A Symantec és az IT Business Consulting Magyarország Kft. ISACA - Pénzintézeti Napot szervezett május 4-én, amelyen a pénzintézetek számára törvényileg előírt informatikai szabályozásról esett szó.
A pénz- és hitelintézetek informatikára vonatkozó jogszabályok múlt és ez évi módosulása és a PSZÁF ajánlása alapján a pénzügyi szervezetek vezetésének mérnie kell a szervezet informatikával kapcsolatos szolgáltatásait és össze kell hasonlítania azokat a jogszabályban elvárt szintekkel. Az informatika teljesítményét rendszeres jelleggel, folyamatosan értékelni kell. A vezetésnek, felügyeleti feladatai keretében, fel kell tárnia a sebezhetőségi pontokat és a biztonsági problémákat. A pénzügyi szervezet köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni. Ezen ajánlás betartásában kaptak segítséget a Symantec ügyfelei a szemináriumon.
Hallai Szabolcs, az IT Business Consulting Magyarország Kft. ügyvezető igazgatója a kockázatelemzés és jogszabálymegfelelőség operatív megoldásáról ismertetett esettanulmányt, amelyből kiderült, hogy a jogszabályi megfelelőséget leegyszerűsíti, ha olyan eszközök használatát vezetjük be, mint pl. a Symantec Enterprise Security Manager. A kockázatkezeléssel kapcsolatban bemutatatak egy rendkívül költségkímélő megoldást, illetve megemlítettek egyes ingyenes kockázatkezelési metodológiákat is.
A jogszabályban előírt monitorozás operatív megoldásáról Kaczúr Zsolt, a Symantec Security Management Professional IT Business Consulting Magyarország Kft. vezető rendszermérnöke tartott előadást, bemutatva az online sérülékenységvizsgálat lényegét és eredményeit a Symantec Network Security Appliance készülékkel.
A legtöbb esetben a számítógépes bűncselekmények csak sikerességük esetén büntethetők. Más szóval előbb be kell csapni, vagy meg kell lopni az áldozatot. Ebből következően a jelszóhalászok jelenleg dívó tevékenysége még nem törvénytelen. Jelszóhalászatnak azt nevezzük, ha egy kívülálló - általában anyagi előny reményében - megpróbálja kicsalni valamely magánszemély, csoport vagy szervezet titkos információit. A Gartner Inc. becslése szerint 57 millió felnőtt találta már magát szemben jelszóhalászattal, 1,78 millió pedig áldozatául is esett annak.
Az igazi gondot az jelenti, hogy a kísérlet akkor is kárt okoz az átejtéshez használt intézmény hírnevének és a felhasználók netes ügyletekbe vetett bizalmának, ha nem sikerül rászedni valakit az információ kiadására. Emiatt a jelszóhalászat komolyan veszélyezteti az e-kereskedelem jövőjét és az általános gazdasági növekedést. A Gartner a közelmúltban azt jelezte, hogy az e-kereskedelem növekedése jelentősen le fog lassulni (2007-re csak 10 százalék lesz), hacsak nem sikerül kiküszöbölni a fogyasztóknak a net biztonsága iránt érzett aggodalmát. A probléma műszaki megoldásai jelentik az egyik lehetőséget. Az információvédelmi cégek egyre kifinomultabb eljárások létrehozásával készülnek megóvni a fogyasztókat és az intézményeket.
A jelszóhalászat-ellenes szervezetek egyetértenek abban, hogy a jelszóhalászat áldozatává válás elkerülésére az első lépés az, hogy ne válaszoljunk a személyes információt kérő e-mailre, illetve ne kattintsunk rá az abban található linkre. Azt tanácsolják a fogyasztóknak, hogy ne töltsenek ki e-mailben kapott űrlapot. Ehelyett azt ajánlják, hogy hívják fel a kérdéses céget, vagy közvetlenül, a webcím begépelésével lépjenek be a cég honlapjára. Ha beléptek a cég weblapjára, bármilyen információ megadása előtt ellenőrizzék a böngésző állapotsorában, hogy látható-e a biztonságos kapcsolatot jelentő, bezárt lakat, illetve a webcím http:// helyett a védett webhelyet jelentő https://-sel kezdődik-e.
A jelszóhalászó manipulációk ellen védő irányelvek követésével jelentősen csökkenthető annak az esélye, hogy a fogyasztó csalás áldozatául esik. Ha a hatóságok, a szakma és a fogyasztók fokozzák a digitális ragadozók bűnös céljainak az internet kihasználásával való elérését megakadályozó erőfeszítéseiket, az internet továbbra is a gazdasági növekedés fokozásának és a mindennapi élet kényelmesebbé tételének fontos eszköze lehet.
A Bankszakma Műszaki Titkársága (Bank Industry Technical Secretariat, BITS) a netes műveletek védelmére ajánlásokat adott ki:
- Védjük a PIN-számokat és a jelszavakat! Olyan PIN-számot és jelszót használjunk, amely nem tartalmaz könnyen azonosítható információt, mint például a nevek, születésnapok vagy telefonszámok.
- Ha a neten keresztül bármilyen számlát használunk, győződjünk meg arról, hogy egy jó hírű, szövetségi biztosítási háttérrel és védett webhellyel rendelkező pénzintézettel van-e dolgunk!
- Ha egy pénzintézeti webhelyen járunk, ellenőrizzük annak URL-jét, hogy az megegyezik-e a bankéval, figyeljünk az elírt szavakra, vagy más olyan jelre, amely arra utalhat, hogy esetleg átverés van a dologban! Ha a webhelyet gyanúsnak találjuk, értesítsük a pénzintézetet!
- Tudakoljuk meg, milyen lehetőség van a védett netes pénzügyi szolgáltatásra a pénzintézetünknél! A pénzintézettel csak a védett weblapján keresztül lépjünk a neten kapcsolatba!
- Tájékoztassuk a pénzintézetünket bármely gyanús e-mailes vagy telefonos megkeresésről, például ha valaki a számlánkról vagy a netes jelszavunkról kérdezősködik!
- Sose végezzünk semmilyen pénzügyi műveletet számunkra ismeretlen webhelyen vagy pénzintézettel! Sok tolvaj hoz létre olyan kamu webhelyet, amellyel pénzt akar szerezni a gyanútlan áldozatoktól.
- Azonnal tájékoztassuk a pénzintézetünket, ha bármilyen változást látunk a számlainformációinkban!
Már több pénzintézet kísérletezik kétutas és kéttényezős azonosítással. A kétutas azonosítás azzal jár, hogy minden felhasználó megad egy titkos képet, amelyet az azonosítás céljára megmutatnak neki, ezzel igazolva azt, hogy az e-mail és a webhely valódi. Ha a felhasználó belép egy webhelyre, a felhasználónév megadása után a saját képét kell látnia. Ha azt látja, akkor tudja, hogy a valódi webhellyel van dolga. Ekkor nyugodtan megadhatja a jelszavát és más kényes információit. Ugyanígy, ha a saját képe van egy e-mailhez csatolva, megbízhat benne. A kéttényezős azonosítás a felhasználó számítógépének védett felismerésén keresztül valósul meg. A számítógépet használják második azonosítási tényezőként. Az erős, kéttényezős azonosítás megvalósítható anélkül, hogy a webhelynek bármilyen új hardvert vagy szoftvert ki kellene adnia, vagy a felhasználónak ilyennel kellene rendelkeznie. Az ezáltal elért nagyobb biztonság az ügyfelek javára szolgál, jobban bíznak, és több hajlandóságot mutatnak a netes elérés minden előnyének a kihasználására.
Jóllehet a jelszóhalászat továbbra is költséges és ijesztő veszélyforrást jelent a pénzintézeteknek, már megjelentek a láthatáron az első pozitív jelek. A pénzintézetek minden nappal jobban látják a jelszóhalászat problémáját, és hatékonyabban tudnak rá reagálni. Ugyanakkor a műszaki fejlődés is fellendült, a próbák és a bemutatók a jelszóhalászat leküzdése felé mutatnak. A gyártók is fokozzák együttműködésüket, hogy átfogó, integrált megoldásokat kínálhassanak a jelszóhalászat ellen. Éppen idejében, mert hosszú utat kell még megtenni ahhoz, hogy ezek az erőfeszítések visszahozzák a fogyasztóknak a netes ügyletekbe vetett bizalmát.