Vijesti Poslovanje Internet Telekomunikacije Poslovna rjeenja Gadgeti Leadership Kolumne O nama Sigurnost Internet bankarstva Objavljeno: 29.05. 2014 :: Autor: Saa Aksentijevi ::Verzija za printanje U prvoj polovici 2014. godine dogodio se itav niz znaajnih dogaaja u podruju informacijske sigurnosti i legislative na globalnoj razini, a na lokalnoj razini to su zasigurno bili medijski eksponirani sluajevi zloupotrebe sustava Internet bankarstva nekih domaih banaka pri emu su rtve bile fizike osobe, ali i pravne osobe te poduzea u dravnom vlasnitvu koja se bave osjetljivim djelatnostima i za koja bi se instinktivno (i opravdano) oekivalo da imaju najrazvijenije sustave upravljanja informacijskom sigurnou, te su stoga bile neoekivani gosti u novinskim naslovima. Ovo je ujedno prva prigoda da su sustavi Internet bankarstva domaih banaka bili sustavno napadnuti. Prema javno raspoloivim informacijama, u nekim sluajevima radilo se o razmjerno sofisticiranimnapadima koji su izvedeni zaraavanjem klijentskih raunala kojima su mijenjane mrene postavke a zatim je korisnicima kod pokuaja prijave prezentirana lana stranica Internet bankarstva koja je gotovo po svemu istovjetna izvornoj, ukljuujui Internet adresu. Od korisnika bi bio zahtijevan unos jednokratnih lozinki za prijavu u sustav ali i potvrdu transakcije, u nekim sluajevima ak i vie takvih lozinki, dok bi se u pozadini u realnom vremenu te informacije automatski dostavljale od strane napadaa autentinom sustavu Internet bankarstva. U sluaju uspjeno provedenog napada, u navedenom scenariju koji je vrlo lukavo zamiljen, mogue je prebaciti sredstva s bankovnog rauna kojemu se pristupilo sa zaraenog raunala na neki drugi raun budui da je korisnik napadau sam dostavio lozinku za potvrdu transakcije. 13 Like Like Share Share Page 2 ICT Business | Sigurnost Internet bankarstva 14/06/2014 22:47:42 http://www.ictbusiness.info/kolumne/sigurnost-internet-bankarstva To je ujedno jedina toka u kojoj korisnik moe uoiti da neto nije u redu budui da sustavi Internet bankarstva banaka nikada ne zahtijevaju jednokratnu lozinku za potvrdu transakcije kod prijave, ve samo u sluaju provoenja stvarne transakcije. Banke u Hrvatskoj uglavnom koriste tehnologije zatite informacijskih sustava koje prate svjetske standarde, te s te strane bankama doista nije mogue nita posebno zamjeriti. Razlog tome nije neka posebna dobrohotnost banaka, ve jednostavna poslovna logika utemeljena na procjeni rizika, ali i prudencijalnim i obligatornim mjerama koje pred njih postavljaju kako Bazelski standardi, tako i lokalna zakonska legislativa koju HNB striktno provodi u formalnom i strukturiranom obliku ve estu godinu zaredom. Osim toga, korisnici Internet bankarstva moraju biti svjesni kako oni za sve te usluge plaaju budui da je naknada za Internet bankarstvo, posljednjih godina upakirana u razne pakete bankarskih proizvoda za koje se plaa mjesena naknada, a ona je pak samo jedan dio bankarskog prihoda koji ini izdani kola ukupnih bankarskih naknada. Reakcije banaka bile su u poetku pomalo nespretne, no to je kod najrigidnijih korporativnih sustava i za oekivati. Prvo su objavljene tipine suhoparne izjave ureda za odnose s javnou kao odgovor na novinske lanke, da bi se onda uopeno javila Hrvatska narodna banka, a zatim su, u zadnjih nekoliko tjedana, neke banke inkorporirale obavijesti o napadima na svoje stranice, dok neke to do danas nisu uinile. Naime, jedna velika hrvatska banka nakon prijave na sustav svog Internet bankarstva odnedavno zahtijeva da korisnik proe svojevrsni kratki seminar o sigurnosti koritenja tog sustava, te ukazuje na sve sumnjive sluajeve i modele ponaanja sustava u kojima bi korisnik morao kontaktirati banku. Nakon tog seminara, korisnik mora odgovoriti na nekoliko vezanih pitanja te dodatno potvrditi da razumije rizike koji proizlaze iz koritenja Internet bankarstva. Iako je sa strunog stajalita ovakvo ponaanje banke za svaku pohvalu jer educira korisnike, sa stajalita korporativnog upravljanja, konzervativni donosilac odluke u nekoj drugoj banci mogao bi zakljuiti da bi ovakvo skretanje pozornosti na problematiku moglo znaiti neku vrstu priznanja da problem uope postoji. Iz tog razloga, takve banke i dalje stoje iza stajalita kako je kod njih sve u redu, a problem je kod korisnika. Takvo stajalite je uglavnom i opravdano, ukoliko se promatraju samo injenice, meutimkontekst je daleko iri, pa se problematika napada na sustave Internet bankarstva moe promatrati barem unutar tri okvira, a to su: 1. Upravljanje sigurnou informacijskih sustava, 2. Poinjenje kaznenog djela i 3. Korporativno upravljanje bankom i poslovnom strategijom. Sa stajalita upravljanja sigurnou informacijskih sustava, informacijska imovina koja je ukljuena u koritenje Internetskog bankarstva je sam sustav, ali nedvojbeno i klijentsko raunalo s kojega se njemu pristupa te raunalna mrea izmeu dva entiteta. Meutim, klijentsko raunalo nije pod izravnom kontrolom banke te e banka zasigurno dokazivati, a vjerojatno u tome i uspjeti, da ona ne moe utjecati na iskoritavanje ranjivosti informacijske imovine koja se ne nalazi neposredno pod kontrolom banke. Nadalje, za oekivati je kako e se zbog prirode napada u dnevnicima pristupa Internet bankarstvu nalaziti takvi unosi koji ukazuju da su sve radnje vezane uz prijenos novca obavljene s klijentskog raunala i zapravo inicirane od strane klijenta, te stoga banka ne odgovara za takvu transakciju jer je scenarij s legalistike strane zasigurno predvien prihvaenim opim uvjetima koritenja usluge. Sa stajalita poinjenog kaznenog djela, oteena stranka e dokazivati kako ona nije inicirala inkriminirane transfere iako se u dnevnicima pristupa nalaze unosi koji ukazuju na njeno klijentsko raunalo. Pritom e s obzirom na prirodu koritene informacijske imovine biti razmjerno manje tragova koji e moi dati korisne informacije pri dokazivanju te se korisnik u ovakvom sluaju nuno nalazi u podreenom sluaju a osobito s obzirom na injenicu da mu je novac uzet s rauna. Ovdje je kljuno istraiti je li mogue zakljuiti tko je zapravo poinitelj tog djela to e s obzirom na prirodu napada biti jako teko, ako ne i nemogue uiniti. Vjerojatno e bolje tragove u tom smislu moe pruiti meubankarska suradnja i trag transfera novca od istraivanja tragova u dnevnicima pristupa i na klijentskom raunalu. Ovakvi sluajevi zasigurno e otvoriti raspravu o tome kolika treba biti ukljuenost banaka u edukaciju krajnjih korisnika pri koritenju Internet bankarstva. Dobrim dijelom, ono se svodi na ugovor o sklapanju usluge i izdavanje ureaja za autorizaciju (tokeni, razni USB prikljuni ureaju, u prolosti TAN kartice), uz kratke upute za koritenje. Usprkos visokoj penetraciji Internet bankarstva u poslovnu i privatnu sferu, greke pri koritenju na koje se nailazi u praksi su i dalje poetnike: od dijeljenja kartica i