Typologia zabezpieczeń bankowości elektronicznej
Kategorie środków ochrony:
1. Prawne
- Ustawa o ochronie tajemnicy państwowej i służbowej.
- Ustawa o ochronie danych osobowych.
- Rozporządzenie ministra spraw wewnętrznych i administracji w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.198,nr 80)
- Ustawa o ochronie informacji niejawnych.
- Rozporządzenie prezesa Rady Ministrów w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych. (Dz.U.1999, nr 18)
- Prawo bankowe (ustawa z 29 sierpnia 1997r. Dz.U.1997, nr 140)
- Kodeks pracy (Dz.U. 1974, nr 24)
- Kodeks karny (Dz.U. 1997, nr 88)
- Ustawa o elektronicznych instrumentach płatniczych (Dz.U. 2002, nr 169)
- Ustawa o podpisie elektronicznym (Dz.U. 2001, nr 130)
Więcej na ten temat na stronie: Zagrożenia w Internecie
2. Fizyczne
- urządzenia przeciwwłamaniowe,
- sejfy,
- alarmy,
- urządzenia ochrony przeciwpożarowej,
- pomieszczenia odpowiednio przystosowane do pracy komputerów,
- rozwiązania architektoniczne (np. lokalizacja centrum obliczeniowego w budynku banku),
- urządzenia klimatyzacyjne.
3. Techniczne
- urządzenia podtrzymujące zasilanie,
- karty magnetyczne i mikroprocesorowe,
- urządzenia do identyfikacji osób na podstawie linii papilarnych, głosu, siatkówki oka itp., (tzw. Urządzenia biometryczne),
- urządzenia wykorzystywane do tworzenia kopii zapasowych wraz z metodami ich stosowania,
- serwery Proxy,
- sprzętowe blokady dostępu do klawiatur, napędów dysków itp.,
- urządzenia i rozwiązania chroniące przed emisją ujawniającą,
- optymalizacja konfiguracji sprzętowej komputerów,
- dublowanie okablowania,
- dublowanie centrów obliczeniowych i baz danych;
4. Programowe
- dzienniki systemowe (logi), czyli obowiązkowe w każdym systemie rozwiązania rejestrujące dane pozwalające na późniejszą identyfikację działalności użytkowników, które są jednym z najważniejszych narzędzi monitoringu BSI,
- programy śledzące, czyli mechanizmy umożliwiające monitoring pracy użytkowników systemu w czasie rzeczywistym,
- mechanizmy rozliczania, czyli rozwiązania pozwalające na identyfikację wykonawców określonych operacji w systemie,
- programy antywirusowe,
- zapory ogniowe (firewall), w tym także personal firewall ( coraz popularniejsze programy domowego użytku zabezpieczające komputer osobisty podłączony do sieci przed najpowszechniejszymi atakami intruzów internetowych),
- programy wykrywające słabe hasła istniejące w systemie, czyli narzędzie pracy administratorów, stanowiące absolutnie kluczowy element optymalnego zarządzania dostępem do systemu (korzystanie z tych programów powinno jednak podlegać wielu ograniczeniom),
- pozostałe systemy moniturujące,
- inne narzędzia wspomagające pracę administratorów,
- mechanizmy zabezpieczania statystycznych baz danych,
- kody korekcyjne (mechanizmy umożliwiające identyfikację i korygowanie błędów transmisji danych),
- wirtualne sieci prywatne (VPN) (Virtual Private Networks; mogą one być uznane za przykład rozwiązań hybrydowych-techniczno-programowych;
5. Organizacyjne
- polityka bezpieczeństwa,
- analiza ryzyka,
- szkolenia użytkowników,
- monitoring systemu i wykrywanie anomalii;
6. Kontroli dostępu
Kontrola dostępu do sytemu i kontrola przysługujących użytkownikowi praw do wykonania danej operacji polega na uwierzytelnieniu użytkownika przez system.
Tabela: wady i zalety trzech podstawowych metod kontroli dostępu
| Metody uwierzytelnienia | Wady | Zalety |
| Co użytkownik zna (hasła, numery identyfikacyjne) | Brak możliwości udowodnienia prawa własności użytkownika do danej informacji | Łatwość implementacji. Wygoda użytkownika. |
| Co użytkownik ma (karty magnetyczne, tokeny i in.) | Brak możliwości udowodnienia prawa własności użytkownika do danej rzeczy. Zawodność techniczna kart. | Wysokie koszty techniczne. Problemy związane z podrabianiem kart. |
| Kim użytkownik jest (metody biometryczne i antropometryczne) | Bardzo wysokie koszty urządzeń rozpoznających | Duża efektywność wynikająca z wystarczającej stałości w czasie cech charakterystycznych człowieka. Wygoda użytkowania. |
Oczywiście najlepsze efekty przynosi zastosowanie rozwiązań hybrydowych, łączących w sobie różne metody uwierzytelniania.
Mechanizmy kontroli dostępu do sieciowych systemów bankowości elektronicznej można zhierarchizować pod kątem ich zaawansowania technologicznego i co z tym się łaączy, oferowanego poziomu bezpieczeństwa:
- hasło dostępu wprowadzane w całości podczas procedury logowania,
- dodatkowe hasło wprowadzane częściowo (np. wybrane losowo przez serwer znaki),
- jawna lista haseł jednorazowych,
- kryptograficzna karta elektroniczna,
- token lub inne urządzenie działające na zasadzie pytanie-odpowiedź,
- podpis cyfrowy (realizowany bez stosowania infrastruktury klucza publicznego),
- bezpieczny podpis cyfrowy realizowany z wykorzystaniem infrastruktury klucza publicznego.
7. Kryptograficzne
Kryptografia nazywamy naukę o metodach przesyłania wiadomości w zamaskowanej postaci, tak aby tylko odbiorca był w stanie odczytać wysłana przez nadawcę wiadomość, będąc jednocześnie pewnym, że nie została ona przez nikogo zmodyfikowana. Wiadomość, która ma być przesłana, nazywa się tekstem jawnym lub tekstem otwartym, a proces ukrywania jej treści szyfrowaniem. Algorytm kryptograficzny, zwany również szyfrem, jest funkcją matematyczną, użytą do szyfrowania i deszyfrowania. Teoretycznie każdy algorytm jest możliwy do złamania jednak nie zawsze jest to możliwe w praktyce. O algorytmie, który można złamać jedynie teoretycznie, mówim , że jest bezpieczny.
Przykłady algorytmów symetrycznych (klucze szyfrujący i deszyfrujący są takie same lub jeden jest wyznaczany z drugiego):
- DES (Data Encryption Standard) - jest międzynarodowym standardem szyfrowania najczęściej stosowanym na świecie. Klucz ma długość 64 bitów, jednak co ósmy bit służy tylko do kontroli parzystości, a więc proces szyfrowania korzysta jedynie z 56 bitów klucza.
- 3-DES - jest prostą odmianą algorytmu DES. Idea tego algorytmu bazuje na trzykrotnym szyfrowaniu tekstu, przy czym każdy etap bazuje na otrzymanych danych.
- IDEA - to blokowy szyfr symetryczny, pracujący na 64-bitowych blokach tekstu jawnego. Klucz ma długość 128 bitów.
Klucze asymetryczne (publiczne)(Koncepcja tej metody polega na przydzieleniu pary kluczy każdej ze stron, gdzie jeden klucz nie pochodzi od drugiego. Spośród każdej pary jeden nosi miano klucza publicznego, drugi klucza prywatnego.):
- RSA - najpopularniejszy algorytm niesymetryczny o zmiennej długości klucza.
Podpis cyfrowy
Podpisem elektronicznym nazywamy każdy sposób podpisania dokumentu w postaci elektronicznej. Podpisem takim będzie więc ciąg znaków reprezentujący imię i nazwisko autora wiadomości dołączony na jej końcu. Protokoły
Najpowszechniej stosowane w sieci Internet protokoły zapewniajace bezpieczeństwo komunikacji sieciowej;
- SSL (Secure Sockets Layer) zapewniajacy bezpieczny kanał komunikacji miedzy klientem a serwerem,
- S-HTTP (Secure HTTP) zapewnia bezpieczną komunikację dla serwisu www.
- SET (Secure Electronic Transactions) - bardzo rozbudowany. Szczegółowo definiuje wszystkie etapy transakcji elektronicznych, a także innych operacji związanych z tymi transakcjami, np. uzyskiwanie certyfikatów. Związany jest on oczywiście nierozerwalnie z możliwościami i jednocześnie ograniczeniami, jakie stawiają karty płatnicze.
Protokół jest kompleksowy - nie pomija żadnych obszarów, które mogłyby w jakikolwiek sposób negatywnie wpłynąć na poziom bezpieczeństwa realizowanych transakcji.