Bezpieczenstwo platnosci elektronicznych
-
Upload
michal-olczak -
Category
Software
-
view
360 -
download
2
Transcript of Bezpieczenstwo platnosci elektronicznych
Cyberbezpieczeństwo płatności w
bankowości mobilnej
Michał Olczakkoordynator bezpieczeństwaLider zespołu rozwoju bankowości mobilnej oraz internetowej
2
AGENDA
• Cyberbezpieczeństwo płatności
• Bankowość mobilna a internetowa
• Bieżąca sytuacja
• Co może nas czekać wkrótce
• Podsumowanie
3
Cyberbezpieczeństwo płatności
E-commerce to około 26 mld PLN
Prognozy na rok 2020 to 90 mld PLN (co 2 złotówka wydawana)
Gwałtowny rozwój aplikacji mobilnych oraz płatności.
SMS / BLIK / PeoPay / HCE
Rynek m-płatności na świecie do roku 2017 osiągnie wartość 1
tryliona USD [Forrester]
4
Cyberbezpieczeństwo płatności
5
Bezpieczeństwo płatności
25% transakcji w cyberprzestrzeni to płatności mobilne
3,5 mln Polaków korzystających z bankowości mobilnej
Czy jest bezpieczenie?
6
Bankowość mobilna
bezpieczniejsza niż
internetowa?
7
Bankowość mobilna a internetowaPorównanie zabezpieczeń w bankowości mobilnej i
internetowej:
• bezpieczeństwo aplikacji natywnych vs aplikacje i
przeglądarki na PC
• bezpieczeństwo WebView oraz aplikacji webowych
• silne uwierzytelnianie
• uwierzytelnianie urządzeń
• biometria jako dodatkowy czynnik
Wytyczne rekomendacji KNF w zakresie bezpieczeństwa
płatności elektronicznych (z wyłączeniem mobile)
8
Bankowość mobilna a internetowaPodobne problemy: uprawnienia administratora, szyfrowanie,
uwierzytelnianie, autoryzacja, mobile to kanał, który przechodzi
przez te same problemy co desktop.
Bezpieczeństwo WebView oraz aplikacji webowych (OWASP
Top 10): Dużo problemów typu XSS, XSA, dużo zmian w 2014
roku
Silne uwierzytelnianie : w internecie głównie kanał SMS, na
mobile traci sens jeśli używamy na tym samym urządzeniu, plus
malware przechwytujący
9
Rekomendacja KNF
Obowiązuje od 1 lutego 2015
Wybrane elementy z rekomendacji:
• Polityka bezpieczeństwa płatności internetowych
• Dobre praktyki dla dostawców
• Spójne i zintegrowane podejście do monitorowania, obsługi i działań
następczych w stosunku do incydentów
• Procedurę niezwłocznego informowania właściwych organów (tj. organów
nadzoru oraz organów ds. ochrony danych)
• Procedurę współpracy z właściwymi organami ścigania w zakresie incydentów
bezpieczeństwa
• Dzienniki zdarzeń pozwalające na śledzenie wprowadzania nowych oraz
modyfikowania i usuwania istniejących danych transakcji i poleceń zapłaty
• Dostawcy usług płatniczych powinni analizować dane transakcji i poleceń
zapłaty oraz posiadać narzędzia do oceny dzienników zdarzeń.
10
ZabezpieczeniaBezpieczne wytwarzanie bankowości mobilnej:
• Audyt ISO 27k
• OWASP ASVS
• testy penetracyjne
• silne uwierzytelnianie
Monitorowanie działającego systemu:
• wykrywanie oszustw (czarne listy, analiza behawioralna,
anomalie)
• wykrywanie incydentów (detekcja wewnętrzna/zewnętrzna)
• procedury/zespół reagowania (CERT/CSIRT/SOC)
11
Bieżąca sytuacja
12
Bieżąca sytuacja
W 2014, malware na platformę Android poza oficjalnym sklepem.
Liczba złośliwego oprogramowania mobilnego tylko w IV
kwartale 2014 r. wzrosła o 14%. [źródło: Intel]
Wykryte oprogramowanie typu malware w oficjalnym sklepie
Android, głównie naruszenie prywatności.
Potwierdzone przypadki podmiany ruchu z użyciem ataków na
rutery domowe.
13
Bieżąca sytuacja
W 2014 pierwsze przypadki
ataków typu ransomware na
platformie OS (szacunkowo
30% płaci)
35 mln PLN w 2014
wykradzione przez
cyberprzestępców z użyciem
malware, źródło TVP2
14
Bieżąca sytuacja
70% brak wsparcia 2FA
40% akceptuje dowolny certyfikat SSL
wg badania IOActive 40 bankowych aplikacji
2014
15
Co może nas czekać wkrótce
16
Trendy w zagrożeniach (FireEye 2014)
Android luki wzrost o 188% od 2011
iOS luki wzrost o 262% od 2011
31% aplikacji z Google Play ściąganych co najmniej 50,000
zawiera luki umożlwiające zdalny dostęp
BYOD
17
PODSUMOWANIE
• Cybergospodarka (mobile centric) a cyberprzestępcy
• Warto analizować ryzyka cyklicznie (Agile) by być gotowym
na nadchodzące zagrożenia
• Bezpieczeństwo płatności mobilnych to proces podobny do
tego jaki przechodziła bankowość elektroniczna
Dziękuję i proszę o pytania ;)
Michał Olczak
@michalolczak
pl.linkedin.com/in/michal0lczak
20