TURINYS
ĮVADAS 3
I. BANKINIŲ TECHNOLOGIJŲ SAUGA 4
1.1. Grynųjų pinigų ir kitų vertingų materialių objektų saugojimas ir transportavimas. 4
1.2. Bankomatai. 4
1.3. Automatinio stebėjimo ir vizualinės informacijos registravimo sistemos. 5
1.4. Informacijos laikmenų transportavimas. 5
1.5. Mokėjimo kortelės. 5
1.6. HSM. 6
II. ELEKTRONINIS PARAŠAS 7
2.1. Pasirašymo PKI elektroniniu parašu modelis 7
2.2. Slaptųjų šifravimo raktų laikmenos. 8
III. ELEKTRONINĖS BANKININKYSTĖS SISTEMOS SAUGUMAS 10
3.1. EBS įrangos apsaugos schemą sudaro šie komponentai : 10
3.2. Elektroninei bankininkystei būdingos rizikos bei jų valdymas 11
3.3. EBS technologijos ir saugumas Lietuvoje 14
3.4. Bankai diegia papildomas priemones elektroninių mokėjimų saugumui užtikrinti . 15
3.5. Banko saugumo sistemos pažeidimo pavyzdžiai 16
IŠVADOS 19
LITERATŪRA 20
ĮVADAS
Yra nemažai bankų ir jų veiklos saugai skirtų publikacijų, kuriose pateiktas visas spektras reikalingų organizacinių ir technologinių banko veiklos apsaugos priemonių, pradedant nuo valstybių, kuriose veikia bankas ir jo padaliniai, juridinės bazės ir baigiant asmenine banko valdytojo ir labai svarbių klientų apsauga. Ir panašių priemonių sąrašas labai priklauso nuo banko struktūros, banko valdymo modelio, saugos tarnybos ir kadrų tarnybos struktūros bei vidaus tarnybos statuto, nuo daugelio kitų faktorių.
Universaliausias metodas bankų saugumui užtikrinti – tai užtikrinti banko veikloje naudojamų technologinių procesų saugą. Šiandieninėmis daugelio sudėtingų bankinių technologijų išvystymo ir egzistavimo sąlygomis (pvz., grynųjų pinigų ir vertybinių popierių apyvartos technologijos, įvairios kreditavimo technologijos, mokėjimo kortelių technologijos, internetinė bankininkystė ir pan.), visos šios technologijos susideda iš kelių pagrindinių technologinių procesų, besikartojančių įvairiais pavidalais ir deriniais. Ir būtent – visos bankinės technologijos susiję su grynųjų ar negrynųjų pinigų, kurie turi niekur nedingti ir iš niekur neatsirasti, saugojimo ir transportavimo procesais. Negrynosios lėšos turi informacijos pavidalą ir saugomos popieriniu ir (arba) elektroniniu pavidalu. Be informacijos apie pinigines lėšas, bankai dar turi ir komercinės informacijos, informacijos apie klientus ir apie pačias informacijos laikmenas, kurių netekimas, iškraipymas ar konfidencialumo praradimas taip pat gali sukelti piniginių lėšų dingimą. Tokia informacija taip pat turi būti saugoma ir perduodama saugiu būdu. Elektroniniu pavidalu laikmenoje (kietajame ar lanksčiajame diske, plastmasinėje mokėjimo kortelėje, specialiame aparatiniame modulyje ir kt.) saugoma informacija gali būti transportuojama tiek fiziškai (kartu su laikmena), tiek ir elektroniškai (perrašant iš vienos laikmenos į kitą).[4]
Darbo tikslas: išanalizuoti identifikavimo problemą bankininkystėje ir apibūdinti bankininkystės sistemos saugumą.
Darbo uždaviniai:
1. Įvardinti bankinių technologijų saugą;
2. Pateikti elektroninio parašo sąvoką;
3. Apibūdinti elekroninės bankininkystės sistemos saugumą.
I. BANKINIŲ TECHNOLOGIJŲ SAUGA
Bankinių technologijų saugą galima suvesti į šių technologijų saugumo užtikrinimą:
1. Grynųjų pinigų, materialinių vertybių, popierinių dokumentų, fizinių informacijos laikmenų saugojimas;
2. Grynųjų pinigų, materialiųjų vertybių, popierinių dokumentų, fizinių informacijos laikmenų transportavimas;
3. Informacijos elektroniniu pavidalų saugojimas;
4. Informacijos elektroniniu pavidalu transportavimas.
Šių išvardytų technologinių procesų saugos užtikrinimas bankams yra būtinas, apima tiek techninio, tiek organizacinio-administracinio charakterio priemones ir reikalauja pasirinkti konkrečius sprendimus pagal konkretaus technologinio proceso realizavimo ir paskirties sąlygas.
