ZAGROŻENIA BSI

• Zagrożenia (threat) - potencjalna groźba naruszeń bezpieczeństwa BSI.

• Bierne (podsłuch, analiza ruchu w sieci) oraz czynne (modyfikacja, niszczenie zasobów, celowa dezinformacja).

• Wewnętrzne (spowodowane przez legalnych użytkowników systemu) oraz zewnętrzne (hakerzy).

• Przypadkowe (błędy i przeoczenia użytkowników, awarie sprzętowe, błędy w oprogramowaniu) oraz celowe (świadome działanie użytkowników).

• Sprzętowe (hardware) i programowe (software).

• Np. wprowadzenie błędnej kwoty transakcji przez kasjera to zagrożenie czynne, wewnętrzne, przypadkowe i programowe.

KLASYFIKACJA ATAKÓW NA BEZPIECZEŃSTWO BSI

• Atak - celowa (a nie przypadkowa) próba naruszenia bezpieczeństwa BSI

OSZUSTWA BANKOWE

• Operowanie czekami bez pokrycia.

• Fałszowanie zastawów i gwarancji na zaciągane kredyty.

• Operacje dotyczące depozytów i zawartości skarbców bankowych.

• ”Czyszczenie" pieniędzy pochodzących z transakcji nielegalnych (handel bronią i narkotykami), "lewe konta”.

• Operacje gotówkowe (przetrzymywanie gotówki na kontach).

• Podrabianie, fałszowanie kart kredytowych, manipulacje w bankomatach.

• Włamania komputerowe przez sieć.

WYBRANE INFORMACJE O PRZESTĘPSTWACH BANKOWYCH

• PL - w 1997 r. transakcje oszukańcze to 0,21% wartości sprzedaży, w 2000 r. to 0,15%. W Europie to 0,07%.

• PL -w 2000 r. na 55 mln transakcji o wartości 9,7 mld zł wyłudzono 12,4 mln zł.

• PL - w 2000 r. było 10 tys. oszustw z kartami, przy rocznej dynamice przekraczającej 50%.

• Średnie straty banków USA wynikające z klasycznego napadu z bronią w ręku to 8 tys $, jedno oszustwo komputerowe to strata rzędu 500 tys. $.

• Łączne straty w wyniku oszustw komputerowych w USA to 10 mld $ rocznie.

• Np. rosyjscy hakerzy w 1995 roku dokonali w Citibanku nielegalnych operacji na kwotę 12 mln $.

PRZYKŁADY PRZESTĘPSTW

• Fałszywe bankomaty, wypłacające prawdziwe pieniądze po to aby rejestrować kody PIN oraz informacje zapisane na kartach, w celu późniejszego "wyczyszczenia" kont klientów.

• Mikrokamery rejestrujące PIN podawane w bankomatach.

• Kasjerki POS z uprawnieniami do ręcznej autoryzacji dokonujące zakupów na numer karty obcej osoby.

• Podwójne obciążanie konta klienta za ten sam zakup.

• Skopiowanie zawartości paska magnetycznego karty na zapleczu (skimming) i dokonywanie zakupów w „dziuplach”.

• Zakupy w Internecie na podstawie numeru karty i czasu jej ważności (informacje dostępne na każdym kwicie z POS)

• Klient zakłada konto z XX zł na fałszywy dowód, pobiera kartę, za parę dni w bankomatach wypłaca całą kwotę i natychmiast zjawia się w banku po cały depozyt.

PRZYKŁADY Z POLSKI

• ZUS o/Warszawa - dopisywano do systemu martwe dusze, którym przyznawano emerytury. Pieniądze odbierano przez znajomych.

• ZUS o/Gdańsk - „uśmiercano” emerytów (nie był potrzebny akt zgonu) pobierano zapomogę pośmiertną a potem w systemie ich reanimowano.

• Bank X o/Bydgoszcz - informatyk przelewał w piątek wieczorem na swoje konto piątkowe wpłaty a następnie w poniedziałek rano przelewał je z powrotem na konta klientów. Odsetki wyniosły ponad 3 mln zł. Sprawca uciekł za granicę.

PRZYKŁADY ZE ŚWIATA

• Andriej Rublov i jego druzja - hackerzy z Czeczeni.
  W 1994 r. ukradli z banków w Rosji ponad 300 mln $ doprowadzając do kryzysu w rosyjskim systemie bankowym w 1995 r. Rekord zagarniętych sum.

• Deri S. - 16-letni uczeń z Izraela włamuje się do Pentagonu, VISA, sieci telekomunikacyjnej Izraela. Uzyskuje tysiące kodów kart kredytowych Visa.

• Władymir Lewin - 24-letni haker z Petersburga w 1996 r. próbuje przetransferować z nowojorskiego Citibanku 12 mln $ ale kradnie tylko 400 tys. $. W 1998 r. po ekstradycji do USA skazany na 3 lata więzienia.

STATYSTYKA ZAGROŻEŃ BSI

ŹRÓDŁA ZAGROŻEŃ

• Błędy i przeoczenia personelu

• Działania nieuczciwych i niezadowolonych pracowników

• Zagrożenia fizyczne

• Wirusy i krakerzy

BŁĘDY I PRZEOCZENIA PERSONELU

• Przypadkowe ujawnienie informacji przez operatora

• Niezamierzone ujawnienie hasła dostępu

• Wykorzystywania słabych haseł

• Przypadkowe wprowadzenie niewłaściwych danych

• Przypadkowa zmiana atrybutów pliku i praw dostępu

• Przypadkowe usunięcie istotnych danych z dysku

• Przypadkowa zmiana parametrów aplikacji

• Przypadkowa dezorganizacji relacji w bazie danych

• Niezamierzone zaniedbanie w tworzeniu backup'u

• Niezamierzone pozostawienie włączonego komputera

• Zagubienie karty identyfikacyjnej

• Nieumyślne wprowadzenie wirusa komputerowego

DZIAŁANIA NIEUCZCIWYCH I NIEZADOWOLONYCH PRACOWNIKÓW

• Transferowanie wartości pieniężnych na prywatne konta.

• Umyślna modyfikacja niszczenie zasobów systemu.

• Świadome ujawnianie osobom postronnym tajemnic związanych z pracą w systemie.

• Celowe wprowadzanie wirusów komputerowych.

• Kopiowanie poufnych informacji na zewnętrzne nośniki.

• Świadome unieruchamianie bądź powodowanie awarii sprzętu.

• Uruchamianie programów z zewnątrz (gry, komunikacja)

• Powodowanie fałszywych alarmów w celu uśpienia czujności administratora systemu.

• Tworzenie i wykorzystywanie ukrytych kanałów (covert channel) do przysłania poufnych informacji osobom nieupoważnionym.

ZAGROŻENIA FIZYCZNE

• Losowa zawodność sprzętu.

• Zanik zasilania w sieci energetycznej.

• Awaria sprzętu.

• Utrata danych w wyniku zniszczenia dysku bądź innych zewnętrznych nośników danych.

• Włamania do budynku, zalania, pożary.

• Klęski żywiołowe, powodzie, huragany, trzęsienia ziemi.

ŚRODKI OCHRONY BSI

• Poziomy zabezpieczeń

• Środki fizyczne

• Środki techniczne

• Środki programowe

• Środki kontroli dostępu

• Środki kryptograficzne

• Środki organizacyjne

• Środki prawne

POZIOMY ZABEZPIECZEŃ

• Komputer osobisty (terminal, klient) i jego system operacyjny - hasła dostępu na poziomie BIOS.

• Sieciowy system operacyjny - hasła dostępu, prawa dostępu, grupy użytkowników, ślady audytowe, programy śledzące, firewall, kryptografia.

• System zarządzania bazą danych - regulowanie zakresu dostępu do danych na poziomie pól bazy danych.

• Oprogramowanie aplikacyjne - mechanizmy identyfikacji i uwierzytelniania, ograniczenie praw dostępu do zasobów i funkcji.

• Poziom fizyczny - podtrzymywanie napięcia w sieci, zabezpieczenia antywłamaniowe i przeciwpożarowe.

• Poziom organizacyjny

ŚRODKI FIZYCZNE

• Urządzenia przeciwwłamaniowe.

• Sejfy.

• Alarmy.

• Urządzenia ochrony przeciwpożarowej.

• Odpowiednie przystosowanie pomieszczeń do pracy z komputerami.

• Rozwiązania architektoniczne (lokalizacja ośrodka obliczeniowego wewnątrz budynku).

• Urządzenia klimatyzacyjne.

ŚRODKI TECHNICZNE

• Urządzenia podtrzymujące zasilanie.

• Karty magnetyczne i mikroprocesorowe.

• Urządzenia biometryczne do identyfikacji osób na podstawie linii papilarnych, głosu, siatkówki oka.

• Urządzenia do tworzenia kopii zapasowych wraz z procedurami i metodami ich wykorzystania.

• Zapory ogniowe (firewall) i serwery Proxy.

• Sprzętowe blokady dostępu do klawiatur, napędów dysku.

• Urządzenia do ochrony przed emisją ujawniającą.

• Optymalizacja konfiguracji sprzętowej komputerów.

• Dublowanie okablowania.

• Dublowanie centrów obliczeniowych i baz danych.

ŚRODKI PROGRAMOWE

• Dzienniki systemowe (logi) - pozwalają na identyfikację działalności użytkowników.

• Programy śledzące - pozwalają na monitoring pracy użytkowników w czasie rzeczywistym.

• Mechanizmy rozliczania - identyfikują wykonawców operacji w systemie.

• Programy antywirusowe.

• Programy wykrywające słabe hasła.

• Mechanizmy zabezpieczenia statystycznych baz danych.

• Kody korekcyjne - do identyfikacji i poprawy błędów transmisji danych.

KONTROLA DOSTĘPU DO SYSTEMU

• Uwierzytelnienie użytkownika przez system, na podstawie tego co użytkownik
  - ZNA (hasła, PIN),
  - MA (karta magnetyczna, token),
  - KIM JEST (metody biometryczne)

• Rozwiązania mieszane, np. karta z hasłem i PIN-em.

METODY KONTROLI DOSTĘPU

WADY I ZALETY METOD KONTROLI DOSTĘPU

KONTROLA DOSTĘPU DO ZASOBÓW

• Kombinacja praw użytkownika do pisania, czytania i wykonywania zasobu.

• Kontrola dyskrecjonalna - każdy dostęp użytkownika do zasobu wymaga kontroli uprawnień. W zależności od typu odpowiedzi na pytania o prawa dostępu:
  - jest dostęp, gdy odpowiedź jest pozytywna
  - jest dostęp, gdy brak jest odpowiedzi negatywnej.

• Kontrola obowiązkowa - każdy zasób i użytkownik ma przyporządkowany poziom bezpieczeństwa. Obowiązuje zasada czytania w dół oraz pisania w górę.

• Kontrola zależna od zadań - tworzone są zadania do których przypisuje się zasoby niezbędne do ich wykonania. Zadania (wraz z dostępem do zasobów) są przypisane użytkownikom.

KONTROLA DOSTĘPU DO ZASOBÓW

• Mechanizmy sterowania dostępem:
  - Hierarchia dostępu - automatyczne przyznanie uprzywilejowanym użytkownikom prawa będącego nadzbiorem praw użytkowników mniej uprzywilejowanych.
  - Macierz dostępu - zawiera dane dotyczące praw dostępu użytkowników do zasobów systemu.
  - Lista możliwości, których posiadanie bezwarunkowo pozwala na dostęp do zasobu.

• Procedura przyznawania praw dostępu do zasobów:
  - scentralizowana - odpowiada jedna osoba,
  - hierarchiczna - główny administrator przyznaje prawa podadministratorom
  - zdecentralizowany - właściciel zasobu upoważnia inne osoby,
  - samodzielny - każdy użytkownik przydziela innym użytkownikom prawa dostępu do zasobów przez siebie tworzonych,
  - dzielony - jednoczesna współpraca kilku uprawnionych użytkowników.

ŚRODKI PRAWNE

• Ustawa o ochronie tajemnicy państwowej i służbowej
  (DzU 1982 nr 40)

• Ustawa o ochronie danych osobowych (DzU 1997 nr 133)

• Ustawa o ochronie informacji niejawnych (DzU 1999 nr 11)

• Prawo bankowe (DzU 1997 nr 140)

• Kodeks pracy (DzU 1974 nr 24)

• Kodeks karny (DzU 1997 nr 88)

• Tajemnica przedsiębiorstwa (DzU 1993 nr 47 - ustawa o zwalczaniu nieuczciwej konkurencji)

• Tajemnica skarbowa (DzU 1997 nr 137)

• Ustawa o ochronie osób i mienia (DzU 1997 nr 144)

• Inne: ustawa o statystyce publicznej, uchwała o zapobieganiu prania pieniędzy

• Zalecenia i regulacje NBP, np. rekomendacja D z 20.X.1997 dot. zarządzania ryzykiem towarzyszącym systemom informatycznym i telekomunikacyjnym.

PODSTAWOWE METODY BEZPIECZEŃSTWA W BANKOWOŚCI ELEKTRONICZNEJ

• Szyfrowana transmisja danych
  - w internecie za pomocą protokołu SSL
  - w WAP za pomocą protokołu WTLS

• Proste uwierzytelnienie oparte na CO ZNASZ (identyfikator, hasło, PIN)

• Silne uwierzytelnienie oparte na CO MASZ (token, certyfikat, klucz prywatny, karty magnetyczne) uzupełnione zwykle o hasło

• Podpis elektroniczny

DODATKOWE METODY BEZPIECZEŃSTWA W BANKOWOŚCI ELEKTRONICZNEJ

• Spójne procedury operacyjne dla administratorów sieci i doradców klienta.

• Firewall - zabezpiecza przed niedozwolonymi sposobami komunikacji hakerów z serwerem.

• Rejestracja aktywności - zapisywanie wszelkich śladów aktywności użytkownika.

• Blokowanie konta - automatyczna blokada w przypadku 3-krotnego podania złych danych podczas logowania.

• Automatyczne wylogowanie - jeśli stwierdzono brak aktywności przez np. 10 minut.

3

---