pristupnih lozinki izmeu vie osoba, preko ostavljanja prikljuenih ureaja za autorizaciju i kad se te usluge ne koriste to vodi do mogunosti napada druge vrste, odnosno unutranjih napada. Stoga je potrebno pozdraviti napore banke koja se nije zamarala PR konstrukcijama ve je u svoj proces ukljuila i dosta nasilnu edukaciju korisnika ako namjeravaju nastaviti koristiti servise Internet bankarstva. Potrebno je napomenuti i kako e ovakvi sluajevi zadati dodatnu glavobolju direktnim dionicima u procesu, a to su Dravno odvjetnitvo, sudovi i policija, te sudskim vjetacima koji e se morati oitovati o injenicama temeljem raspoloivih dokaza, a temeljem kojih Dravno odvjetnitvo i sudovi donose odluke. Zanimljivo je da niti jedno osiguravajue drutvo nije u ovoj situaciji uoilo prigodu da makar iz marketinkih razloga ponudi na tritu uslugu osiguranja informacijskih sustava od napada ove vrste. Naime, osiguranje od incidenata informacijske sigurnosti jo uvijek je razmjerno zapostavljeni segment osiguravajue industrije na globalnoj razini. Ono osiguravajue drutvo koje bi na lokalnoj razini prvo ponudilo iskoristiv paket ili oblik takvog osiguranja zasigurno bi moglo postati prepoznato, makar u inicijalnom periodu, kao lider u tom segmentu. Takvo osiguranje mogle bi na razini sustava sklapati same banke koje ionako moraju prikupljati podatke o svojim incidentima informacijske sigurnosti, ili bi se moglo nuditi krajnjim korisnicima sustava, odnosno kao dio paketa bankarskih usluga. Za kreiranje komercijalnih ponuda osiguravajue Page 3 ICT Business | Sigurnost Internet bankarstva 14/06/2014 22:47:42 http://www.ictbusiness.info/kolumne/sigurnost-internet-bankarstva Prijava Jo nema komentara. Budi prvi! Upii tekst ovdje! Komentiraj kao Gost ili se prijavi: Ime Email Web Stranica (neobavezno) Prikazano uz va komentar Nije javno prikazan. Akoimate web stranicu, upiite link ovdje. Objavi Komentar bi drutvo trebalo imati podatke o frekvenciji i utjecaju nastupa ovakvih incidenata, to bi se u okviru aktuarske matematike moglo postaviti problematinim ulaznim parametrom. Naalost, jo jednom se potvrdilo kako se panja javnosti na informacijsku sigurnost skrene iskljuivo kada nastupe incidenti, a osobito ako su oni financijski mjerljivi. Napadi na sustave Internet bankarstva imaju mjerljivu tetu po klijenta a postoji i teta po banke koju je neto tee kvantificirati. Doba u kojemu se nalazimo i ono koje nam tek predstoji doba je u kojemu e korisnicima postati jasno kako koncept apsolutne informacijske sigurnosti ne postoji ve je njena razina funkcija resursa uloenih u postizanje zadovoljavajue razine sigurnosti o kojoj bi doista svatko za sebe morao promisliti koja je. U ovom smislu, ti su resursi vrijeme, novac i znanje. Budui da je iluzorno oekivati kako e krajnji korisnici implementirati sve ove mjere na tehniki zadovoljavajuoj razini, bankama bi bilo od koristi da se makar u edukaciju korisnika ukljue i preventivno, a ne samo kurativno.
Izlijei kandidu zauvijek i lij it k did Jedinstvena metoda, u 5 koraka ukloni k did ij k Vidi Komentare Napii novi komentar Pretplati se na Nita Ostale vijesti iz kategorije KOLUMNA: Zanimanje poduzetnik to je kao sport ili ulini nemiri facebook facebook 44
Obavijest - nastupno predavanje dr.sc. Saše Aksentijevića za izbor u naslovno znanstveno-nastavno zvanje docent - "Implementacija tehnologije interneta stvari (Internet of Things) u logističkim lancima"