Connect with us

technokrata

Gyorsuló banki átutalások – mi a kockázat?

Dotkom

Gyorsuló banki átutalások – mi a kockázat?

Ma még akár 24 órát is kell várni egy banki átutalásra, 2012-től azonban ez alig néhány órára csökken. Nem biztos azonban, hogy zökkenő nélkül fog menni az átállás, állítja a Kürt.

A Magyar Nemzeti Bank 2010. október 13-án bejelentett rendelete értelmében 2012. július 1-jétől a belföldi bankközi forintátutalások időtartama 1 napról 4 órára rövidül. A banki-pénzügyi szektorban ennek kapcsán komoly informatikai fejlesztések várhatók, melyeknél nem szorulhatnak háttérbe a biztonsági szempontok sem, hiszen a pénzügyi szektor már napjainkban is az internetes bűnözők kedvelt célpontja. Ezt az erősödő tendenciát pedig csak segíti az, hogy a cégek egyre több elektronikus szolgáltatást vezetnek be, amelyek a támadási felületek számát is növelik.

„A tapasztalatok azt mutatják, hogy a bizalmas információk, például pénzügyi, stratégiai adatok, az esetek többségében a vállalati hálózatból a saját munkavállalók által, különböző csatornákon keresztül kerülnek ki. Ilyen csatornák lehetnek a népszerű webes e-mail rendszerek, az azonnali üzenetküldő szoftverek, a webes feltöltő oldalak, vagy akár a szabványos kimenő levelek ismeretlen adattartalma is, mert ez utóbbi akár bizalmas, minősített adat is lehet.” – mondta Jakab Péter, a Magyar Bankszövetség Bankbiztonsági Munkabizottságának vezetője, az MKB Bank Zrt. bankbiztonsági ügyvezető igazgatója.

A pénzügyi intézmények által kezelt hatalmas adatállomány és üzleti információk – például államtitkok, bank- és értékpapír titkok, ügyfelek adatai – megszerzéséhez egyre komolyabb érdekek fűződnek, ma már nem ritka a szervezett bűnözés felbukkanása sem az ilyen támadások hátterében. Talán még nagyobb problémát jelent azonban a nem szándékos hibák által okozott adatszivárgás, az information disclosure vagy információ kitakarás. A különböző üzleti dokumentumok ellenőrizetlen meta-adatai, a vállalatok által publikált üzleti jelentések, statisztikák, az internetes rendszerek nem megfelelően kontrollált hibaüzenetei mind-mind tárházát jelentik az emberi erőforrásokkal vagy automatizált robothálózatokkal végzett támadásokhoz szükséges információknak. Ehhez a körhöz tartozik a hacker támadások egyik legkedveltebb fegyvere, a social engineering is, amelynek segítségével igen könnyen lehet megszerezni meghatározó információkat egy vállalat rendszereinek feltöréséhez.

Megelőző lépések
1. Vizsgáljuk meg, pontosan milyen információt kell védenünk!
2. Határozzuk meg az adat- és információbiztonsági kockázati szinteket!
3. Mérjük fel, hol találhatóak meg a védendő információk és a lehetséges kiszivárogtató csatornák!
4. Gyűjtsük össze, hogy ki és milyen szinten férhet hozzá az adatokhoz (felhasználó- és jogosultságkezelés, adattárolás és levelezési beállítások)!
5. Tegyük meg a védelmi intézkedéseket, és vezessük át az információbiztonsági szabályozásba!
6. Mindezt nem akciószerűen kell elvégezni, hanem folyamatában, az információbiztonság menedzsmentjét megvalósítva.

Frész Ferenc, a Kürt Zrt. stratégiai üzletág-fejlesztési vezetője szakembere szerint a pénzügyi vállalatok közelgő, jelentős IT-fejlesztési projektjei megnövelhetik a rendszerek sebezhetőségét. Ennek oka a minőségbiztosítási hiányosságok mellett az, hogy a fejlesztés során alkalmazott rendszerek kevésbé védettek, mint az üzleti folyamatokat kiszolgáló informatika, ugyanakkor gyakran éles adatokkal történik a tesztelés. Az információbiztonság, azon belül is az adatszivárgás kezelése a rendszerek fejlesztésekor ezért különösen akut probléma, és gyakran háttérbe szorul a költséghatékonyság és a szoros határidők betartásának kényszere miatt. Jelen esetben is, a pénzintézeteknek 2011 novemberében már tesztelni kell majd az új informatikai megoldásokat. Ez a probléma jelenti napjaink egyik legégetőbb kérdését – nem csak a pénzügyi szektor, de minden, bizalmas adatokat kezelő vállalat számára.

A Kürt által javasolt védelmi intézkedések között szerepel egy olyan DLP (Data Loss Protection, adatszivárgás-megelőző/elhárító) rendszer, amely képes feltérképezni, hogy a szervezet hálózatán és rendszereiben hol találhatóak az előzetesen meghatározott érzékeny információk, valamint képes azok mozgását, beállított szabályok alapján monitorozni. A szoftver bevezetésével megállapítható, hogy mely felhasználó, milyen információt, milyen irányban, milyen csatornán tervezett kiszivárogtatni. Az eredményekből egyedi és összevont riportok is létrehozhatók, amelyek a felhasználói (pl. menedzseri, IT biztonsági vezetői) igényekhez igazodva testre szabhatók és automatizálhatók. Az említett rendszer moduláris felépítésű, ez által rugalmasan telepíthető, az egyes funkciók külön-külön is bevezethetők, amelyek megakadályozzák a definiált adatkezelési szabályok megsértését vagy az érzékeny adatok kijutását a hálózatból.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek