Bezpieczeństwo

systemów
informacyjnych
Czy włamanie do systemu komputerowego –
kradzież pieniędzy uważa Pan(i) za
Do najistotniejszych atrybutów
bezpieczeństwa SI zaliczamy:
 poufność – gwarantującą, że dostęp do danych
przechowywanych i przetwarzanych w systemie mają
tylko osoby do tego uprawnione;
 integralność – gwarantującą, że dane przesyłane w
czasie transakcji elektronicznej nie są przez nikogo
modyfikowane;
 autentyczność – pozwalająca stwierdzić, czy osoba
podpisująca się pod transakcją jest rzeczywiście osobą,
za którą się podaje;
 niezaprzeczalność – niepozwalajacą wyprzeć się faktu
nadania lub odbioru komunikatu drogą elektroniczną;
 dostępność – gwarantującą stały dostęp do systemu;
 niezawodność – gwarantującą, że system działa w
sposób, jakiego się od niego oczekuje.
 Podział ataków na bezpieczeństwo SI
Zagrożenie dostępności Zagrożenie poufności

przerwanie

źródło miejsce źródło miejsce

przeznaczenia przeznaczenia

przechwycenie

źródło miejsce miejsce

źródło
przeznaczenia przeznaczenia

modyfikacja podrobienie

Zagrożenie integralności Zagrożenie autentyczności

Charakterystyka i szacunek rozmiarów
zagrożeń dla systemów
 Kategorie środków ochrony:
 Prawne - wszelkie unormowania prawne, które dotyczą ochrony
danych przetwarzanych w bankowych systemach
informatycznych;
 Fizyczne - zabezpieczenia funkcjonujące w otoczeniu systemu
informacyjnego nie stanowiące jego części (alarmy, urządzenia
przeciwpożarowe, urządzenia klimatyzacyjne);
 Techniczne - rozwiązania sprzętowe związane z informatyką
bądź wykorzystujące technologie informatyczne i w bezpośredni
sposób wpływające na bezpieczeństwo system (urządzenia
podtrzymujące zasilanie, karty mikroprocesorowe, sprzętowe
blokady dostępu do klawiatur, napędów dysków, dublowanie
okablowania);
Kategorie środków ochrony:
 Programowe - wszelkie rozwiązania zabezpieczające, dostępne
dzięki wykorzystaniu oprogramowania zarówno systemowego jak i
aplikacyjnego (dzienniki systemowe (logi), programy antywirusowe);
 Organizacyjne - dotyczą kontroli zarządzania i procedur
bezpieczeństwa;
 Kontroli dostępu – hasła, podpisy cyfrowe;
 Kryptograficzne - Kryptografia nazywamy naukę o metodach
przesyłania wiadomości w zamaskowanej postaci, tak aby tylko
odbiorca był w stanie odczytać wysłaną przez nadawcę wiadomość,
będąc jednocześnie pewnym, że nie została ona przez nikogo
zmodyfikowana.
 Wady i zalety metod kontroli
Metody Wady Zalety
uwierzytelnienia
Co użytkownik Brak możliwości Łatwość implementacji.
zna (hasła, udowodnienia prawa Wygoda użytkownika.
numery własności użytkownika
identyfikacyjne do danej informacji
Co użytkownik Brak możliwości Niewysokie koszty techniczne.
ma (karty udowodnienia prawa Problemy z podrabianiem kart.
magnetyczne, własności użytkownika
tokeny) do danej informacji
Zawodność techniczna.
Kim użytkownik Bardzo wysokie koszty Duża efektywność wynikająca z
jest (metody urządzeń wystarczającej stałości w czasie
biometryczne) rozpoznających. cech charakterystycznych
człowieka. Wygoda
użytkownika.
Systemy biometryczne
Metody biometryczne badają
 cechy fizyczne - tęczówka oka, siatkówka (dno
oka), linie papilarne, układ naczyń krwionośnych
na dłoni lub przegubie ręki, kształt dłoni, kształt
linii zgięcia wnętrza dłoni, kształt ucha, twarz,
rozkład temperatur na twarzy, kształt i
rozmieszczenie zębów, zapach, DNA itp.

 cechy behawioralne - związane z zachowaniem

np. sposób chodzenia, podpis odręczny, sposób
pisania na klawiaturze komputera, głos.
O każdej z cech można
powiedzieć, że:

 ma unikalny charakter dla każdego człowieka ,

 nie można jej "wypożyczyć" innej osobie czy
ukraść,
 nie można jej "zostawić" w czytniku czy
zagubić.
Układ naczyń krwionośnych
 uniwersalność – metoda może być wykorzystywana przez
każdego bowiem wszyscy ludzie posiadają naczynia o szer.
0.3-1.0 mm w warstwach podskórnych palca;
 unikalność - niepowtarzalność indywidualnych cech we
wzorcach układu naczyniowego - formowanie się układu
krwionośnego człowieka odbywa się pierwszym etapie
ontogenezy;
 niezmienność - istnieje niezwykle małe prawdopodobieństwo
zmiany wzorca naczyń krwionośnych. Zmiana taka może być
rezultatem ciężkich zapaleń naczyń lub nowotworów, ale
występuje bardzo rzadko.
Odcisk palca
 uniwersalność – wszystkie opuszki palców pokryte są
maleńkimi bruzdami, tworzącymi wzgórza i doliny.
 unikalność – odcisk palca jest jedną z cech
niepowtarzalnych dla każdego człowieka. Jego układ jest
wynikiem marszczenia się skóry w czasie rozwoju
płodowego. Kształt linii papilarnych jest zupełnie
przypadkowy;
 niezmienność - kształt elementów wyróżniających odcisk
palca nie zmienia się przez całe życie. Nie zmieniają tego
układu nawet niewielkie urazy skóry.
Tęczówka
 uniwersalność – z metody może korzystać każdy, nie
stanowią problemu okulary czy szkła kontaktowe,
 unikalność - tęczówka oka kształtuje się w ciągu 2
pierwszych lat naszego życia. Punktów
charakterystycznych jest aż 266. Jest to parokrotnie więcej
niż punktów charakterystycznych odcisku palca.
 niezmienność - tęczówka oka pozostaje niezmienna aż do
śmierci (poza mechanicznym uszkodzeniem i przypadkiem
raka nie zanotowano odstępstw od tej reguły). De facto
tęczówka ulega zniszczeniu w maksymalnie 5 sekund po
zgonie.
Zestawienie jakościowe metod biometrycznych
Informacja Zasada działania Koszt Sprzeciw Bezpiecz Rozmiar
biometryczn użytkow eństwo urządze
a nika nia
Naczynie Używa wzoru układu niski/ niski wysokie średni/
krwionośne naczyń krwionośnych średni małe
palca palca

Naczynie Używa wzoru układu średni niski wysokie średni

krwionośne naczyń krwionośnych
ręki
Odciski Używa bardzo wysoki średnie mały
palcó w charakterystycznych niski
punktó w odciskó w
palcó w

Twarz Używa konturó w twarzy, średni niski niskie średni

położenie i kształt oczu
oraz nosa

Tęczó wka Używa wzoru cech wysoki wysoki wysokie duży

radialnych tęczó wki
Bankomaty biometryczne
Błędy pomiaru
 Niesłuszna zgodność (ang. False Match Rate
FMR, inaczej zwane również False Acceptance
Rate FAR), czyli częstość zatwierdzenia cechy
biometrycznej w momencie kiedy tak naprawdę nie
pasuje ona do modelu referencyjnego;

 Niesłuszna niezgodność (ang. False Non-Match

Rate FNMR, inaczej zwane również False Rejecion
Rate FRR), czyli częstość odrzucenia badanej
cechy w momencie, gdy pasuje ona do modelu
referencyjnego.
 Stopy błędów dla najczęściej stosowanych biometryk
 Rodzaj pomiaru / rodzaj błędu  FRR FAR
Niesłuszna Niesłuszna
niezgodność zgodność
Odcisk palca 3-7% 0,001-0,1%

Naczynie krwionośne palca 1,26% 0,01%

97
96

Naczynie krwionośne dłoni 4,25% 0,0118%

Obraz twarzy 10-20% 0,1-1%

Głos 10-20% 2-5%

Tęczówka oka 2-10% > 0,001%

Geometria dłoni 1-2% 1-2%

Podpis 10-20% 2-5%

RPA (Robotic Process Automation)
w optymalizacji procesów w banku
Robotic Process Automation (RPA)

= zrobotyzowana automatyzacja procesów

biznesowych
To narzędzie, które można wykorzystać, aby usprawnić
i zautomatyzować szereg rutynowych, ręcznych
procesów lub podprocesów.
Technologie RPA możemy podzielić na trzy
główne poziomy:

 Automatyzacja prostych procesów biznesowych -

automatyzacja procesów opartych na regułach i danych
ustrukturyzowanych;

 Automatyzacja rozwiniętych procesów biznesowych

- zarządzanie nieustrukturalizowanymi danymi oraz
bazami wiedzy;

 Automatyzacja poznawcza/autonomiczna -
zaawansowane technologie obejmujące sztuczną
inteligencję oraz aplikacje samouczące się.
Procesy poddawane automatyzacji
wyróżniają się następującymi cechami:

 mają określone reguły z minimalnym elementem oceny

osądu lub bez niego,

 wysoki udział „ręcznej” pracy w powtarzalnych krokach,

 procesy są standaryzowane od wejścia poprzez etapy

procesu aż do wyjścia,

 wolumeny transakcji procesu są wystarczająco

wysokie, aby uzasadnić automatyzację.
 60% zawodów ma co najmniej 30%
czynności związanych z pracą, które
można zautomatyzować;

 Zawody, dla których prawdopodobieństwo

automatyzacji wynosi ponad 95%, to:
sprzedawca przez telefon, urzędnik
w banku lub na poczcie, bibliotekarz,
agent ubezpieczeniowy, recepcjonista;

 W większości branż, przeciętny pracownik

spędza do 80% swojego dnia na
powtarzalnych zadaniach, które mogą być
zautomatyzowane.
 RPA charakteryzuje się trzema cechami
 łatwością konfiguracji – programiści nie potrzebują umiejętności
programowania. Interfejsy RPA działają podobnie jak Visio. Wystarczy
przeciągać, upuszczać i łączyć ikony reprezentujące kroki w
procesie, a kod jest generowany automatycznie;
 nieinwazyjnością oprogramowania – technologia RPA znajduje się na
istniejących systemach i nie ma wpływu na logikę programowania systemów
podstawowych. Ponadto produkty RPA nie przechowują żadnych danych;
 bezpieczeństwem – roboty RPA są wdrażane, planowane i
monitorowane w scentralizowanej, połączonej infrastrukturze obsługiwanej
przez IT, aby zapewnić integralność transakcyjną, zgodność z modelami
bezpieczeństwa przedsiębiorstwa i ciągłość usług zgodnie z planami
ciągłości działania przedsiębiorstw.
 Działania w bankach poddawane RPA:
 procesy operacyjne:
 operacje depozytów komercyjnych,
 obsługa płatności i weryfikacja przelewów,
 otwieranie rachunków bankowych i operacje związane z ich obsługą,
 zarządzanie finansami i środkami pieniężnymi oraz doradztwo
finansowe. Zaawansowane RPA zapewniają dostęp do wszystkich
danych klienta. Mogą śledzić nawyki związane z wydatkami, ustalać
budżety i zarządzać nimi;
 procesy kredytowe:
 wstępna analiza wniosku kredytowego,
 obliczanie ryzyka kredytowego,
 weryfikacja kompletności i poprawności dokumentacji kredytowej,
 księgowanie kredytu i wypłata środków,
 odnowienia kredytów biznesowych,
 administracja kredytami;
 Działania w bankach poddawane RPA:
 procesy wsparciowe:
 analiza wyciągów,
 sprawdzanie formularzy,
 segregowanie zeskanowanej dokumentacji,
 obsługa zajęć komorniczych,
 obsługa zgłoszeń reklamacyjnych klientów,
 tworzenie zaświadczeń o zatrudnieniu i wynagrodzeniu dla pracowników,
 generowanie zaświadczeń dla klienta (np. zwolnienie hipoteki),
 przesyłanie maili do klientów z załączoną gwarancją bankową,
 podział faksów na kategorie: roboty mogą konwertować obrazy faksów na
tekst do odczytu maszynowego, a następnie wyodrębniać dane i
klasyfikować faksy.
 RPA wykorzystywane są także do analizy bezpieczeństwa systemów IT i
wykrywania oszustw. Pomagają pracownikom przeprowadzać
dochodzenia w sprawie oszustw;
 komunikację z klientem w zastępstwie człowieka – tzw. boty, w
tym czaty będące pierwszą linią kontaktu z klientem czy zaawansowane
chatboty zapewniające doradztwo.
Korzyści z wdrożenia RPA w bankowości:

 oszczędność kosztów - od 25% do 75%, poprawiając

wydajność przy jednoczesnym zachowaniu jakości.
Zmniejszenie liczby oddziałów nawet o 20% w ciągu
5 lat (USA) i zmniejszenie rozmiaru średniego oddziału
banku o 40%;

 ograniczenie zatrudnienia – RPA mogą spowodować

spadek zatrudnienia o 28-41% w ciągu 5 lat, a w ciągu
dekady o 48-53%.
 Korzyści z wdrożenia RPA w bankowości:
 Usługa 24/7. Roboty pakietu oprogramowania mogą pracować w sposób
ciągły, nie trzeba robić przerw podczas wykonywania zadań tak jak w przypadku ludzi.
Działają non stop, bez przerw, bez snu, bez urlopów i zwolnień lekarskich;
 zmniejszony czas reakcji biznesowej:
 skrócenie czasu otwierania nowego konta o 30%,
 przyspieszyć proces księgowania nawet o 300%,
 czas realizacji dyspozycji obsługiwanych we współpracy ludzi i robotów
udało się skrócić 30-70%;
w procesach kredytowych:
 może przyspieszyć proces i usunąć wąskie gardła, aby skrócić czas przetwarzania z dni do
minut,
 weryfikacja informacji o klientach z dwóch systemów może zająć sekundy zamiast minut,
 wydobywanie ważnych danych i klauzul z umów może zająć minuty zamiast setek godzin.
Korzyści z wdrożenia RPA w bankowości:

 redukcja nadużyć bankowych dokonywanych przez

pracowników,

 redukcja liczby pomyłek - poziom błędów może być

zmniejszony średnio od 10% do 20%, a nawet obniżyć
się do zera;

 większa zgodność z przepisami – zaszycie

w algorytmach odpowiednich reguł gwarantuje ich
stosowanie.
Słabe strony robotyzacji w bankowości
 Duże początkowe nakłady pieniężne - ograniczenia budżetowe są jednymi
z najważniejszych powodów, dla których firmy nie preferują wdrażania RPA
 Masowe zwolnienia. Osoby wykonujące mniej płatne prace w centralach,
oddziałach, rozliczeniowych i obsłudze klienta prawdopodobnie stracą pracę.

 Pojawienie się nierówności pomiędzy pracownikami. Zastąpienie

pracowników maszynami może doprowadzić do dysproporcji na rynku pracy
poprzez pogłębienie nierówności między pracownikami wykwalifikowanymi i
niewykwalifikowanymi.
 Naruszanie przestrzeni osobistej z ofertami personalizowanymi – jest
cienka granica między efektywnym oferowaniem spersonalizowanych
produktów i usług, a naruszeniem prywatności klientów;
 Słabe strony robotyzacji w bankowości

 Naruszanie przestrzeni osobistej z ofertami personalizowanymi –

jest cienka granica między efektywnym oferowaniem
spersonalizowanych produktów i usług, a naruszeniem
prywatności klientów;
 Ograniczona możliwość dialogu z klientami za pomocą chatbotów:
 ograniczenie do bardzo określonego zestawu lub formatu pytań, które
są ustalane przez zespół programistów
 znaczące ograniczenia ze względu na akcenty i języki.
 Chatboty nie mogą prowadzić rozmowy, co oznacza, że nie mogą
odpowiedzieć na wiele pytań jednocześnie
 Słabe strony robotyzacji w bankowości

 Ryzyko operacyjne – robotyzacja może być przeprowadzana bez

pomocy działu IT, co powoduje brak widoczności i kontroli
wszystkich wdrożonych robotów;
 Ryzyko zgodności - niekontrolowane rozprzestrzenianie się
robotów bankowych w całej organizacji - mogą prowadzić do
poważnych problemów związanych ze zgodnością regulacyjną;
 Ryzyko jakości danych - z każdym terabajtem załadowanym do
systemu bankowego wzrasta prawdopodobieństwo słabej jakości
danych;
 Stronniczość. Sztuczna inteligencja (AI) jest niestronnicza o
tyle o ile została tak zaprogramowana.
 Urzędnik bankowy 97%
Nauczyciel akademicki 3%

www.bbc.com za: Michael Osborne, Carl Frey, The Future of Employment: How susceptible
are jobs to automation, Oxford University's Martin School, 2015