Bezbednost podataka u finansijskim institucijama

Bezbednost informacionog sistema sa jedne, i potreba za uvođenjem novih servisa koji će se jednostavno koristiti s druge strane stavljaju pred menadžment banke sve ozbiljnije izazove. Da li se na te izazove može odgovoriti? Da, ali ne na stari način. Nešto mora da se menja.

06_Beybednost-podataka_ddosBrian Dye, stariji potpredsednik kompanije Symantec, početkom maja je izjavio da je antivirus mrtav. Izjavio i zadržao svoj posao. Šta je on u stvari mislio? Prošle godine je uloženo više od 20 milijardi dolara u povećanje IT bezbednosti u svetu. I pored toga, kriminalci i dalje (s lakoćom) kradu podatke i onemogućavaju normalno poslovanje.

Statistika incidenata

Verizon je 2008. godine objavio prvi DBIR (Data Breach Investigation Report) izveštaj koji predstavlja realnu statistiku na svetskom nivou o broju i prirodi bezbednosnih incidenata u prethodnoj godini. Ovogodišnji izveštaj otkriva nam zastrašujuće podatke, ali u isto vreme i pomaže da predvidimo nevolje i pripremimo se za njih.

Danas imamo posla s profesionalnim kriminalnim organizacijama koje zarađuju za lagodan život upadom u finansijske sisteme. Ono što prirodu tih napada čini još strašnijom jeste procenat koji govori o tome kako su otkriveni napadi (vertikala finansijskih institucija).

Uzmimo primer napada na Web aplikacije banke, tj. bilo koji incident gde je Web aplikacija bila vektor napada. Od ukupnog broja napada na finansijske institucije, 27% čine upravo ovi. Od brojnih načina da se otkrije problem/napad i njegova posledica, 88% izveštaja da nešto nije u redu došlo je upravo od korisnika koje sama institucija treba da štiti. Ostatak od 12 procenata je otkriven internim resursima institucije. Veoma loše za najvažniji faktor poslovanja u finansijama, a to je poverenje između klijenta i banke.

Promena načina razmišljanja

Ni bankama nije lako. Digitalna transformacija, promena u demografiji i zahtevima korišćenja usluga od nove generacije korisnika postavlja pred banku ozbiljne izazove. Na jednoj strani su otvorenost, lakoća korišćenja sa svih platformi, u bilo koje vreme, a na drugoj zahtev da celokupna komunikacija i svi servisi zadrže ono što korisnici očekuju – sigurnost. Na prvi pogled, ova dva zahteva su u koliziji i među njima nema pomirenja već samo kompromisa.

Stvari se pomeraju ka novoj paradigmi koja je izazvana različitim problemima. Stari način razmišljanja brine o „perimetru sigurnosti“: Hajde da napravimo veliki zid oko nas, a da iza zida budemo sigurni od spoljnog sveta. Primer takvog načina razmišljanja je poznata Mažino linija. Francuska vojska, naročito generali koji su slavu stekli u Prvom svetskom ratu, definisali su strategiju odbrane koja je podrazumevala izgradnju odbrambene linije od švajcarske do belgijske granice, sa utvrđenjima, kasarnama, fiksnim pozicijama i sopstvenom elektrificiranom prugom. Nemci su 1940. godine svojim brzim mehanizovanim jedinicama naprosto obišli Mažino liniju preko Belgije i Holandije i svojom Blitzkrieg taktikom pokazali kako moderan način razmišljanja može da slomi strahovito ulaganje u postojeću infrastrukturu odbrane.

Pročitajte i:  Kingston nudi jednostavna rešenja za sigurnost u pokretu

Ključna pitanja i ključna rešenja

Koje informacije su mi bitne? Gde se nalaze? Ko im pristupa? Kako im se pristupa? Koji su kanali i s kojih uređaja? Koji je smer/putanja informacija? Odgovori na ova ključna pitanja sami za sebe neće pomoći u definisanju Security strategije. Neophodno je povezati ove odgovore sa biznis strategijom banke. Tako ćemo imati direktnu korelaciju i paralelan rad, ali tako da bezbednost postaje enabler, a ne problem. Da postane pomoć i omogući kreiranje novih servisa, a ne ograničenje u njihovoj realizaciji.

Do pre deset godina, na našem tržištu je pojam elektronskog bankarstva predstavljan kao novitet. Sada je i sama činjenica da se mora sesti ispred računara i popuniti online uplatnica postala opterećujuća. Očekivanja korisnika pomerila su se ka mobilnom načinu plaćanja. A to je opet noćna mora za Security banke. Jedno od rešenja nudi IBM sa svojim Trusteer (Web Fraud Detection) servisom. Sistem analizira korisničku Web sesiju i testira je na maliciozni sadržaj, čiji je cilj pristup account‑u korisnika.

Naravno, prvi su e‑banking sistemi – Web sesija ka e‑banking‑u profiltrira se kroz Web Fraud Detection i ceo Web sadržaj koji se razmeni između servera i korisnika proverava se na bilo koji tip zlonamernog koda u okviru korisnikovog browser‑a.

Tipičan maliciozni sadržaj za e‑banking jeste krađa lozinke, ali ima i mnogo sofisticiranijih. Zamislimo da svako ko koristi e‑banking ima template za plaćanje infostana. Napadač može da izmeni samo broj računa u sačuvanim template‑ima, i da korisnik nekoliko narednih meseci uplaćuje na broj računa napadača. Statistika pokazuje da 1% sesija ima neki maliciozni kod u browser‑u korisnika.

Primer Wireless‑a u bankama još je očigledniji. Do sada je Wireless zamišljan kao servis preko kojeg ne bi smelo da se prilazi korporativnim resursima – ako i postoji u banci, tu je samo za goste i za direktan prilaz Internetu. S novim Identity rešenjima (Cisco ISE), omogućen je Wireless pristup s bilo kojeg uređaja, na način koji je čak i bezbedniji od klasičnog Wired pristupa (ukoliko se i na njega ne primeni Cisco ISE). Omogućeno je da se automatski prepoznaje korisnik, gost, uređaj s kojeg se pristupa, tako da se automatski primenjuje odgovarajuća polisa (čemu se može pristupiti, kako, kada i ko). Security rešenje koje se poklapa sa zahtevima o omni‑channel pristupu (sa bilo kog mesta, i bilo kada). Bez Security rešenja, bez novog načina razmišljanja, stari način (perimetar) definisao je bezbednost jednostavno – nema Wireless‑a, nema propusta. A to znači da nema ni servisa.

Pročitajte i:  Instagram dodao tri nove bezbednosne opcije

Smer toka informacija

Jedno od pomenutih ključnih pitanja: „Koji je smer/putanja informacija?“ predstavlja poseban izazov tokom poslednjih nekoliko godina. Porast broja zlonamernih zaposlenih i posledica njihovih akcija veći je iz godine u godinu. Trenutno je problem „curenja insajderskih informacija“ toliko postao akutan da je potreba za rešenjem značajno porasla. Treba se zamisliti nad podatkom da javnost sazna samo za 30 procenata bezbednosnih incidenata. Ta činjenica rađa novo pitanje za security banke: „Da li znate kuda odlaze osetljive informacije i kako“? (uopšte nije pitanje da li odlaze). Načini su razni, ponekad zbog slabosti u polisama i nedostatku kontrole ispravnosti rada zaposlenih, njihovih grešaka, a ponekad je u pitanju zlonamerna aktivnost tog zaposlenog.

Jedan od načina odbrane jeste i Data Loss Prevention rešenje. Kompanija Symantec se izdvojila kao svetski lider u toj oblasti, pokrivajući četiri vektora: E‑mail, Web, Endpoint i Storage. Sve se svodi na potrebu automatskog prepoznavanja osetljivih informacija na odgovarajućem vektoru i definisanje akcije koja se pokreće u tom slučaju. Na primer, ukoliko se na serveru ili e‑mail‑u pojavi broj kreditne kartice (što ne bi smelo da se desi), DLP će automatski sprečiti slanje mail‑a, obrisati fajl sa diska i generisati upozorenje korisniku i menadžmentu banke.

