Page 1 ICT Business | Sigurnost Internet bankarstva

14/06/2014 22:47:42 http://www.ictbusiness.info/kolumne/sigurnost-internet-bankarstva

Vijesti
Poslovanje
Internet
Telekomunikacije
Poslovna rjeenja
Gadgeti
Leadership
Kolumne
O nama
Sigurnost Internet bankarstva
Objavljeno: 29.05. 2014 :: Autor: Saa Aksentijevi ::Verzija za printanje
U prvoj polovici 2014. godine dogodio se itav niz znaajnih dogaaja u podruju informacijske sigurnosti i legislative na globalnoj razini, a na
lokalnoj razini to su zasigurno bili medijski eksponirani sluajevi zloupotrebe sustava Internet bankarstva nekih domaih banaka pri emu su
rtve bile fizike osobe, ali i pravne osobe te poduzea u dravnom vlasnitvu koja se bave osjetljivim djelatnostima i za koja bi se instinktivno (i
opravdano) oekivalo da imaju najrazvijenije sustave upravljanja informacijskom sigurnou, te su stoga bile neoekivani gosti u novinskim
naslovima.
Ovo je ujedno prva prigoda da su sustavi Internet bankarstva domaih banaka bili sustavno napadnuti. Prema javno raspoloivim informacijama,
u nekim sluajevima radilo se o razmjerno sofisticiranimnapadima koji su izvedeni zaraavanjem klijentskih raunala kojima su mijenjane
mrene postavke a zatim je korisnicima kod pokuaja prijave prezentirana lana stranica Internet bankarstva koja je gotovo po svemu istovjetna
izvornoj, ukljuujui Internet adresu.
Od korisnika bi bio zahtijevan unos jednokratnih lozinki za prijavu u sustav ali i potvrdu transakcije, u nekim sluajevima ak i vie takvih
lozinki, dok bi se u pozadini u realnom vremenu te informacije automatski dostavljale od strane napadaa autentinom sustavu Internet
bankarstva. U sluaju uspjeno provedenog napada, u navedenom scenariju koji je vrlo lukavo zamiljen, mogue je prebaciti sredstva s
bankovnog rauna kojemu se pristupilo sa zaraenog raunala na neki drugi raun budui da je korisnik napadau sam dostavio lozinku za
potvrdu transakcije.
13
Like Like Share Share
Page 2 ICT Business | Sigurnost Internet bankarstva
14/06/2014 22:47:42 http://www.ictbusiness.info/kolumne/sigurnost-internet-bankarstva
To je ujedno jedina toka u kojoj korisnik moe uoiti da neto nije u redu budui da sustavi Internet bankarstva banaka nikada ne zahtijevaju
jednokratnu lozinku za potvrdu transakcije kod prijave, ve samo u sluaju provoenja stvarne transakcije.
Banke u Hrvatskoj uglavnom koriste tehnologije zatite informacijskih sustava koje prate svjetske standarde, te s te strane bankama doista nije
mogue nita posebno zamjeriti. Razlog tome nije neka posebna dobrohotnost banaka, ve jednostavna poslovna logika utemeljena na procjeni
rizika, ali i prudencijalnim i obligatornim mjerama koje pred njih postavljaju kako Bazelski standardi, tako i lokalna zakonska legislativa koju
HNB striktno provodi u formalnom i strukturiranom obliku ve estu godinu zaredom.
Osim toga, korisnici Internet bankarstva moraju biti svjesni kako oni za sve te usluge plaaju budui da je naknada za Internet bankarstvo,
posljednjih godina upakirana u razne pakete bankarskih proizvoda za koje se plaa mjesena naknada, a ona je pak samo jedan dio bankarskog
prihoda koji ini izdani kola ukupnih bankarskih naknada. Reakcije banaka bile su u poetku pomalo nespretne, no to je kod najrigidnijih
korporativnih sustava i za oekivati.
Prvo su objavljene tipine suhoparne izjave ureda za odnose s javnou kao odgovor na novinske lanke, da bi se onda uopeno javila Hrvatska
narodna banka, a zatim su, u zadnjih nekoliko tjedana, neke banke inkorporirale obavijesti o napadima na svoje stranice, dok neke to do danas
nisu uinile. Naime, jedna velika hrvatska banka nakon prijave na sustav svog Internet bankarstva odnedavno zahtijeva da korisnik proe
svojevrsni kratki seminar o sigurnosti koritenja tog sustava, te ukazuje na sve sumnjive sluajeve i modele ponaanja sustava u kojima bi
korisnik morao kontaktirati banku.
Nakon tog seminara, korisnik mora odgovoriti na nekoliko vezanih pitanja te dodatno potvrditi da razumije rizike koji proizlaze iz koritenja
Internet bankarstva. Iako je sa strunog stajalita ovakvo ponaanje banke za svaku pohvalu jer educira korisnike, sa stajalita korporativnog
upravljanja, konzervativni donosilac odluke u nekoj drugoj banci mogao bi zakljuiti da bi ovakvo skretanje pozornosti na problematiku moglo
znaiti neku vrstu priznanja da problem uope postoji. Iz tog razloga, takve banke i dalje stoje iza stajalita kako je kod njih sve u redu, a
problem je kod korisnika.
Takvo stajalite je uglavnom i opravdano, ukoliko se promatraju samo injenice, meutimkontekst je daleko iri, pa se problematika napada na
sustave Internet bankarstva moe promatrati barem unutar tri okvira, a to su:
1. Upravljanje sigurnou informacijskih sustava,
2. Poinjenje kaznenog djela i
3. Korporativno upravljanje bankom i poslovnom strategijom.
Sa stajalita upravljanja sigurnou informacijskih sustava, informacijska imovina koja je ukljuena u koritenje Internetskog bankarstva je sam
sustav, ali nedvojbeno i klijentsko raunalo s kojega se njemu pristupa te raunalna mrea izmeu dva entiteta. Meutim, klijentsko raunalo nije
pod izravnom kontrolom banke te e banka zasigurno dokazivati, a vjerojatno u tome i uspjeti, da ona ne moe utjecati na iskoritavanje
ranjivosti informacijske imovine koja se ne nalazi neposredno pod kontrolom banke.
Nadalje, za oekivati je kako e se zbog prirode napada u dnevnicima pristupa Internet bankarstvu nalaziti takvi unosi koji ukazuju da su sve
radnje vezane uz prijenos novca obavljene s klijentskog raunala i zapravo inicirane od strane klijenta, te stoga banka ne odgovara za takvu
transakciju jer je scenarij s legalistike strane zasigurno predvien prihvaenim opim uvjetima koritenja usluge.
Sa stajalita poinjenog kaznenog djela, oteena stranka e dokazivati kako ona nije inicirala inkriminirane transfere iako se u dnevnicima
pristupa nalaze unosi koji ukazuju na njeno klijentsko raunalo. Pritom e s obzirom na prirodu koritene informacijske imovine biti razmjerno
manje tragova koji e moi dati korisne informacije pri dokazivanju te se korisnik u ovakvom sluaju nuno nalazi u podreenom sluaju a
osobito s obzirom na injenicu da mu je novac uzet s rauna.
Ovdje je kljuno istraiti je li mogue zakljuiti tko je zapravo poinitelj tog djela to e s obzirom na prirodu napada biti jako teko, ako ne i
nemogue uiniti. Vjerojatno e bolje tragove u tom smislu moe pruiti meubankarska suradnja i trag transfera novca od istraivanja tragova u
dnevnicima pristupa i na klijentskom raunalu.
Ovakvi sluajevi zasigurno e otvoriti raspravu o tome kolika treba biti ukljuenost banaka u edukaciju krajnjih korisnika pri koritenju Internet
bankarstva. Dobrim dijelom, ono se svodi na ugovor o sklapanju usluge i izdavanje ureaja za autorizaciju (tokeni, razni USB prikljuni ureaju,
u prolosti TAN kartice), uz kratke upute za koritenje. Usprkos visokoj penetraciji Internet bankarstva u poslovnu i privatnu sferu, greke pri
koritenju na koje se nailazi u praksi su i dalje poetnike: od dijeljenja kartica i pristupnih lozinki izmeu vie osoba, preko ostavljanja
prikljuenih ureaja za autorizaciju i kad se te usluge ne koriste to vodi do mogunosti napada druge vrste, odnosno unutranjih napada.
Stoga je potrebno pozdraviti napore banke koja se nije zamarala PR konstrukcijama ve je u svoj proces ukljuila i dosta nasilnu edukaciju
korisnika ako namjeravaju nastaviti koristiti servise Internet bankarstva.
Potrebno je napomenuti i kako e ovakvi sluajevi zadati dodatnu glavobolju direktnim dionicima u procesu, a to su Dravno odvjetnitvo,
sudovi i policija, te sudskim vjetacima koji e se morati oitovati o injenicama temeljem raspoloivih dokaza, a temeljem kojih Dravno
odvjetnitvo i sudovi donose odluke.
Zanimljivo je da niti jedno osiguravajue drutvo nije u ovoj situaciji uoilo prigodu da makar iz marketinkih razloga ponudi na tritu uslugu
osiguranja informacijskih sustava od napada ove vrste. Naime, osiguranje od incidenata informacijske sigurnosti jo uvijek je razmjerno
zapostavljeni segment osiguravajue industrije na globalnoj razini. Ono osiguravajue drutvo koje bi na lokalnoj razini prvo ponudilo iskoristiv
paket ili oblik takvog osiguranja zasigurno bi moglo postati prepoznato, makar u inicijalnom periodu, kao lider u tom segmentu. Takvo
osiguranje mogle bi na razini sustava sklapati same banke koje ionako moraju prikupljati podatke o svojim incidentima informacijske sigurnosti,
ili bi se moglo nuditi krajnjim korisnicima sustava, odnosno kao dio paketa bankarskih usluga. Za kreiranje komercijalnih ponuda osiguravajue
Page 3 ICT Business | Sigurnost Internet bankarstva
14/06/2014 22:47:42 http://www.ictbusiness.info/kolumne/sigurnost-internet-bankarstva
Prijava
Jo nema komentara. Budi prvi!
Upii tekst ovdje!
Komentiraj kao Gost ili se prijavi:
Ime Email Web Stranica (neobavezno)
Prikazano uz va komentar Nije javno prikazan. Akoimate web stranicu, upiite link ovdje.
Objavi Komentar
bi drutvo trebalo imati podatke o frekvenciji i utjecaju nastupa ovakvih incidenata, to bi se u okviru aktuarske matematike moglo postaviti
problematinim ulaznim parametrom.
Naalost, jo jednom se potvrdilo kako se panja javnosti na informacijsku sigurnost skrene iskljuivo kada nastupe incidenti, a osobito ako su
oni financijski mjerljivi. Napadi na sustave Internet bankarstva imaju mjerljivu tetu po klijenta a postoji i teta po banke koju je neto tee
kvantificirati. Doba u kojemu se nalazimo i ono koje nam tek predstoji doba je u kojemu e korisnicima postati jasno kako koncept apsolutne
informacijske sigurnosti ne postoji ve je njena razina funkcija resursa uloenih u postizanje zadovoljavajue razine sigurnosti o kojoj bi doista
svatko za sebe morao promisliti koja je. U ovom smislu, ti su resursi vrijeme, novac i znanje. Budui da je iluzorno oekivati kako e krajnji
korisnici implementirati sve ove mjere na tehniki zadovoljavajuoj razini, bankama bi bilo od koristi da se makar u edukaciju korisnika ukljue i
preventivno, a ne samo kurativno.

Izlijei kandidu zauvijek
i lij it k did
Jedinstvena metoda, u 5 koraka ukloni
k did ij k Vidi
Komentare
Napii novi komentar
Pretplati se na
Nita
Ostale vijesti iz kategorije
KOLUMNA: Zanimanje poduzetnik to je kao sport ili ulini nemiri
facebook facebook
44

1

3

1
Google +
0

1
Digg
1

0
Stumble