów). Im klucze są dłuższe, tym trudniej jest informacje odszyfrować. Powszechnie się uważa, że:
q� dla kluczy asymetrycznych: 512 - to zbyt mało, 768 - stosunkowo bezpiecznie, 1024 - silne bezpieczeństwo.
q� dla kluczy symetrycznych: 40 - to zbyt mało, 56 - stosunkowo bezpiecznie, 128 - silne bezpieczeństwo.
Aamanie kluczy metodą brute force (sprawdzanie po kolei możliwych kluczy).
q� Złamanie klucza 40 bitowego zajęło 3 godziny sieci komputerów.
q� Złamanie klucza 56 bitowego (w algorytmie RC5) zajęło 250 dni w ramach jednego z projektów
distributed.net. Eksperyment został przeprowadzony przez sieć komputerów
q� Złamanie klucza 128 bitowego zajęłoby 1 bilion x 1 bilion lat (za pomocą pojedynczego superkomputera).
Oznaczenia SSL - Połączenie się ze stroną WWW poprzez SSL jest oznaczane w przeglądarkach następująco:
q� https:// W obu przeglądarkach aktualny adres zaczyna się od https://.
q� W Internet Explorer, w prawej części paska stanu jest wyświetlana kłódka. Kilkając kłódkę można zobaczyć
certyfikat autentyczności danej strony. W dymku nad kłódką wyświetlana jest informacja o długości klucza
symetrycznego.
Przeglądarki WWW: SSL 128 czy 40?
Długość klucza użyta w SSL zależy od dwóch elementów:
q� Rodzaju certyfikatu SSL serwera.
q� Przeglądarki WWW i jej możliwości szyfrowania.
Zawsze jest używany klucz o maksymalnej długości, która jest obsługiwana przez oba elementy.
https://www.securitynet.pl/detection
Ad. PODPIS CYFROWY
DEFINICJA PODPISU CYFROWEGO WG PN-I-02000 (POLSKA NORMA)
"Przekształcenie kryptograficzne danych umożliwiające odbiorcy danych sprawdzenie autentyczności i integralności
danych oraz zapewniające nadawcy ochronę przed sfałszowaniem danych przez odbiorcę."
Cztery główne warunki podpisu cyfrowego:
q� uniemożliwienie podszywanie się innych pod daną osobę (uwierzytelnienie osoby, autentyfikacja),
q� zapewnienie wykrywalności wszelkiej zmiany w danych transakcji (integralność transakcji),
q� zapewnienie niemożliwości wyparcia się podpisu przez autora,
q� umożliwienie weryfikacji podpisu przez osobę niezależną.
Podpis cyfrowy to nic innego jak kilkanaście ciekawych bajtów dołączonych do transakcji.
DZIAAANIE PODPISU CYFROWEGO
Wygenerowanie podpisu odbywa się następująco.
q� Wszystkie dane operacji (np. kwota przelewu, numery rachunków) są formatowane w ciąg bitów.
q� Na podstawie sformatowanych danych algorytm haszujący generuje unikalną krótką wartość hash (np.
algorytm MD5 generuje wartość 128-bitową).
q� Hash jest szyfrowany za pomocą klucza prywatnego użytkownika (np. algorytmem RSA).
q� Zaszyfrowana wartość hash jest podpisem cyfrowym danej transakcji. Wszystko to powinno odbywać się na
komputerze użytkownika (czyli w środowisku WWW może to robić applet),
q� Dane operacji wraz z elektronicznym podpisem, po zaszyfrowaniu kluczem publicznym banku, są
transmitowane do serwera banku.
wiadomość
zródłowa
funkcja funkcja
wiadomość skrót podpis
skrótu kodowania
zródłowa wiadomości elektroniczny
klucz prywatny nadawcy
funkcja
klucz publiczny odbiorcy
kodowania
przesyłka
NADAWCA WIADOMOŚCI
zaszyfrowana
generowanie podpisu
KANAA
ELEKTRONICZNY
�Tomasz Zieliński
W serwerze banku następuję weryfikacja prawdziwości podpisu.
q� Cała wiadomość jest odszyfrowywana kluczem prywatnym banku
q� Na podstawie sformatowanych danych operacji generowany jest hash A.
q� Podpis cyfrowy jest odszyfrowany za pomocą klucza publicznego użytkownika i otrzymana wartość to hash B.
q� Jeśli obie wartości hash są równe, to podpis jest prawidłowy, a operacja zostaje wykonana.