Uklapanje DLP rešenja sa Data Classification rešenjem predstavlja još bolji način zaštite. Automatska klasifikacija svih elektronskih dokumenata u banci sa odgovarajućim labelama (oznakama) koja se mogu podešavati u skladu sa internim procedurama same banke (poverljivo, javno, strogo poveljivo i slično), pomaže DLP rešenju da na osnovu same labele dokumenta reaguje u skladu s definisanom akcijom. Tako je moguće sprečiti da fajl Budžet.xmlx bude poslat na pogrešnu adresu.

Novi pravci napada

Sofisticirane i dobro organizovane grupe ljudi koje prepoznaju mogućnosti da IT iskoriste na zlonameran način predstavljaju danas najveću pretnju. Takvi napadi definisani su skraćenicom APT (Advanced Persistent Threat) – sofisticirani mrežni napad u kojem neautorizovano lice dobija pristup mreži i ostaje nedetektovano duži period. Inače, kompaniji je u proseku potrebno 278 dana da otkrije neautorizovan upad u svoj sistem (malware, gubitak podataka, curenje informacija itd).

Pročitajte i:  IoT šlemovi za bezbednost na radu

Danas je moguće iznajmiti i servise od pomenutih kriminalnih organizacija, koje će iskoristiti svoje znanje i resurse kako bi upale i prouzrokovale štetu na sistemima. Denail of Service (DoS) napadi su jedan od primera, a malware‑i nove generacije postaju vektor pretnje koji će u budućnosti preuzeti primat od tradicionalnijih metoda napada. Jednom instaliran na sistem, poveže se sa svojim Comand&Control (CC) centrom kojem šalje odgovarajuće informacije o vašem sistemu (ukradeni password, print screen, remote kontrola računara, keylogger koji prati ono što otkucate) Jedna od karakteristika modernih malware‑a jeste polimorfnost – uz veoma malu promenu, moguće je od poznatog napraviti potpuno nepoznat malware, čime se tradicionalni načini odbrane, na osnovu prepoznavanja/signature malware‑a, lako zaobilaze.

Potrebni su novi sistemi odbrane koji se ne oslanjaju na stari način razmišljanja i staru tehnologiju. Jednu od njih nudi i kompanija FireEye, koja je još 2012. godine dobila nagradu Wall Street Journal‑a za najinovativniju kompaniju. Njihov način odbrane je jedinstven – provera ponašanja malware‑a, a ne potpisa. Inspekcijom e‑mail i Web saobraćaja, tako što se saobraćaj propušta kroz više od sto posebnih virtuelnih mašina tako da zlonameran kod „pomisli“ da je na korisničkom računaru; prati ponašanje koda (menja se sistemsko vreme, stanje memorije, pozivi koje malware obavlja itd), tako da otkriva da li je kod zlonameran ili je u pitanju regularan saobraćaj. Na ovaj način mogu se izbeći i otkriti i zero‑day malware‑i (oni za koje antivirus i drugi sistemi i dalje nemaju signature) sa fascinantih 97 procenata uspešnosti. Ukoliko se zna da je uspešnost antivirus softvera između 25 i 40 procenata, onda je jasna izjava potpredsednika Symantec‑a da je klasičan antivirus mrtav.

Holistički pogled na security

Sama primena tehnologije, instaliranje sistema bez reda i strategije, nije dovoljna garancija i zaštita od modernih napada. Uspostavljanje svesti o opasnosti među zaposlenima (i korisnicima), o značaju Security‑ja, integracija Security i biznis potreba, kao i njihovo definisanje poštovanjem standarda za finansijske institucije (PCI DSS, ISO 27001:2013), pred IT i menadžment banke postavljaju sve veće izazove. Da li se na izazove može odgovoriti? Da, ali ne na stari način. Nešto treba menjati.

Saga, www.saga.rs

Vladimir Petrović

(Objavljeno u časopisu PC#212)

Facebook komentari: