Bezpieczeństwo w instytucji finansowej: Czego oczekuję od banku?

BANK 2014/04

Współczesne media prześcigają się w ilości podawanych informacji. W tym zalewie trudno się zorientować, co jest rzeczywiście ważne, a co jedynie bezwartościową paplaniną. Tym większy zatem podziw budzić musi reakcja klientów banków na informacje o ujawnionych oszustwach lub potencjalnym zagrożeniu związanym z aktywnością cyberprzestępców.

Współczesne media prześcigają się w ilości podawanych informacji. W tym zalewie trudno się zorientować, co jest rzeczywiście ważne, a co jedynie bezwartościową paplaniną. Tym większy zatem podziw budzić musi reakcja klientów banków na informacje o ujawnionych oszustwach lub potencjalnym zagrożeniu związanym z aktywnością cyberprzestępców.

Zbigniew Szmigiero Customer Technical Professional – IBM Security Systems, Software Group, IBM Poland

Znakomitym przykładem mogą być ujawnione ostatnio problemy z domowymi routerami, które – jak się okazało – bez większych problemów umożliwiały przekierowywanie ruchu do spreparowanych stron www podszywających się m.in. pod strony bankowe, co – w zamyśle hakerów – miało umożliwić przechwytywanie haseł używanych przez klientów przy korzystaniu z usług bankowych. Tempo rozprzestrzeniania się informacji o tym zagrożeniu wśród użytkowników internetu było oszałamiające. Ostrzeżenia można było znaleźć Nie tylko na serwisach na co dzień zajmujących się tematyką bezpieczeństwa, ale także na większości serwisów informacyjnych i na forach dyskusyjnych. Sam otrzymałem przynajmniej kilkanaście wiadomości tak od znajomych, jak i w ramach list dystrybucyjnych, których jestem członkiem.

Świadomi, ale niedoświadczeni

My – klienci banków – jesteśmy świadomi zagrożeń, ale zazwyczaj nie posiadamy wystarczającej wiedzy i narzędzi pozwalających właściwie kontrolować i zarządzać ryzykiem związanym z dostępem do bankowości elektronicznej. Czy nasza wiedza ma się opierać jedynie na serwisach i poradach dostarczanych przez bank w ramach „najlepszych praktyk” po zalogowaniu się do serwisu? Czy ciągle powtarzane jak mantra informacje o kontrolowaniu URL i połączenia SSL z serwisem w dobie najnowszych ataków Man-In-The-Middle i Man-In-The-Browser na nasze konta mają jakiekolwiek znaczenie? Czy wyspecjalizowane robaki przejmujące zarówno stację roboczą, jak i infekujące następnie urządzenia mobilne klienta banku, a tym samym mające kontrolę nad niezależnym kanałem potwierdzenia transakcji usługą SMS, mogą być przez nas identyfikowane samodzielnie?

Jaka jest odpowiedzialność klienta, a jaka rola banku w ochronie naszych pieniędzy?

Zdarzenia, do jakich doszło w 2013 r. dobitnie wykazały nieskuteczność istniejących systemów ochrony transakcyjnej na styku klient-bank w komunikacji elektronicznej. W znakomitej ilości przypadków atak przeprowadzany był poprzez infekcję po stronie klienta, czasem wykorzystywano słabość procesu (np. brak potwierdzeń zmiany konta przelewu), czasem socjotechnikę (...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Udostępnij artykuł: