Wyzwania informatyki bankowej 2016
wyzwania_informatyki_bankowej_0 wyzwania_informatyki_bankowej_0
Gdzie banki mogą spodziewać się ataków? W zasadzie na każdy element operacji, gdzie istnieje możliwość pozyskania jakiejś wartości, czy to pieniężnej, czy też w postaci wiedzy, mającej znaczenie dla atakującego. Atakom mogą podlegać bankomaty (ataki fizyczne i zdalne), systemy dostępne przez Internet i telefon, Call Center, systemy sieciowe, systemy zarządzania informacją (tajemnice przedsiębiorstwa, są też zagrożenia wynikające z aktywności wewnętrznej: od sabotażu technicznego, przez wykonywanie nieuprawnionych operacji, po wpływanie na parametry finansowe na rynkach kapitałowych). Jak widać zagrożeń jest wiele i wiedza o potencjalnych scenariuszach mogłaby wydatnie pomóc w ich przeciwdziałaniu. Innym przykładem zagrożeń, które mogą spotkać banki, są ataki na systemy mające na celu ich zablokowanie lub ograniczenie dostępności – ataki DDoS (z ang. Distributed Denial of Service), gdzie cel realizowany jest bądź przez ataki na infrastrukturę (wysycenie pojemności urządzeń sieciowych), bądź przez ataki na funkcjonalność aplikacji. Pierwszy scenariusz może spotkać nie tylko banki, bo w takich atakach ucierpiało wiele znanych firm branży internetowej – portale, sklepy. Ostatnio skala tych ataków nieco się zmniejszyła, m.in. dzięki współpracy z telekomami, przez które taki złośliwy ruch przechodzi i które mają techniczne możliwości jego ograniczania, nie mniej jednak nadal to zjawisko nie może być marginalizowane. Inną kategorią ataku odmowy usługi jest DDoS aplikacyjny – atak, w którym poprzez wykorzystanie interfejsu aplikacji blokowana jest np. funkcjonalność logowania. W tym przypadku konieczne jest odpowiednie przygotowanie aplikacji i infrastruktury pośredniczącej, aby wychwytywać takie sytuacje i zapobiegać stosownymi mechanizmami. Powody ataków, których skutkiem jest zaszkodzenie atakowanemu podmiotowi mogą być różne – chuligaństwo, chęć wykazania się, jak choćby przy atakach na sieć Sony Playstation Network, która stała się „ulubionym” celem ataku tego typu (chociaż nie omijają też i konkurencyjnej sieci) – jak twierdzą jej przedstawiciele ataki odbywaja się każdego dnia, sieć skutecznie zaatakowano w grudniu 2014 r., następnie prawdopodobnie DDoS spowodował niedostępność w styczniu 2016 r. Nie można również zapominać o powodach politycznych, jak choćby ataki cybernetyczne na Estonię w 2007 r., w wyniku których zostały zablokowane serwery i strony Zgromadzenia Państwowego, agend rządowych, banków i mediów. W efekcie banki zanotowały straty finansowe, cyberataki odczuły mocno instytucje państwa, dla obrony zostały na kilka dni zamknięte niektóre połączenia zagraniczne, Bankowy CERT – nowa broń w walce z cyberprzestępczością 185
skutkując izolacją kraju od reszty świata, a to z kolei uniemożliwiło Estończykom np. dostęp do ich kont bankowych w trakcie zagranicznych podróży. Miara dojrzałości Istnieje szereg metod oceny skali dojrzałości organizacji w zakresie bezpieczeństwa informatycznego. Wg A.T. Kearney takie badanie może być przeprowadzone w obszarach związanych ze strategią (czy organizacja posiada ją w związku z zarządzaniem bezpieczeństwem informatycznym i stosowną politykę), organizacją (czy istnieją operacyjne metody zarządzania bezpieczeństwem wewnątrz firmy bądź