Toliau pateikta trumpa anksčiau minėtų bankinių technologijų saugai užtikrinti apžvalga.
1.1. Grynųjų pinigų ir kitų vertingų materialių objektų saugojimas ir transportavimas.
Grynųjų pinigų saugojimo ir transportavimo technologijos, atrodo, atidirbtos ir nusistovėję amžiais, šiandien iš esmės keičiasi: įdiegiamos naujos fizinės prieigos prie saugyklų ir seifų technologijos; su pinigų paėmimu iš saugyklos ar seifo arba su jų padėjimu į saugyklą ar seifą susiję automatinio įvykių registravimo sistemos; automatinio pinigų išdavimo iš seifų ar bankomatų (ir automatinio pinigų priėmimo) valdymo sistemos; automatinio stebėjimo ir vizualinės informacijos registravimo sistemos.
1.2. Bankomatai.
Grynųjų pinigų apyvartos banke sauga numato jų saugumą laikant ir transportuojant kelyje iš banko pas klientą ar atvirkščiai. Mokėjimų kortelėmis sistemose grynųjų pinigų judėjimo iš banko pas klientą problema išspręsta naudojant bankomatus, kurie integruoti į mokėjimų sistemą taip, kad klientas gauna autorizuotą prieigą prie automatizuotame seife esančių grynųjų pinigų. Visi pinigų išdavimą ar inkasavimą liečiantys procesai automatiškai registruojami .
1.3. Automatinio
stebėjimo ir vizualinės informacijos registravimo sistemos.
Bankinių technologijų sauga numato ne tiek apsaugą nuo piktavalių, kiek visų sistemos mazgų funkcionavimo kontroliuojamumą ir valdomumą. Banko kaip valdomos sistemos monitoringo uždaviniai: adekvatus įvykių registravimas, užfiksuotos informacijos išsaugojimas, prieigos prie saugomos informacijos administravimo ir savalaikės prieigos prie šios informacijos reikalingoje vietoje užtikrinimo galimybės.
Automatinio stebėjimo ir vizualinės informacijos registravimo sistemos turi būti viso banko monitoringo sistemos dalimi. Pavyzdžiui, sprendžiant kliento pretenzijas dėl blogo bankomato darbo, videomedžiaga, kurioje užfiksuotas kliento nuėjimas nuo bankomato pinigų išdavimo iš bankomato momentu, leidžia išspręsti situaciją banko naudai. Šiuolaikinės automatinio stebėjimo ir vizualinės informacijos registracijos sistemos yra pakankamai intelektualios – videorašymas gali vykti tiek nenutrūkstamai, tiek kaip atsakas į kai kuriuos įvykius, įsijungdamas ir išsijungdamas automatiškai.
1.4. Informacijos laikmenų transportavimas.
Naujove, lyginant su grynųjų pinigų ir popierinių dokumentų transportavimu, yra tokių informacijos laikmenų, kaip plastmasinės mokėjimo kortelės, HSM (Hardware Security Modulus), elektroniniai raktai eToken transportavimo technologijos. (Informacijos lanksčiuosiuose ir kietuosiuose diskuose transportavimas nėra saugus ir turėtų būti nenaudojamas šiuolaikinėse bankinėse technologijose.) Informacijos laikmenų transportavimo saugos technologijos turi įvairius sprendimus.
1.5. Mokėjimo kortelės.
Tuo atveju, kai bankas užsako pagaminti magnetinių mokėjimo kortelių partiją trečiajai šaliai, tenka į banką gabenti pagamintų kortelių (ir vokų su PIN kodais), kurios leidžia prieiti prie konkrečių klientų konkrečių sąskaitų, partijas. Magnetinių kortelių kopijavimas techniškai atliekamas labai paprastai (lyginant su banknotų kopijavimu), todėl reikalavimai tiek gatavų, tiek tuščių kortelių transportavimo saugumui daug griežtesni, negu grynųjų pinigų transportavimui. Perėjus prie mikroprocesorinių kortelių ir visiškai mokėjimų sistemoms ir kortelėms perėjus prie dinaminės autentifikacijos(DDA),leidžiančią apsaugoti mokėjimų sistemą nuo kortelių kopijavimo, atsiras galimybė supaprastinti saugos priemones gaminant ir transportuojant mokėjimo korteles.[8]
