Cyberbezpieczeństwo płatności w

bankowości mobilnej

Michał Olczakkoordynator bezpieczeństwaLider zespołu rozwoju bankowości mobilnej oraz internetowej

2

AGENDA

• Cyberbezpieczeństwo płatności

• Bankowość mobilna a internetowa

• Bieżąca sytuacja

• Co może nas czekać wkrótce

• Podsumowanie

3

Cyberbezpieczeństwo płatności

E-commerce to około 26 mld PLN

Prognozy na rok 2020 to 90 mld PLN (co 2 złotówka wydawana)

Gwałtowny rozwój aplikacji mobilnych oraz płatności.

SMS / BLIK / PeoPay / HCE

Rynek m-płatności na świecie do roku 2017 osiągnie wartość 1

tryliona USD [Forrester]

4

Cyberbezpieczeństwo płatności

5

Bezpieczeństwo płatności

25% transakcji w cyberprzestrzeni to płatności mobilne

3,5 mln Polaków korzystających z bankowości mobilnej

Czy jest bezpieczenie?

6

Bankowość mobilna

bezpieczniejsza niż

internetowa?

7

Bankowość mobilna a internetowaPorównanie zabezpieczeń w bankowości mobilnej i

internetowej:

• bezpieczeństwo aplikacji natywnych vs aplikacje i

przeglądarki na PC

• bezpieczeństwo WebView oraz aplikacji webowych

• silne uwierzytelnianie

• uwierzytelnianie urządzeń

• biometria jako dodatkowy czynnik

Wytyczne rekomendacji KNF w zakresie bezpieczeństwa

płatności elektronicznych (z wyłączeniem mobile)

8

Bankowość mobilna a internetowaPodobne problemy: uprawnienia administratora, szyfrowanie,

uwierzytelnianie, autoryzacja, mobile to kanał, który przechodzi

przez te same problemy co desktop.

Bezpieczeństwo WebView oraz aplikacji webowych (OWASP

Top 10): Dużo problemów typu XSS, XSA, dużo zmian w 2014

roku

Silne uwierzytelnianie : w internecie głównie kanał SMS, na

mobile traci sens jeśli używamy na tym samym urządzeniu, plus

malware przechwytujący

9

Rekomendacja KNF

Obowiązuje od 1 lutego 2015

Wybrane elementy z rekomendacji:

• Polityka bezpieczeństwa płatności internetowych

• Dobre praktyki dla dostawców

• Spójne i zintegrowane podejście do monitorowania, obsługi i działań

następczych w stosunku do incydentów

• Procedurę niezwłocznego informowania właściwych organów (tj. organów

nadzoru oraz organów ds. ochrony danych)

• Procedurę współpracy z właściwymi organami ścigania w zakresie incydentów

bezpieczeństwa

• Dzienniki zdarzeń pozwalające na śledzenie wprowadzania nowych oraz

modyfikowania i usuwania istniejących danych transakcji i poleceń zapłaty

• Dostawcy usług płatniczych powinni analizować dane transakcji i poleceń

zapłaty oraz posiadać narzędzia do oceny dzienników zdarzeń.

10

ZabezpieczeniaBezpieczne wytwarzanie bankowości mobilnej:

• Audyt ISO 27k

• OWASP ASVS

• testy penetracyjne

• silne uwierzytelnianie

Monitorowanie działającego systemu:

• wykrywanie oszustw (czarne listy, analiza behawioralna,

anomalie)

• wykrywanie incydentów (detekcja wewnętrzna/zewnętrzna)

• procedury/zespół reagowania (CERT/CSIRT/SOC)

11

Bieżąca sytuacja

12

Bieżąca sytuacja

W 2014, malware na platformę Android poza oficjalnym sklepem.

Liczba złośliwego oprogramowania mobilnego tylko w IV

kwartale 2014 r. wzrosła o 14%. [źródło: Intel]

Wykryte oprogramowanie typu malware w oficjalnym sklepie

Android, głównie naruszenie prywatności.

Potwierdzone przypadki podmiany ruchu z użyciem ataków na

rutery domowe.

13

Bieżąca sytuacja

W 2014 pierwsze przypadki

ataków typu ransomware na

platformie OS (szacunkowo

30% płaci)

35 mln PLN w 2014

wykradzione przez

cyberprzestępców z użyciem

malware, źródło TVP2

14

Bieżąca sytuacja

70% brak wsparcia 2FA

40% akceptuje dowolny certyfikat SSL

wg badania IOActive 40 bankowych aplikacji

2014

15

Co może nas czekać wkrótce

16

Trendy w zagrożeniach (FireEye 2014)

Android luki wzrost o 188% od 2011

iOS luki wzrost o 262% od 2011

31% aplikacji z Google Play ściąganych co najmniej 50,000

zawiera luki umożlwiające zdalny dostęp

BYOD

17

PODSUMOWANIE

• Cybergospodarka (mobile centric) a cyberprzestępcy

• Warto analizować ryzyka cyklicznie (Agile) by być gotowym

na nadchodzące zagrożenia

• Bezpieczeństwo płatności mobilnych to proces podobny do

tego jaki przechodziła bankowość elektroniczna

Dziękuję i proszę o pytania ;)

Michał Olczak

michal.olczak@bzwbk.pl

@michalolczak

pl.linkedin.com/in/michal0lczak

20