instytucji i u partnerów), procesami (zarządzanie tożsamością i dostępem, aktualizacjami, realizacja procesu planuj-wykonaj-sprawdzaj-działaj), technologią (infrastruktura sieciowa, serwery i aplikacje, stacje robocze i telefony, bezpieczeństwo fizyczne) oraz kulturą (znaczenie bezpieczeństwa dla zarządu, edukacja pracowników, budowa świadomości i poprawnych zachowań). Na tej bazie można zdefiniować zasady, których świadome stosowanie zapewnia efektywne zarządzanie bezpieczeństwem informacji. Wśród nich znajduje się automatyzacja procesów i funkcji, zaangażowanie pracowników w aktywne zwalczanie naruszeń bezpieczeństwa, ochrona aktywów stosownie do ich wartości i związanego z tym ryzyka, transformacja działu bezpieczeństwa w jednostkę zapewniającą wartość biznesową, zapewnienie poparcia wyższego szczebla zarządzania oraz mapy rozwoju obszaru bezpieczeństwa z zabezpieczoną perspektywą zbalansowanego finansowania, regularne testy bezpieczeństwa oraz – i tutaj ważna jest kwestia w kontekście niniejszego artykułu – wyjście poza porównywanie się do innych podmiotów z branży i rozpoczęcie współpracy. Porównywanie się jest pomocne w budowie własnych standardów bezpieczeństwa, poszukiwaniu nowych rozwiązań, jednakże proste kopiowanie strategii bezpieczeństwa bez uwzględnienia indywidualnych cech biznesowych danego podmiotu nie pozwoli na osiągnięcie optymalnego rezultatu. Prawdziwą wartością jest nawiązanie współpracy, która dzięki wspólnym wysiłkom może przynieść lepszy skutek dla zespołów bezpieczeństwa informacji pod względem poprawy efektywności, redukcji kosztów oraz strat. Z badania A.T. Kearney przytoczonych w opracowaniu „The Golden Rules of Operational Excellence in Information Security Management” wynika, że wiele organizacji dzieli się wiedzą i stosowanymi praktykami z innymi podmiotami, szczególnie wśród 186 Adam Marciniak, PKO BP
- Page 136 and 137: Andrzej Kawiński, Giesecke & Devri
- Page 138 and 139: nia jest ograniczona, co ogranicza
- Page 140 and 141: W Polsce Państwowa Wytwórnia Papi
- Page 142 and 143: Europejskie standardy przechowywani
- Page 144 and 145: gotówka (często liczona, paczkowa
- Page 146 and 147: urządzeń zainstalowanych w sortow
- Page 148 and 149: Zagraniczne doświadczenia pokazuj
- Page 150 and 151: Andrzej Gibas, Microsoft, Karol Maz
- Page 152 and 153: • duża zmienność rynków i wra
- Page 154 and 155: Dominujące dzisiaj podejście do a
- Page 156 and 157: procesorów budowanych w oparciu o
- Page 158 and 159: SDC uzyskało oszczędności na poz
- Page 160 and 161: też zostanie przeprowadzony jednor
- Page 163 and 164: Aleksander P. Czarnowski Prezes AVE
- Page 165 and 166: z co najmniej 2-, a jeszcze lepiej
- Page 167 and 168: Ransomware czyli różne oblicza sz
- Page 169 and 170: system nigdy nie dostarcza pełnego
- Page 171 and 172: Rys 2. Przykład fałszywej wiadomo
- Page 173 and 174: IoT Internet of Things z pewności
- Page 175 and 176: Podatności w SSL/TLS oraz algorytm
- Page 177 and 178: instalacja i konfiguracja serwera S
- Page 179 and 180: w krótkim czasie. Dla niektórych
- Page 181 and 182: Adam Marciniak Dyrektor Pionu Rozwo
- Page 183 and 184: 50 tys. komputerów w tym samym cza
- Page 185: które łącznie pozwoliły wyprowa
- Page 189 and 190: tacji branżowych narodziła się k
- Page 191 and 192: Ciekawym przykładem z ojczyzny Int
