Pohled banky na bezpečnost přímého bankovnictví

Slides:



Advertisements
Podobné prezentace
JIP / KAAS / ZR aneb „Co budeme dělat
Advertisements

Podpora personálních procesů v HR Vema Jaroslav Šmarda
Zajištění bezpečnosti stránek při e-bankingu
AUKRO – TRENDY V PODVODECH
Úvod Roviny bezpečnosti Softwarová bezpečnost AntiviryFirewall Bezpečnost na internetu PhishingSpam Datová komunikace Soutěž Bezpečně na netu 2014.
III/2 8.ABC XVII Informatika prevence, bezpečnost, zabezpečení, ochrana, údržba, aktualizace, update, brána firewall, antivir, malware,
Single Sign-On (SSO) konečně komfort pro uživatele Konference ISSS – duben 2008 Pavel Novotný, NESS.
Monitorovací systém Asistent
Elektronické bankovnictví České spořitelny 2007
Proč chránit data v počítači
Přednáška č. 5 Proces návrhu databáze
Softwarové zabezpečení serveru
Nové funkcionality systému Ing. Michal Pajr IZIP 2005.
Elektronické učebnice Ing. Zdeněk Pavlík. Hlavním cílem tvorby elektronických učebnic je zlepšení podmínek pro výuku technických oborů, včetně zvyšování.
ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.
Online prodeje jako součást multikanálového přístupu v praxi
SW podpora krizového řízení Duben 2006 Tomáš Fröhlich, DiS. ISSS 2007.
Počítačová bezpečnost
1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.
Obchodní činnosti - Kapitola 8 1 VÝZKUM TRHU KAPITOLA 8 Pavlíčková.
Elektronické bankovnictví České spořitelny – rok 2006
Řešení elektronického docházkového systému Vema
Výukový materiál zpracován v rámci projektu EU peníze školám
Bezpečnostní pravidla při používání počítače a internetu
Elektronický podpis a jeho dlouhodobé slabiny Jiří Nápravník
Bezhotovostní platby a jejich zabezpečení Vojtěch Ouška UOP
Platební karty a přímé bankovnictví Základy ekonomiky a účetnictví – 9. ročník Autorem materiálu je Jitka Fialová, ZŠ Dobříš, Komenského nám. 35, okres.
Vývoj mobilních aplikací
VÝUKOVÝ MATERIÁL V RÁMCI PROJEKTU OPVK 1.5 PENÍZE STŘEDNÍM ŠKOLÁM ČÍSLO PROJEKTU:CZ.1.07/1.5.00/ NÁZEV PROJEKTU:ROZVOJ VZDĚLANOSTI ČÍSLO ŠABLONY:
Internet jako nástroj vlivu ? Dana Bérová
HOAX,PHISHING,SPYWARE.
OBSAH PREZENTACE Elegantní autentizace = Digipass GO 1 Snadné ovládání
Prvotní doklady a jejich zaúčtování
JEDINÉ ŘEŠENÍ – OD HESEL K ČIPOVÝM KARTÁM! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.
1 © Mediaresearch, a.s., 2008 NetMonitor a AdMonitoring Výsledky za říjen 2008.
Jednotná autentizace Pavel Dobiš, ICT Security Architect Důvěřujte JEN PROVĚŘENÝM…
Rozvoj nehlasových služeb Současnost a budoucnost mobilních sítí
VY_32_INOVACE_FG.9.18 Finanční gramotnost – 9.ročník Téma- Platební karty Období zpracování – duben 2013 Metodické poznámky – prezentaci je možné použít.
Podnikání na Internetu letní semestr 2004 Jana Holá VIII.
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.1 Lucián Piller Intranet HR.
Petr Krčmář Vzdálený přístup k firemní síti (bezpečně)
NEBOLI. Pojem elektronické bankovnictví Podstatou je elektronické jednání mezi klientem a finanční institucí. Podstatou je elektronické jednání mezi klientem.
Bezpečnostní pravidla při používání internetu
Vstup Vstup do internetového bankovnictví je zabezpečen Klientským číslem a kódem PIN. Tyto údaje obdržíte v aktivačním balíčku k internetovému bankovnictví.
DUM - Digitální Učební Materiál Název školy: Střední odborná škola obchodní s.r.o. Broumovská 839, Liberec 6 IČO: REDIZO: Vzdělávací.
Corpus Solutions a.s. Zkušenosti s budováním komunikační bezpečnosti Ing. Martin Pavlica.
IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation Rizika napadení webových aplikací Konference ISSS 2005 Title.
ISSS IS HN/SS Softwarová architektura informačního systému hmotné nouze a sociálních služeb Jindřich Štěpánek
Digitální výukový materiál zpracovaný v rámci projektu „EU peníze školám“ Projekt:CZ.1.07/1.5.00/ „SŠHL Frýdlant.moderní školy“ Škola:Střední škola.
BEZPEČNOSTNÍ PRAVIDLA PŘI POUŽÍVÁNÍ PC A INTERNETU
Co je to hoax? HOAX je poplašná zpráva, která obsahuje nepravdivé anebo zkreslené informace.
DALŠÍ NEBEZPEČNÉ KOMUNIKAČNÍ JEVY
1. 2 Zabezpečená mobilní komunikace 3 Private Circle chrání Vaši komunikaci před odposlechem či narušením. Jedná se o komplexní řešení pro zabezpečení.
Číslo projektuCZ.1.07/1.5.00/ Číslo materiáluVY_62_INOVACE_73 8 _ Přímé bankovnictví II. AutorIng. Renata Wagnerová Průřezové téma Člověk a svět.
Kód vzdělávacího materiálu: VY_62_INOVACE_0201 Název vzdělávacího materiálu: Bankovní účty Datum vytvoření: Jméno autora: Ing. Zdenek Páže Předmět:
Personální audit - cesta k efektivitě využívání lidských zdrojů.
Zabezpečení dat a komunikační infrastruktury Policie ČR CZ.1.06/1.1.00/ Zabezpečení dat a komunikační infrastruktury Policie ČR CZ.1.06/1.1.00/
Stalo se … příběh jednoho „průšvihu“ Ing.Tomáš Boubelík PhDr.Iva Moravcová Mgr.Oldřich Smola.
Číslo projektuCZ.1.07/1.5.00/ Název školyGymnázium, Soběslav, Dr. Edvarda Beneše 449/II Kód materiáluVY_62_INOVACE_21_14 Název materiáluPřímé bankovnictví.
EU_62_B_sada 1_04_M_Platební karta_Poliačíková Název školy Střední škola, Základní škola a Mateřská škola, Karviná, p. o. AutorIng. Jana Poliačíková Anotace.
ŠKOLA: Gymnázium, Chomutov, Mostecká 3000, příspěvková organizace AUTOR:Marcela Zahrádková NÁZEV:VY_62_INOVACE_01B_15_Bezhotovostní placení TEMA:Finanční.
IS jako nástroj moderního personálního managementu Vít Červinka
VY_62_INOVACE_ – Přímé bankovnictví Autor Ing. Hana Sůvová
Elektronické bankovnictví
EU_62_B_sada 1_05_M_Bankomat_Poliačíková
9. Bezpečnostní pravidla při používání počítače a internetu
BEZPEČNOST NA KONTAKTNÍCH MÍSTECH Czech POINT
FINANČNÍ GRAMOTNOST Bezhotovostní placení 4.
Zabezpečení www stránek
Hrozby a trendy Internetbankingu
Transkript prezentace:

