Ajánlások a netes pénzügyi műveletek védelmére

forrás Prim Online, 2006. május 11. 14:49
A Symantec és az IT Business Consulting Magyarország Kft. ISACA - Pénzintézeti Napot szervezett május 4-én, amelyen a pénzintézetek számára törvényileg előírt informatikai szabályozásról esett szó.
A pénz- és hitelintézetek informatikára vonatkozó jogszabályok múlt és ez évi módosulása és a PSZÁF ajánlása alapján a pénzügyi szervezetek vezetésének mérnie kell a szervezet informatikával kapcsolatos szolgáltatásait és össze kell hasonlítania azokat a jogszabályban elvárt szintekkel. Az informatika teljesítményét rendszeres jelleggel, folyamatosan értékelni kell. A vezetésnek, felügyeleti feladatai keretében, fel kell tárnia a sebezhetőségi pontokat és a biztonsági problémákat. A pénzügyi szervezet köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni. Ezen ajánlás betartásában kaptak segítséget a Symantec ügyfelei a szemináriumon.

Hallai Szabolcs, az IT Business Consulting Magyarország Kft. ügyvezető igazgatója a kockázatelemzés és jogszabálymegfelelőség operatív megoldásáról ismertetett esettanulmányt, amelyből kiderült, hogy a jogszabályi megfelelőséget leegyszerűsíti, ha olyan eszközök használatát vezetjük be, mint pl. a Symantec Enterprise Security Manager. A kockázatkezeléssel kapcsolatban bemutatatak egy rendkívül költségkímélő megoldást, illetve megemlítettek egyes ingyenes kockázatkezelési metodológiákat is.

A jogszabályban előírt monitorozás operatív megoldásáról Kaczúr Zsolt, a Symantec Security Management Professional IT Business Consulting Magyarország Kft. vezető rendszermérnöke tartott előadást, bemutatva az online sérülékenységvizsgálat lényegét és eredményeit a Symantec Network Security Appliance készülékkel.

A legtöbb esetben a számítógépes bűncselekmények csak sikerességük esetén büntethetők. Más szóval előbb be kell csapni, vagy meg kell lopni az áldozatot. Ebből következően a jelszóhalászok jelenleg dívó tevékenysége még nem törvénytelen. Jelszóhalászatnak azt nevezzük, ha egy kívülálló - általában anyagi előny reményében - megpróbálja kicsalni valamely magánszemély, csoport vagy szervezet titkos információit. A Gartner Inc. becslése szerint 57 millió felnőtt találta már magát szemben jelszóhalászattal, 1,78 millió pedig áldozatául is esett annak.

Az igazi gondot az jelenti, hogy a kísérlet akkor is kárt okoz az átejtéshez használt intézmény hírnevének és a felhasználók netes ügyletekbe vetett bizalmának, ha nem sikerül rászedni valakit az információ kiadására. Emiatt a jelszóhalászat komolyan veszélyezteti az e-kereskedelem jövőjét és az általános gazdasági növekedést. A Gartner a közelmúltban azt jelezte, hogy az e-kereskedelem növekedése jelentősen le fog lassulni (2007-re csak 10 százalék lesz), hacsak nem sikerül kiküszöbölni a fogyasztóknak a net biztonsága iránt érzett aggodalmát. A probléma műszaki megoldásai jelentik az egyik lehetőséget. Az információvédelmi cégek egyre kifinomultabb eljárások létrehozásával készülnek megóvni a fogyasztókat és az intézményeket.

A jelszóhalászat-ellenes szervezetek egyetértenek abban, hogy a jelszóhalászat áldozatává válás elkerülésére az első lépés az, hogy ne válaszoljunk a személyes információt kérő e-mailre, illetve ne kattintsunk rá az abban található linkre. Azt tanácsolják a fogyasztóknak, hogy ne töltsenek ki e-mailben kapott űrlapot. Ehelyett azt ajánlják, hogy hívják fel a kérdéses céget, vagy közvetlenül, a webcím begépelésével lépjenek be a cég honlapjára. Ha beléptek a cég weblapjára, bármilyen információ megadása előtt ellenőrizzék a böngésző állapotsorában, hogy látható-e a biztonságos kapcsolatot jelentő, bezárt lakat, illetve a webcím http:// helyett a védett webhelyet jelentő https://-sel kezdődik-e.

A jelszóhalászó manipulációk ellen védő irányelvek követésével jelentősen csökkenthető annak az esélye, hogy a fogyasztó csalás áldozatául esik. Ha a hatóságok, a szakma és a fogyasztók fokozzák a digitális ragadozók bűnös céljainak az internet kihasználásával való elérését megakadályozó erőfeszítéseiket, az internet továbbra is a gazdasági növekedés fokozásának és a mindennapi élet kényelmesebbé tételének fontos eszköze lehet.

A Bankszakma Műszaki Titkársága (Bank Industry Technical Secretariat, BITS) a netes műveletek védelmére ajánlásokat adott ki:



Már több pénzintézet kísérletezik kétutas és kéttényezős azonosítással. A kétutas azonosítás azzal jár, hogy minden felhasználó megad egy titkos képet, amelyet az azonosítás céljára megmutatnak neki, ezzel igazolva azt, hogy az e-mail és a webhely valódi. Ha a felhasználó belép egy webhelyre, a felhasználónév megadása után a saját képét kell látnia. Ha azt látja, akkor tudja, hogy a valódi webhellyel van dolga. Ekkor nyugodtan megadhatja a jelszavát és más kényes információit. Ugyanígy, ha a saját képe van egy e-mailhez csatolva, megbízhat benne. A kéttényezős azonosítás a felhasználó számítógépének védett felismerésén keresztül valósul meg. A számítógépet használják második azonosítási tényezőként. Az erős, kéttényezős azonosítás megvalósítható anélkül, hogy a webhelynek bármilyen új hardvert vagy szoftvert ki kellene adnia, vagy a felhasználónak ilyennel kellene rendelkeznie. Az ezáltal elért nagyobb biztonság az ügyfelek javára szolgál, jobban bíznak, és több hajlandóságot mutatnak a netes elérés minden előnyének a kihasználására.

Jóllehet a jelszóhalászat továbbra is költséges és ijesztő veszélyforrást jelent a pénzintézeteknek, már megjelentek a láthatáron az első pozitív jelek. A pénzintézetek minden nappal jobban látják a jelszóhalászat problémáját, és hatékonyabban tudnak rá reagálni. Ugyanakkor a műszaki fejlődés is fellendült, a próbák és a bemutatók a jelszóhalászat leküzdése felé mutatnak. A gyártók is fokozzák együttműködésüket, hogy átfogó, integrált megoldásokat kínálhassanak a jelszóhalászat ellen. Éppen idejében, mert hosszú utat kell még megtenni ahhoz, hogy ezek az erőfeszítések visszahozzák a fogyasztóknak a netes ügyletekbe vetett bizalmát.