1.6. HSM.
Rimta problema – kaip transportuoti HSM, kurie yra būtina tiek korteles išleidusio, tiek priimančio banko mokėjimų kortelėmis sistemos dalis, bei turi būti naudojami ir bet kurioje patikimos kriptografinės apsaugos reikalaujančioje bankinėje sistemoje. Mokėjimų kortelėmis sistemose daug slaptųjų sistemos šifravimo raktų perduodama magnetines korteles išleidusiems bankams ir priimantiems bankams HSM viduje, o dalis slaptu būdu pakraunama tiesiai naudojimo vietoje. Todėl tokių HSM transportavimas pagal specialiai parengtas taisykles – gana sudėtinga ir brangi procedūra. Pereinant prie mikroprocesorinių kortelių (EMV projektai), iškelti reikalavimai naudoti HSM, atitinkančius standarto FIPS 140-1 Level 3 reikalavimus. Tokie “atsparūs klastojimui” HSM užtikrina absoliučiai saugų raktų laikymą ir sunaikina jų vertes, bandant įsilaužti fiziškai. Be to, numatomas PKI technologijos įdiegimas, kur naudojami nesimetriški slaptieji ir viešieji raktai (RSA) bei viešųjų raktų sertifikavimas. Todėl HSM moduliams šiuo metu keliami ir RSA raktų generavimo bei šifravimo operacijų su RSA raktais funkcijų reikalavimai.
Transportuojant HSM iš gamintojo, atsiranda papildomų apribojimų, sunkumų ir esminių išlaidų, susijusių su šifravimo aparatūros išvežimo iš gamintojo šalies ir įvežimo į užsakovo šalį licencijavimu. PKI technologijos naudojimas pasirodė esąs galintis pašalinti šią problemą, pagaminant HSM kaip įrenginį su įprastu, specializuotų šifravimo funkcijų neturinčiu procesorium. Toks “tuščias” modulis gali būti transportuojamas be jokių kliūčių ir atsargumo priemonių. Instaliavus modulį darbo vietoje, į jį nuotoliniu būdu (per internetą) pakraunamos kriptobibliotekos, moduliui ir pakraunančiam serveriui apsikeitus reikalingais sertifikatais. Konkrečiai, tokią technologiją naudoja IBM firma.[8]
II. ELEKTRONINIS PARAŠAS
Vienas iš PKI technologijų komponentų – elektroninio parašo autentikavimas ir tikrinimas.
„Elektroninis parašas“ – elektronine forma pateikti duomenys.
Elektroninis parašas (toliau – parašas) – duomenys, kurie įterpiami, prijungiami ar logiškai susiejami su kitais duomenimis pastarųjų autentiškumui patvirtinti ir (ar) pasirašančiam asmeniui identifikuoti.
Jei kalbam apie asmenį, jo asmens tapatybės identifikavimas ir autentifikavimas elektroninėje erdvėje galimas įvairiais būdais priklausomai nuo atitinkamo poreikio konkrečiai paslaugai ar veiksmui.
2.1. Pasirašymo PKI elektroniniu parašu modelis
1 schema
Norint naudotis elektroniniu parašu reikia turėti:
• Kompiuterį;
• Raktų porą;
• Viešąjį raktą patvirtinantį sertifikatą;
• E. parašo formavimo įrangą – lustinę kortelę, USB raktą,
specialią
(mobilaus tel.) kortelę.
Lietuvoje Gyventojai informacinėse sistemose identifikuojami per bankines sistemas, tačiau tai tėra slaptažodžių, o ne tikrojo EP naudojimas su visais jo privalumais (pirmiausia – duomenų autentiškumo ir integralumo užtikrinimu);
Atvirose sistemose tinkantis kvalifikuotu sertifikatu patvirtintas parašas iki šiol nėra plačiai naudojamas dėl neišvystytų paslaugų, sudėtingumo ir reikalingos įrangos bei paslaugų kaštų (nors bankai skelbia pavojų dėl sukčiavimo e.bankinkystėje) ;
Lietuva yra tarp nedaugelio šalių, kol kas dar sugebančių kurti savo EP produktus; Tikslinga paremti vietos gamintojų produktų tarptautinio pripažinimo siekimą ir skatinti tų produktų naudojimą ir eksportą; – šiame etape Lietuvos prioritetas ne išduotų kortelių arba parduotų sertifikatų kiekis, o kuriamų IT projektų/sistemų ratas, kuriuose numatoma sukurti saugią elektroninė erdvę pasitikėjimą keliančioms e.Paslaugas teikti naudojant skaitmeninius sertifikatus .
Problemos ir galimi sprendimai-
• E. parašo technologinis suderinamumas Lietuvoje ir už jos ribų – Verslo įmonės ir valstybės institucijos dirba kartu sprendžiant tarpusavio suderinamumo klausimus
• E. parašo technologijos, (kai kurie jų komponentai) palyginti brangūs- svarstoma subsidijavimo Lietuvos piliečių aprūpinimo kvalifikuotai sertifikatais, galimybė E. dokumentų saugojimo problema
• ypač ilgalaikio ir neterminuoto saugojimo – LAD prie LRV rengia studiją e. dokumentų saugojimo valstybės archyvuose infrastruktūrai sukurti, 2008 m. numatytas bandomasis projektas.