Pohled banky na bezpečnost přímého bankovnictví bezpečí vs. uživatelský komfort David Lorenc, David Pikálek Česká spořitelna Přímé bankovnictví 26.2.2009

Agenda Zkušenost roku 2008 v ČR Aktuální trendy v bezpečnosti ADK Phishing Pharming Aktuální trendy v bezpečnosti ADK ČR Evropa a USA Plány ČS v oblasti bezpečnosti

Útočníci se u phishing hodně rychle učí Ukázka phishingu na ČS Útočníci se u phishing hodně rychle učí

Phishing se nejvíce zaměřuje na platební karty Dopad phishingu na ČS Následky phishingové vlny z jara 2008: nedošlo k žádnému zneužití peněz přes internetové bankovnictví několik stovek klientů vyzradilo údaje o svých platebních kartách někteří včetně PINu u poloviny karet došlo k pokusu o zneužití k reálným transakcím došlo u 10% karet průměrná škoda na kartu byla 13 000 Kč díky úspěšným reklamacím byly téměř všechny peníze klientům vráceny zahlcené klientské centrum – ve špičce až 3000 telefonátů a 8500 e-mailů denně osvěta klientů – intenzivní komunikace bank, ČNB i policie vedla k výraznému zlepšení povědomí klientů o možných hrozbách a připomněla, jak se bezpečně chovat na internetu Phishing se nejvíce zaměřuje na platební karty

Pharming se vloni týkal asi 50 klientů ČS, ani jeden nebyl úspěšný V roce 2008 se na českém trhu objevily dva hlavní typy pharmingu: získání přihlašovacích a autorizačních údajů do internet bankingu klientův počítač je infikován trojským koněm nebo jiným škodlivým SW trojský kůň čeká, až klient použije své internetové bankovnictví podvržení falešné stránky s cílem získat dodatečné bezpečnostní prvky (např. Bezpečnostní kód) pokus o zneužití peněz na účtu klienta získání údajů o platební kartě trojský kůň čeká, až klient použije svou platební kartu podvržení falešné stránky s cílem získat dodatečné bezpečnostní prvky (CVV/CVC a/nebo PIN) Pharming se vloni týkal asi 50 klientů ČS, ani jeden nebyl úspěšný

Jak bojovat proti phishingu a pharmingu Hlavní nástroje: Prevence - proaktivní komunikace přímá komunikace na klienty osvěta v médiích Koordinace ČNB a Bankovní asociace Policie ČR technologické firmy (výrobci antivirů, antispamové databáze…) Nové metody zabezpečení dvoufaktorové metody fraud management systémy

Letáky – na pobočkách a ke stažení na webu

Komunikace a) Interní: Maily všem 12,000 zaměstnancům Průběžné info na Intranetu b) Externí Internet Tiskové zprávy Rozhovory Print inzerce Odborná konference Spolupráce s experty

Participace na osvětě

Agenda Zkušenost roku 2008 v ČR Aktuální trendy v bezpečnosti ADK Phishing Pharming Aktuální trendy v bezpečnosti ADK ČR Evropa a USA Plány ČS v oblasti bezpečnosti

Co klienti používají v ČS Počty uživatelů přímého bankovnictví Aktuální trendy: Počet uživatelů ADK roste z 2,8 milionů běžných účtů v ČS má přímé bankovnictví přes 1,2 milionu z nich (43%) meziroční růst počtu klientů s ADK zpomalil na 9% nejpopulárnějším kanálem se stal internet banking s 940 000 uživateli Transakce jedině přes internet každý pracovní den ČS zpracuje v průměru 270 000 on-line příkazů v objemu skoro osm miliard korun 80% transakcí klienti v ČS zadají přes přímé bankovnictví

Srovnání bezpečnostních metod v ČS Počty uživatelů přímého bankovnictví Bezpečnostní metody: používané metody SMS PKI a čipová karta Autentizační kalkulátor preference klientů nejčastěji používanou metodou zabezpečení jsou autorizační SMS méně než tři procenta klientů používají vyšší formy zabezpečení (kalkulátor nebo PKI) Klienti jednoznačně preferují jednoduchost před vyšší bezpečností

Většina bank zavádí nebo zvažuje metodu EMV CAP/DPA Trendy v EU Řešení bezpečnosti: Většina bank používá různé varianty ověření statickým heslem nebo OTP z tabulky Trendem je posilování bezpečnosti dodatečnými prvky nebo dvoufaktorovými metodami Banka ID/heslo vylepšené heslo SMS Token CAP/DPA PKI Citigroup ne TAN Digipass připravuje Deutsche Bank TAN, Code Card/Number card ABN-AMRO ano HSBC heslo + kontrolní otázky UBS Dexia GRID karta, TAN Barclays Bank PIN + náhodné pozice z hesla Fortis Royal Bank of Scotland náhodně vybraná písmena z hesla ING Direct BNP Paribas   BAWAG P.S.K. Většina bank zavádí nebo zvažuje metodu EMV CAP/DPA

Banky nemají společný přístup k řešení bezpečnosti Trendy v ČR Řešení bezpečnosti: Řeší zvlášť autentizaci uživatele a autorizaci pokynů Používání bezpečnostních metod se liší mezi bankami   PW TOKEN PKI SMS GRID Summary CITIBANK +/- -/+ -/- +/+ RAIFFEISEN POŠTOVNÍ SPOŘITELNA ČSOB ++/++ KB +/++ HVB E-BANKA +++/+++ ČESKÁ SPOŘITELNA Banky nemají společný přístup k řešení bezpečnosti

Agenda Phishing a pharming – zkušenost roku 2008 Aktuální trendy v bezpečnosti ADK ČR Evropa a USA Plány ČS v oblasti bezpečnosti

Komplexní bezpečnost

Nové bezpečnostní metody Kritéria pro výběr: Bezpečnost, odolnost proti útokům Použitelnost pro různé kanály přímého bankovnictví Komfort, jednoduchost používání Náročnost z pohledu banky Hodnocené metody: Heslo, vylepšené heslo, generátor OTP, HW token, SMS OTP, digitální podpis Výsledek: Kritériím nejlépe vyhovují metody: SmartSIM a EMV CAP/DPA SmartSIM je SIMToolkit aplikace ovládaná v mobilním telefonu EMV CAP/DPA je aplikace na platební kartě ovládaná off-line čtečkou s klávesnicí Další kroky: Ve skupině ERSTE byla za standard zvolena metoda EMV CAP/DPA V tomto roce příprava projektu, v roce 2010 chceme implementovat ČS připravuje zavedení nových bezpečnostních metod

Ochrana klientského PC Doporučení bank: Požadavky na správné verze systému a komponent Personální firewall Antivirový program Pravidelná aktualizace systému a všech programů Opatrnost při používání e-mailu a Internetu Pomoc banky: Včasné informace o nových hrozbách Nástroj, kterým si uživatel PC otestuje Použití nástroje má být dobrovolné Výstupem je jednoduchá informace: PC je/není kompatibilní s aplikací ČS Internetbankingu PC má/nemá známou bezpečnostní zranitelnost V případě nalezení problému nástroj nabídne návod k řešení Většina uživatelů si není jistá nastavením a bezpečností vlastního PC

Ochrana banky Banka je povinná sledovat podezřelé aktivity na účtech klientů Řešení: Více automatizovaných nástrojů Hodnotí důvěryhodnost transakcí podle různých příznaků Blacklisty, whitelisty Pravidelné transakce v obvyklé výši Používání známé/prověřené stanice Přihlášení z neobvyklé lokace, v neobvyklou dobu … Další sledované vzorce podvodného chování Je zavedený řízený proces sledování Výstupem nástrojů je varování na transakce s vyšším rizikem Pracovníci banky transakce dále prověřují Poslední možností je ověření transakce s klientem

Shrnutí Útoky využívající phishing či pharming jsou stále sofistikovanější Klíčové aktivity minimalizující riziko Prevence - komunikace Koordinace Nové bezpečnostní metody (u klienta i v bankách) Erste Bank Group bude rozvíjet zejména EMV CAP/DPA a tokeny