KANAA
ELEKTRONICZNY
ODBIORCA WIADOMOŚCI
weryfikowanie podpisu
przesyłka
zaszyfrowana
�Tomasz Zieliński
funkcja
klucz prywatny odbiorcy
dekodowania
funkcja skrót (1)
wiadomość
skrót (1) = skrót (2)
skrótu
wiadomości
zródłowa
TAK podpis zgodny
NIE podpis niezgodny
podpis funkcja skrót (2)
dekodowania
elektroniczny wiadomości
klucz publiczny nadawcy
q� Certyfikat udzielany kluczowi klienta zapewnia jego autentyczność, powoduje jego uwierzytelnienie.
q� Certyfikaty wydawane są przez zaufane Urzędy Certyfikacji (ang. Certification Authority - CA).
q� Algorytm haszujący zapewnia, że wszelkie modyfikacje w danych transakcji zostaną wykryte.
q� Zaszyfrowanie wartości hash uniemożliwa jednoczesne zmiany w danych transakcji i odpowiednie do tych
zmian podrobienie podpisu cyfrowego.
Podpis tradycyjny Podpis cyfrowy
�� Przypisany jednej osobie
�� Niemożliwy do podrobienia
�� Uniemożliwiający wyparcie się go przez autora
�� Aatwy do weryfikacji przez osobę niezależną
�� Aatwy do wygenerowania
�� Związany nierozłącznie z
�� Może być składowany i przesyłany
dokumentem
niezależnie od dokumentu
�� Taki sam dla wszystkich dokumentów
�� Jest funkcją dokumentu
�� Stawiany na ostatniej stronie
�� Obejmuje cały dokument
dokumentu
KRYPTOGRAFICZNE KARTY ELEKTRONICZNE (SMARTCARD)
q� Kryptograficzne karty elektroniczne posiadają sprzętowe wspomaganie podpisu cyfrowego i zapewniają
bezpieczne przechowywanie klucza prywatnego.
q� Najbardziej newralgicznym elementem systemu z podpisem cyfrowym jest tajność klucza prywatnego. Jego
wykradnięcie umożliwia podszywanie się pod innego użytkownika. Klucz zapisany w karcie nie wydostaje się
nigdy na jej zewnątrz, gdyż generowanie podpisu cyfrowego następuje wewnątrz mikroprocesora karty,
która ma zaszyte algorytmy kryptograficzne.
q� Dodatkowo każde użycie karty wymaga podania hasła.
CERTYFIKACJA
Podstawowe problemy związane ze stosowaniem infrastruktury klucza publiczno-prywatnego związane są z:
q� koniecznością zorganizowania katalogu , w którym mogłyby być przechowywane publiczne klucze
wszystkich użytkowników sieci (niemożliwym jest bowiem w praktyce, aby wszyscy użytkownicy
przechowywali te klucze na własną rękę )
q� brakiem pewności co do rzetelności danych użytkownika legitymującego się danym kluczem publicznym (czy
na przykład bank czy sklep funkcjonujące w Internecie są faktycznie tymi, za co się podają)
Nad rozwiązaniem tych problemów czuwać może Urząd ds. Certyfikacji Depozytów (Certification Authority) będący
głównym ogniwem Infrastruktury Kluczy Publicznych (Public Key Infrastructure)
Jego zadaniem, jako zaufanej strony trzeciej jest generowanie par kluczy dla każdego użytkownika i wystawianie
certyfikatów poświadczających, jakim kluczem publicznym należy się posługiwać przy weryfikacji podpisu
wykonanego przez wskazaną osobę. Dla funkcjonowania PKI istotnym staje się prawne umocowanie instytucji
dokumentu elektronicznego i podpisu elektronicznego. W niektórych państwach podjęto prace legislacyjne nad
podpisem elektronicznym.
Bezpieczeństwo korzystania z PKI wynika z faktu, iż podpis elektroniczny powinien być weryfikowany przez użycie
powiązanego z kluczem prywatnym klucza publicznego nadawcy, do którego dołączony jest certyfikat wystawiony
przez zaufaną stronę trzecią (wystawcę certyfikatu). Certyfikat jest zaświadczeniem o przyznaniu publicznego klucza
podpisu osobie fizycznej, zawierającym także inne niezbędne informacje.
Czynności wystawcy certyfikatu są wykonywane na podstawie licencji uzyskanej od kompetentnych władz
administracyjnych. Na wystawcy certyfikatu spoczywa obowiązek jednoznacznego zidentyfikowania osoby
ubiegającej się. Przyznanie publicznego klucza weryfikacji podpisu osobie zidentyfikowanej potwierdza się przez
wydanie certyfikatu tego klucza.
Wystawca powinien podjąć środki uniemożliwiające falsyfikację danych zawartych w certyfikatach. Przede wszystkim
jednak musi zagwarantować tajność prywatnych kluczy podpisu. Nie mogą one być przechowywane u wystawcy
certyfikatów.
Certyfikat klucza podpisu powinien zawierać co najmniej:
q� nazwisko (nazwę) właściciela klucza podpisu,
q� przypisany publiczny klucz weryfikacji podpisu,
q� algorytm (tj. szyfr), z którym powinien być używany jawny klucz publiczny i klucz tajny przy wykonywaniu i
weryfikacji podpisu,
q� określenie zakresu stosowania klucza podpisu,
q� datę początkową i końcową ważności certyfikatu,
q� numer certyfikatu,
q� nazwisko (nazwę) wydającego certyfikat,
q� algorytm, z którym jest stosowany publiczny klucz wydającego certyfikat, bo podpis wystawcy musi także
podlegać weryfikacji.
http://www.centrast.pl/ncc/home.aspx
REJESTR KWALIFIKOWANYCH PODMIOTÓW ŚWIADCZCYCH USAUGI CERTYFIKACYJNE (luty 2014)
Numer
Nazwa podmiotu Rodzaj świadczonych usług Czas dokonania wpisu
wpisu
ENIGMA SOI
11. Wydawanie kwalifikowanych certyfikatów 04 kwietnia 2011 r.,godz. 15:30:00
Spółka z ograniczoną odpowiedzialnością
ENIGMA SOI Poświadczanie ważności certyfikatów 04 kwietnia 2011 r., godz. 15:30:00
12.
Spółka z ograniczoną odpowiedzialnością Znakowanie czasem 04 kwietnia 2011 r.,godz. 15:30:00
EUROCERT
13. Wydawanie kwalifikowanych certyfikatów 30 grudnia 2013 r., godz. 15:30:00
Spółka z ograniczoną odpowiedzialnością
6. KRAJOWA IZBA ROZLICZENIOWA Wydawanie kwalifikowanych certyfikatów 21 marca 2003 r., godz. 13:00:00
Spółka Akcyjna Znakowanie czasem 13 września 2005 r., godz. 1:16:00
MOBICERT
8. Wydawanie kwalifikowanych certyfikatów 21 września 2009 r.,godz. 11:30:00
Spółka z ograniczoną odpowiedzialnością
POLSKA WYTWÓRNIA PAPIERÓW
3. WARTOŚCIOWYCH Wydawanie kwalifikowanych certyfikatów 14 lutego 2003 r.,godz. 15:00:00
Spółka Akcyjna
POLSKA WYTWÓRNIA PAPIERÓW
5. WARTOŚCIOWYCH Znakowanie czasem 14 marca 2003 r.,godz. 15:00:00
Spółka Akcyjna
SAFE TECHNOLOGIES
9. Wydawanie kwalifikowanych certyfikatów 21 września 2009 r.,godz. 11:30:00
Spółka Akcyjna
SAFE TECHNOLOGIES Poświadczanie ważności certyfikatów 21 września 2009 r.,godz. 11:30:00
10.
Spółka Akcyjna Znakowanie czasem 21 września 2009 r.,godz. 11:30:00
TP INTERNET
4. Wydawanie kwalifikowanych certyfikatów 14 lutego 2003 r.,godz. 15:30:00
Spółka z ograniczoną odpowiedzialnością
TP INTERNET
7. Znakowanie czasem 17 sierpnia 2004 r.,godz. 13:30:00
Spółka z ograniczoną odpowiedzialnością
UNIZETO TECHNOLOGIES Wydawanie kwalifikowanych certyfikatów 31 grudnia 2002 r.,godz. 12:00:00
1.
Spółka Akcyjna Wydawanie kwalifikowanych certyfikatów atrybutów 13 września 2007 r.,godz. 10:00:00
Znakowanie czasem 24 stycznia 2003 r., godz. 12:00:00
Weryfikowanie statusu certyfikatów w trybie on-line 17 pazdziernika 2006 r., godz. 12:00:00
UNIZETO TECHNOLOGIES Walidacja danych 17 pazdziernika 2006 r., godz. 12:00:00
2.
Spółka Akcyjna Poświadczenie odbioru i przedłożenia 17 pazdziernika 2006 r.,godz. 12:00:00
Poświadczenie depozytowe 5 stycznia 2007 r.,godz. 10:00:00
Poświadczenie rejestrowe i repozytoryjne 5 stycznia 2007 r.,godz. 10:00:00
Ad. ŚRODKI KONTROLI DOSTPU
Metoda
Zalety Wady
uwierzytelniania
Aatwość implementacji Brak możliwości udowodnienia prawa
Co użytkownik zna
Wygoda użytkownika własności
Brak możliwości udowodnienia prawa
Wysokie koszty techniczne
Co użytkownik ma własności
Trudności podrobienia kart
Awarie kart
Duża efektywność wynikająca z cech
Bardzo wysokie koszty urządzeń
Kim użytkownik jest człowieka
rozpoznających
Wygoda użytkowania
yródło: D. Wawrzyniak: Bezpieczeństwo bankowości elektronicznej [w] Praca zbiorowa pod red. A. Gospodarowicza:
Bankowość elektroniczna, Warszawa 2005
q� Hasła dostępu - Wygenerowanie odpowiedniego hasła winno być oparte na dobraniu stosownej długości
znaków oraz liczebności grup znaków. Natomiast właściwe stosowanie hasła wyraża się w okresowych
systematycznych jego zmianach i jego nieujawnianiu. Wyróżnia się uwierzytelnianie słabe, cechujące się
następującymi atrybutami: niezmienne w czasie, o przeciętnej długości 6-10 znaków, łatwością
zapamiętania. Nieco lepsze jest uwierzytelnianie silne oparte na hasłach jednorazowych, typu wyzwanie
odpowiedz. Instrumentami tego typu uwierzytelniania są tokeny i karty haseł jednorazowych.
q� Systemy biometryczne - polegają one na zautomatyzowanej weryfikacji poprzez rozpoznanie cech
człowieka. Istotą działania metod biometrycznych jest analiza cech fizycznych i behawioralnych. Wśród cech
fizycznych człowieka badanych w metodach biometrycznych znajdują się tęczówka oka, siatkówka, linie
papilarne, układ naczyń krwionośnych na dłoni lub przegubie ręki, kształt dłoni, kształt ucha, twarz, rozkład
temperatury na twarzy, kształt i rozmieszczenie zębów, kod DNA.
q� Środki fizyczne, nie będące elementami systemu informatycznego banku. Grupa tego rodzaju zabezpieczeń
składa się z sejfów, alarmów, urządzeń przeciwwłamaniowych, zamków kodowych, urządzeń
klimatyzacyjnych, rozwiązań architektonicznych, urządzeń ochrony przeciwpożarowej, pomieszczeń
specjalnie przygotowanych do działania komputerów oraz strażników.
q� Środki techniczne stanowią rozwiązania sprzętowe związane z informatyką i wykorzystujące technologie
informatyczne, oddziałując bezpośredni sposób na bezpieczeństwo - karty magnetyczne i mikroprocesorowe,
urządzenia biometryczne, serwery Proxy, urządzenia podtrzymujące zasilanie, sprzętowe blokady dostępu do
klawiatur, dysków, urządzenia chroniące przed emisją ujawniającą, dublowanie okablowania, centrów
obliczeniowych i baz danych.
q� Technologie środków programowych oparte są na wykorzystaniu oprogramowania systemowego bądz
aplikacyjnego - dzienniki systemowe, programy śledzące, mechanizmy rozliczania, programy antywirusowe,
antyspamowe, antyszpiegowskie, zapory ogniowe, zapory sieciowe, programy do wykrywania słabych haseł,
kody korekcyjne.
q� Legalność oprogramowania i posiadane certyfikaty.
Metody zabezpieczeń w bankowości elektroniczne mają różne znaczenie w zależności od rodzaju dostępu do
rachunku
Poziom bezpieczeństwa
Rodzaj dostępu
słaby niewystarczający wystarczający wzorowy
Szyfrowanie
Szyfrowanie Szyfrowanie
Szyfrowanie Proste i silne
Proste i silne Proste i silne
Aktywny Proste uwierzytelnianie
uwierzytelnianie uwierzytelnianie
uwierzytelnianie (brak zastrzeżeń)
(nieidealne) (brak zastrzeżeń)
Podpis cyfrowy
Szyfrowanie Szyfrowanie Szyfrowanie
Proste proste Proste Proste i silne
Półaktywny
uwierzytelnianie uwierzytelnianie uwierzytelnianie uwierzytelnianie
(nieidealne) (brak zastrzeżeń) (brak zastrzeżeń)
Szyfrowanie
Szyfrowanie
Brak Proste Proste i silne
Pasywny Proste
zabezpieczeń uwierzytelnianie uwierzytelnianie
uwierzytelnianie
(brak zastrzeżeń)
yródło: J. Grzywacz: Bankowość elektroniczna w działalności przedsiębiorstwa, Szkoła Główna Handlowa, Warszawa
2004

Wyszukiwarka

Podobne podstrony:
Bankowosc wyklady Siec bezpieczenstwa finansowego
2014 nr 32 Transatlantyckie struktury bezpieczeństwa w obliczu kryzysu ukraińskiego
Twoje finanse Bezpieczeństwo własne i majątku
biznes i ekonomia twoje finanse bezpieczenstwo wlasne i majatku marek lipinski ebook
gazeta prawna Bezpieczenstwo finansowe
Bezpieceństwo militarne Polski
Administracja bezpieczenstwa st
ZARZĄDZANIE FINANSAMI cwiczenia zadania rozwiazaneE
Finanse Konstrukcja podatku 1
Dobór bezpieczników topikowych
Zagrożenia bezpieczeństa informacji
pytania rynek finansowy egzamin

więcej podobnych podstron