- Page 193 and 194: Z inicjatywy Rady Bankowości Elekt
- Page 195: • Opracowanie ogólnobankowej, sp
- Page 198 and 199: Maciej Gawroński, Sławomir Szepie
- Page 200 and 201: • Sprecyzowanie katalogu wyłącz
- Page 202 and 203: • Płatnik (posiadacz rachunku ba
- Page 204 and 205: Zagraniczne podmioty profesjonalnie
- Page 206 and 207: gulacje odnośnie opłat interchang
- Page 208 and 209: nikacji między poszczególnymi pod
Gdzie banki mogą spodziewać się ataków? W zasadzie na każdy element<br />
operacji, gdzie istnieje możliwość pozyskania jakiejś wartości, czy to pieniężnej,<br />
czy też w postaci wiedzy, mającej znaczenie dla atakującego. Atakom<br />
mogą podlegać bankomaty (ataki fizyczne i zdalne), systemy dostępne<br />
przez Internet i telefon, Call Center, systemy sieciowe, systemy zarządzania<br />
informacją (tajemnice przedsiębiorstwa, są też zagrożenia wynikające z aktywności<br />
wewnętrznej: od sabotażu technicznego, przez wykonywanie nieuprawnionych<br />
operacji, po wpływanie na parametry finansowe na rynkach<br />
kapitałowych). Jak widać zagrożeń jest wiele i wiedza o potencjalnych scenariuszach<br />
mogłaby wydatnie pomóc w ich przeciwdziałaniu.<br />
Innym przykładem zagrożeń, które mogą spotkać banki, są ataki na systemy<br />
mające na celu ich zablokowanie lub ograniczenie dostępności – ataki<br />
DDoS (z ang. Distributed Denial of Service), gdzie cel realizowany jest bądź<br />
przez ataki na infrastrukturę (wysycenie pojemności urządzeń sieciowych),<br />
bądź przez ataki na funkcjonalność aplikacji. Pierwszy scenariusz może spotkać<br />
nie tylko banki, bo w takich atakach ucierpiało wiele znanych firm branży<br />
internetowej – portale, sklepy. Ostatnio skala tych ataków nieco się zmniejszyła,<br />
m.in. dzięki współpracy z telekomami, przez które taki złośliwy ruch<br />
przechodzi i które mają techniczne możliwości jego ograniczania, nie mniej<br />
jednak nadal to zjawisko nie może być marginalizowane. Inną kategorią ataku<br />
odmowy usługi jest DDoS aplikacyjny – atak, w którym poprzez wykorzystanie<br />
interfejsu aplikacji blokowana jest np. funkcjonalność logowania. W tym<br />
przypadku konieczne jest odpowiednie przygotowanie aplikacji i infrastruktury<br />
pośredniczącej, aby wychwytywać takie sytuacje i zapobiegać stosownymi<br />
mechanizmami. Powody ataków, których skutkiem jest zaszkodzenie<br />
atakowanemu podmiotowi mogą być różne – chuligaństwo, chęć wykazania<br />
się, jak choćby przy atakach na sieć Sony Playstation Network, która stała się<br />
„ulubionym” celem ataku tego typu (chociaż nie omijają też i konkurencyjnej<br />
sieci) – jak twierdzą jej przedstawiciele ataki odbywaja się każdego dnia,<br />
sieć skutecznie zaatakowano w grudniu 2014 r., następnie prawdopodobnie<br />
DDoS spowodował niedostępność w styczniu <strong>2016</strong> r. Nie można również zapominać<br />
o powodach politycznych, jak choćby ataki cybernetyczne na Estonię<br />
w 2007 r., w wyniku których zostały zablokowane serwery i strony Zgromadzenia<br />
Państwowego, agend rządowych, banków i mediów. W efekcie banki<br />
zanotowały straty finansowe, cyberataki odczuły mocno instytucje państwa,<br />
dla obrony zostały na kilka dni zamknięte niektóre połączenia zagraniczne,<br />
Bankowy CERT – nowa broń w walce z cyberprzestępczością<br />
185