50 Największych Banków w Polsce – 2014: NCR Security Day

Choć odnosimy wiele sukcesów i ograniczamy poziom fraudów dotykających banki, to stale pojawiają się nowe zagrożenia. Poziom zabezpieczeń w bankomatach jest na bardzo wysokim poziomie. Wciąż pojawiają się jednak nowe zagrożenia. W minionym roku w Polsce odnotowano wykorzystanie przez przestępców gazu podczas prób włamań do bankomatów. Były też przypadki prób skimmingu danych z kart. Zakończenie wsparcia przez Microsoft systemu Windows XP, użytkowanego powszechnie w bankomatach, to możliwość wykorzystania nowo odkrytych luk bezpieczeństwa do celów przestępczych. Często atak zaczyna się od wewnątrz – ktoś, kto w banku ma dostęp do urządzeń samoobsługowych – stara się to wykorzystać. Szczególnie w bankowości musimy nie tylko dbać o wizerunek instytucji, ale ściśle wypełniać normy bezpie-czeństwa takie jak Payment Card Industry Data Security Standard (PCI DSS), czy też wynikające z Rekomendacji D KNF, w której wiele uwagi poświęcono zagadnieniu compliance w zakresie audytu i kontrolingu. Rozpoznanie ryzyk i zapobieganie im to konieczność w bankowości. Bartłomiej Śliwa, prezes NCR Polska, podkreślił, że firma ma holistyczne podejście do bezpieczeństwa w rozwiązaniach back office, które są jej domeną. W wystąpieniach prelegentów w trakcie NCR Security Day zaprezentowano praktyczne rozwiązania gotowe do szybkiego wdrożenia w bankowości.

W zgodzie ze standardem PCI DSS

SolidCore jako rozwiązanie zapewniające utrzymanie standardu PCI DSS w sieci bankomatowej przedstawił Bartosz Chmielewski, Sales Systems Engineer w firmie McAfee Poland. Jak radzić sobie z bezpieczeństwem systemów operacyjnych nie- wspieranymi już przez producentów?

Bankomat to równocześnie komputer wyposażony w standardowy system operacyjny, co niesie z sobą podatności na ataki, które mogą być wykorzystane. Najczęściej uzyskuje się wpływ na oprogramowanie bankomatu przez podłączenie klucza USB z zapisanym złośliwym kodem. Robią to osoby zaufane, administratorzy, osoby odpowiedzialne za obsługę. Znane są też ataki z zewnątrz do bankomatów, bo ich sieci mogą być zainfekowane i w ten sposób złośliwy kod dociera również do urządzeń. Zainstalowane złośliwe oprogramowanie gromadzi np. numery i dane kart kredytowych lub wykonuje inne zadania. Przykładowy atak, jak to przedstawił Bartosz Chmielewski, może się rozpocząć od zainfekowania stacji roboczych, na których pracują pracownicy, np. z niewspieranym już przez Microsoft systemem Windows XP, a następnie rozprzestrzenić się na sieć banku. Może to być przez dłuższy czas niezauważone, bo działanie złośliwego kodu nie polega na wypłaceniu z bankomatu pieniędzy, ale „tylko” na zbieraniu danych z kart. Używanie niewspieranego przez producenta systemu operacyjnego, a z taką sytuacją mamy do czynienia w przypadku Windows XP, powoduje, że nie są spełniane wymogi standardu PCI DSS organizacji płatniczych. Dotyczy to obecnie ponad 90 proc. bankomatów. Również duża część systemów operacyjnych na urządzeniach klienckich wciąż korzysta z tego systemu.

Niestety wymiana systemów w bankomatach jest procesem kosztownym, długotrwałym i trudnym logistyczne. Jak sobie dać z tym radę? Standard PCI DSS dopuszcza używanie niewspieranego przez producenta systemu, jeśli stosuje się mechanizmy kompensacyjne dla takiego ryzyka. Takim mechanizmem może być: white-listing, izolacja systemów, by nie było do nich dostępu z zewnątrz. Bankomat musi jednak mieć możliwość dostępu do sieci, w której będzie realizował transakcje. McAfee proponuje rozwiązanie, które ma zwiększyć bezpieczeństwo i zapewnić zgodność ze standardem. Jest to McAfee Application Control i obejmuje trzy obszary: white-listing, ochronę pamięci i dodatkowo reputację pliku. Systemy i oprogramowanie w bankomacie jest w znacznym stopniu statyczne – niewiele się w nim zmienia. Pomimo to przewidziano metody aktualizowania white-list. To w przypadku McAfee metody dynamiczne, takie jak: zaufane ak- tualizatory i podpisywanie cyfrowo oprogramowania zanim zostanie uruchomione w bankomacie. Metoda white-list ma tę przewagę, że nie obciąża procesora, a zużycie pamięci jest minimalne w stosunku do typowych programów antywirusowych. Sprawdza się, czy dany program, biblioteka mogą być uruchomione i co mogą wykonać. To odwrócenie sytuacji, z jaką się spotykamy w przypadku programów antywirusowych. W starszych urządzeniach o mniejszych zasobach ma to duże znaczenie.

Czas na Windows 7

Marcin Wrotkowski, Software Director NCR Polska, mówił o Windows 7, nowym środowisku dla urządzeń samoobsługowych, przedstawiając szanse i wyzwania z nim związane. W systemie Windows XP wykryto do 2014 r. 700 słabych punktów, które naprawiła firma Microsoft. Nie ma pewności, że nie będą pojawiały się następne. W niewspieranym systemie nie ma już szansy na otrzymanie poprawek od producenta. Przeglądarki internetowe w Windows XP mogą być drogą do wprowadzenia niebezpiecznego kodu. Pozostając z Windows XP, trzeba pamiętać, że żaden z dostawców nie oferuje od początku kwietnia tego roku urządzeń z Windows XP, ale z Windows 7 i 8. W takiej sytuacji użytkujemy nowe i stare systemy co dodatkowo podnosi koszty ich utrzymania. Są to koszty testowania oprogramowania, develop- mentu, certyfikacji. Większość firm w tym NCR realizuje dostawy sprzętu optymalizowanego ...