50 Największych Banków w Polsce – 2014: NCR Security Day
W połowie maja NCR zorganizował w Warszawie konferencję, której przewodnim hasłem było bezpieczeństwo fizycznych i wirtualnych transakcji finansowych. Poruszano zarówno kwestie związane z fizycznym zabezpieczeniem bankomatów, jak też z bezpieczeństwem oprogramowania i transmisji danych.
BOHDAN SZAFRAŃSKI
Choć odnosimy wiele sukcesów i ograniczamy poziom fraudów dotykających banki, to stale pojawiają się nowe zagrożenia. Poziom zabezpieczeń w bankomatach jest na bardzo wysokim poziomie. Wciąż pojawiają się jednak nowe zagrożenia. W minionym roku w Polsce odnotowano wykorzystanie przez przestępców gazu podczas prób włamań do bankomatów. Były też przypadki prób skimmingu danych z kart. Zakończenie wsparcia przez Microsoft systemu Windows XP, użytkowanego powszechnie w bankomatach, to możliwość wykorzystania nowo odkrytych luk bezpieczeństwa do celów przestępczych. Często atak zaczyna się od wewnątrz – ktoś, kto w banku ma dostęp do urządzeń samoobsługowych – stara się to wykorzystać. Szczególnie w bankowości musimy nie tylko dbać o wizerunek instytucji, ale ściśle wypełniać normy bezpie-czeństwa takie jak Payment Card Industry Data Security Standard (PCI DSS), czy też wynikające z Rekomendacji D KNF, w której wiele uwagi poświęcono zagadnieniu compliance w zakresie audytu i kontrolingu. Rozpoznanie ryzyk i zapobieganie im to konieczność w bankowości. Bartłomiej Śliwa, prezes NCR Polska, podkreślił, że firma ma holistyczne podejście do bezpieczeństwa w rozwiązaniach back office, które są jej domeną. W wystąpieniach prelegentów w trakcie NCR Security Day zaprezentowano praktyczne rozwiązania gotowe do szybkiego wdrożenia w bankowości.
W zgodzie ze standardem PCI DSS
SolidCore jako rozwiązanie zapewniające utrzymanie standardu PCI DSS w sieci bankomatowej przedstawił Bartosz Chmielewski, Sales Systems Engineer w firmie McAfee Poland. Jak radzić sobie z bezpieczeństwem systemów operacyjnych nie- wspieranymi już przez producentów?
Bankomat to równocześnie komputer wyposażony w standardowy system operacyjny, co niesie z sobą podatności na ataki, które mogą być wykorzystane. Najczęściej uzyskuje się wpływ na oprogramowanie bankomatu przez podłączenie klucza USB z zapisanym złośliwym kodem. Robią to osoby zaufane, administratorzy, osoby odpowiedzialne za obsługę. Znane są też ataki z zewnątrz do bankomatów, bo ich sieci mogą być zainfekowane i w ten sposób złośliwy kod dociera również do urządzeń. Zainstalowane złośliwe oprogramowanie gromadzi np. numery i dane kart kredytowych lub wykonuje inne zadania. Przykładowy atak, jak to przedstawił Bartosz Chmielewski, może się rozpocząć od zainfekowania stacji roboczych, na których pracują pracownicy, np. z niewspieranym już przez Microsoft systemem Windows XP, a następnie rozprzestrzenić się na sieć banku. Może to być przez dłuższy czas niezauważone, bo działanie złośliwego kodu nie polega na wypłaceniu z bankomatu pieniędzy, ale „tylko” na zbieraniu danych z kart. Używanie niewspieranego przez producenta systemu operacyjnego, a z taką sytuacją mamy do czynienia w przypadku Windows XP, powoduje, że nie są spełniane wymogi standardu PCI DSS organizacji płatniczych. Dotyczy to obecnie ponad 90 proc. bankomatów. Również duża część systemów operacyjnych na urządzeniach klienckich wciąż korzysta z tego systemu.
Niestety wymiana systemów w bankomatach jest procesem kosztownym, długotrwałym i trudnym logistyczne. Jak sobie dać z tym radę? Standard PCI DSS dopuszcza używanie niewspieranego przez producenta systemu, jeśli stosuje się mechanizmy kompensacyjne dla takiego ryzyka. Takim mechanizmem może być: white-listing, izolacja systemów, by nie było do nich dostępu z zewnątrz. Bankomat musi jednak mieć możliwość dostępu do sieci, w której będzie realizował transakcje. McAfee proponuje rozwiązanie, które ma zwiększyć bezpieczeństwo i zapewnić zgodność ze standardem. Jest to McAfee Application Control i obejmuje trzy obszary: white-listing, ochronę pamięci i dodatkowo reputację pliku. Systemy i oprogramowanie w bankomacie jest w znacznym stopniu statyczne – niewiele się w nim zmienia. Pomimo to przewidziano metody aktualizowania white-list. To w przypadku McAfee metody dynamiczne, takie jak: zaufane ak- tualizatory i podpisywanie cyfrowo oprogramowania zanim zostanie uruchomione w bankomacie. Metoda white-list ma tę przewagę, że nie obciąża procesora, a zużycie pamięci jest minimalne w stosunku do typowych programów antywirusowych. Sprawdza się, czy dany program, biblioteka mogą być uruchomione i co mogą wykonać. To odwrócenie sytuacji, z jaką się spotykamy w przypadku programów antywirusowych. W starszych urządzeniach o mniejszych zasobach ma to duże znaczenie.
Czas na Windows 7
Marcin Wrotkowski, Software Director NCR Polska, mówił o Windows 7, nowym środowisku dla urządzeń samoobsługowych, przedstawiając szanse i wyzwania z nim związane. W systemie Windows XP wykryto do 2014 r. 700 słabych punktów, które naprawiła firma Microsoft. Nie ma pewności, że nie będą pojawiały się następne. W niewspieranym systemie nie ma już szansy na otrzymanie poprawek od producenta. Przeglądarki internetowe w Windows XP mogą być drogą do wprowadzenia niebezpiecznego kodu. Pozostając z Windows XP, trzeba pamiętać, że żaden z dostawców nie oferuje od początku kwietnia tego roku urządzeń z Windows XP, ale z Windows 7 i 8. W takiej sytuacji użytkujemy nowe i stare systemy co dodatkowo podnosi koszty ich utrzymania. Są to koszty testowania oprogramowania, develop- mentu, certyfikacji. Większość firm w tym NCR realizuje dostawy sprzętu optymalizowanego ...
Artykuł jest płatny. Aby uzyskać dostęp można:
- zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
- wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
- wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
- zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.
Uwaga:
- zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
- wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).
Komunikat dla uczestników Programu Wiedza online:
- bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI