Securitatea Cibernetica in anul 2012 Bucuresti, 26 Septembrie 2012, Marshal Garden

Asociatia Nationala pentru Securitatea Sistemelor Informatice (ANSSI) a fost infiintata in Aprilie 2012 ca persoana juridica romana, fiind o organizatie de drept privat, nonprofit, neguvernamentala, profesional, independenta. Pe masura creterii gradului de informatizare al societatii romanesti, aceasta este mai vulnerabila la atacuri, iar asigurarea securitii spaiului cibernetic trebuie s constituie o preocupare majora a tuturor organizaiilor (sau organismelor) implicate. Succesul activitatilor desfasurate pentru asigurarea securitatii sistemelor informatice depinde n mod esential de cooperarea, inclusiv n formule de parteneriat public-privat, ntre detinatorii infrastructurilor cibernetice i autoritatile statului abilitate s ntreprinda masuri de prevenire, contracarare, investigare i eliminare a efectelor unei amenintari materializate printr-un atac. In acest context a fost infiintata ANSSI, cu un rol important in a promova standardele i bunele practici n domeniul securitii informaiilor i a coagula un parteneriat public-privat care s conduc la instituirea unei culturi corespunzatoare de securitate n Romnia

MEMBRII Membrii fondatori Provision; BitDefender; Star Storage; UCS; Romcard Provus Membrii activi UniCredit Tiriac; Cassidian (EADS Group); Romsys; Logika IT Solutions; Asociatia Furnizorilor de Servicii de Certificare (AFSC); Crescendo International; Kapsch Romania; IBM Romania; Hewlett-Packard Romania Membrii colaboratori Cristian Mihuti; Tomita Campeanu Membrii de onoare Silviu Hotaran; Ferucio Laurentiu Tiplea

STRUCTURA ANSSI AGA Consiliul Director Director Executiv Comisia Tehnica (formata din sapte membri)

PARTENERIATE ANSSI a initiat parteneriate de colaborare cu CIO Council, ISACA, IBR, ACN - Alliance pour la Confiance Numerique (organizatia similara din Franta), avand in pregatire parteneriate cu alte autoritati si organizatii profesionale, in vederea ideplinirii obiectivelor Asociatiei.

ANSSI a initiat pasi concreti in sensul definirii unui cadru de bune practici in domeniul securitatii sistemelor informatice si de comunicatii in Romania, in acest sens fiind elaborate: Codul de bune practici pentru Securitatea Sistemelor Informatice i de Comunicaii Ghidul de bune practici pentru securizarea calculatoarelor i reelelor personale Consideratii privind impactul neimplementrii sau neaplicrii standardelor de securitate in cadrul

sistemului bancar

De asemenea ANSSI a definit urmatoarele directii de actiune si activitati strategice: Implicarea in definitivarea Strategiei Nationale Cibernetice ce va solicita eforturi coordonate din

partea autoritatilor cu responsabilitati specifice si a unei comunitati largi ce va include industria IT, beneficiarii ei, consultanti, organizatii profesionale.

Pregatirea lansarii unei platforme de comunicare a subiectelor de interes major, ce va permite

incurajarea schimbului de informatii pentru securitatea sistemelor informatice si facilitarea interactiunii la nivelul autoritatilor (de exemplu cu implicarea CERT), comunitatii de afaceri si publicului larg pentru a raspunde intr-un mod eficient si coordonat la amenintarile cibernetice

Sustinerea operationalizarii unor elemente ale Strategiei Nationale Cinernetice

De asemenea ANSSI a definit urmatoarele directii de actiune si activitati strategice: Implicarea in reglementarea unor zone de activitate considerand necesitatile specifice (ca de

exemplu reglementarea traficului pe internet, responsabilitatea sociala a ISP din punctul de vedere al protectiei si securitatii utilizatorilor, diseminarea si reglementarea corespunzatoare a semnaturii electronice).

Adoptarea unui cod de bune practici la nivelul comunitatii de afaceri care sa permita consolidarea culturii si aptitudinilor in domeniul securitatii informatiei, precum si definirea rolului Information Security Officer in cadrul companiilor si a unei bune guvernante corporatiste in materie.

Organizarea de training-uri , cursuri pentru formarea profesionala in domeniul securitatii sistemelor informatice si initierea de programe pentru constientizarea riscurilor la care sunt supuse sistemele informatice

Banca, ca i o afacere, presupune gestionarea riscurilor. S-a vorbit mult timp despre riscurile financiare, riscurile care decurg din implementarea pe scar larg a noilor tehnologii prezente n activitatea de zi cu zi a bncilor. Securitatea n mediul bancar a fost asumat, n proporii semnificative, prin securitatea fizic luat n conjuncie cu securitatea informaiei, fiecare avnd un impact asupra riscului reputaional al organismului financiar. Riscul operaional este definit ca riscul de pierderi directe i indirecte cauzate de factori interni i de factori externi. Printre factorii interni care influeneaz riscul operaional putem enumera: derularea ineficient a unor procese interne, pregtirea necorespunztoare a personalului, calitatea sistemelor utilizate. Problemele legate de securitatea informaiei intr i ele n categoria factorilor care au implicaii directe asupra riscului operaional: cderile pariale sau complete ale sistemelor informatice, problemele generate de atacuri informatice sau ptrunderi neautorizate, fraudele, greelile de operare, ntreruperea activitii

Consideratii privind senzitivitatea securitatii sistemelor informatice la nivelul sistemului bancar

In primul trimestru din 2012, ameninrile informatice n sectorul financiar-bancar au reprezentat aproximativ 10% din totalul ameninrilor informatice, enumarand aici: Atacuri cu troieni: numrul troienilor bancari n Romnia este n cretere semnificativa, din cauza

accesibilitii tehnologiei. Adesea acetia pot aprea mpreun cu email-uri de tip phishing.

Atacuri de tip Phishing : dei tentativele de phishing bancar au sczut datorit introducerii unor factori suplimentari de autentificare, coroborarea cu troienii sau alegerea specific a intelor atacurilor, determinarea i organizarea au condus la apariia de victime (atacuri reuite de phishing tranzacii frauduloase efectuate cu succes). Atacatorii nu solicit doar datele de autentificare n serviciul de e-banking, ci i numrul cardului, data expirrii, codul CVV/CVV2 i numele complet al deintorului.

Tipuri de atacuri informatice cu impact asupra sistemului bancar

Scurgeri de informaii: la nivelul procesatorilor de carduri precum si penetrarea fiierelor de

carduri, fiiere ce conin toate detaliile aferente unui cont de card (numr card, nume, prenume, cont, data expirrii, CVV/CVC).

Alte ameninri curente aflate n topul rapoartelor emise de companiile de securitate sunt atacurile

asupra site-urilor web ale instituiilor, cele ndreptate asupra dispozitivelor mobile i exploatarea reelelor sociale.

Pentru detalierea tipurilor de atacuri informatice a se vedea Anexa 1

Tipuri de atacuri informatice cu impact asupra sistemului bancar

n Romnia exist peste 40 de entiti (bnci i instituii financiare) emitente de carduri i un numr de aproximativ 15 bnci acceptatoare. Dintre acestea, 17 entiti emitente ofer servicii de securizare a cardului pe internet (prin nrolarea n serviciile 3D Secure, MasterCard SecureCode, respectiv Verfied by Visa).

Analiza implementrii standardului 3D Secure n Romania

252048 265311 279503 295738

310174 324201 336162

0

50000

100000

150000

200000

250000

300000

350000

400000

Ian Feb Mar Apr Mai Iun Iul

Situatie activari 2012

Numar carduri activate

Avnd n vedere faptul c n acest moment bncile emitente au nrolat un numr de peste 9 milioane de carduri n sistemul 3D Secure, se poate spune c exist o penetrare redus a acestui standard n rndul utilizatorilor de carduri online (un procent de aproximativ 4% de carduri activate din totalul de carduri nrolate n sistem). Din totalul de tranzacii procesate online, aproximativ 20% sunt tranzacii autentificate complet sub standardul 3D Secure (tranzacii 3D Secure autentificate cu parol). Recomandare: Campanii de contientizare a clienilor n ceea ce privete riscurile la care se expun prin neactivarea

cardului n sistemul 3D Secure; Impunerea de ctre toi procesatorii de carduri a activrii obligatorii a cardului n sistemul 3D

Secure dup un anumit numr de tranazacii (implementarea sistemului ADS Activation During Shopping).

Analiza implementrii standardului 3D Secure n Romania

1. Atacuri cu troieni Troianul care provoac paguba este adus pe sistem din mn n mn, pornind de la un website infectat i trecnd printr-o sumedenie de ali troieni. Primul pas al infeciei l reprezint vizitarea unui site legitim, dar pe care l-a atacat n prealabil un hacker i pe care acesta a ncrcat o aplicaie periculoas scris n Java. Dup instalare, troianul verific o list de adrese de la care va descrca i va executa ali troieni de tip bancher. Acetia sunt gzduii pe mai multe servere compromise, n aa fel nct, dac unul dintre servere este nchis sau curat de virui, troianul s poat aduce bancherii de pe un altul. Troianul de e-banking va urmri ce tranzacii electronice face utilizatorul calculatorului i va fura datele acestuia de conectare, date care vor ajunge n mna atacatorului. Din cauza faptului c aceti virui bancheri fur informaii direct din formularul browser-ului, utilizatorul nu-i poate da seama c datele lui ajung i altundeva dect la site-ul bncii. Metoda de distribuie a troianului este foarte complex. Acest circuit are ca scop protejarea troianului final fa de productorii de soluii de securitate i fa de sistemele lor automate de verificare a semnturilor viruilor. Acestea vor identifica, n multe cazuri, unul dintre troienii intermediari, care sunt uor de nlocuit, i nu troianul bancher, care e cea mai periculoas component a atacului.

Anexa 1 Tipuri de atacuri informatice cu impact in cadrul sistemului bancar

2. Atacuri de tip Phishing Atacul de tip phishing este cel mai frecvent i cel care nregistreaz cea mai mare rat de succes. Acest tip de atac este desvrit de naivitatea, neglijena, curiozitatea sau ignorana utilizatorului. n ultimii 10 ani sistemul bancar a fost o int continu a acestor tipuri de atacuri. Multe dintre ele s-au soldat cu pierderi financiare datorit tranzaciilor frauduloase efectuate cu succes. Exist mai multe tipuri de phishing: Phishing bancar (mesaje care par a proveni de la bnci cunoscute) Phishing cu carduri (mesaje care par a proveni de la bnci cunoscute i/ sau emitente de carduri

sau firme precum MasterCard sau Visa) Phishing de la magazine online (exploateaz conturile online) Alte tipuri de phishing (cereri de donaii online) Dei sumele transferate fraudulos sunt mai mici dect in cazul altor tipuri de atacuri, impactul reputaional crete cu numrul de atacuri, n ultima perioad fiind sesizat o cretere a atacurilor de acest tip la nivelul instituiilor de credit.

Anexa 1 Tipuri de atacuri informatice cu impact in cadrul sistemului bancar

3. Scurgeri de informaii n 2011 au aprut probleme cu toate tipurile de carduri de la mai multe banci, cauzate de scurgerile de informaii din cadrul unui procesator prin intermediul cruia se fac pli cu cardul. Peste o jumtate de milion de carduri din Romnia, dar i din alte ri au fost blocate i re-emise, dup ce bncile au fost avertizate c o baz de date internaional a fost spart. Notificarea a fost fcut de ctre Visa Europe datorit unui numr foarte mare de pli fcute cu carduri n ri din Rusia, Ukraina, Romnia sau Albania. Tot n zona scurgerilor de informaii, este cunoscuta i penetrarea fiierelor de carduri, fiiere ce conin toate detaliile aferente unui cont de card (numr card, nume, prenume, cont, data expirrii, CVV/CVC).

Anexa 1 Tipuri de atacuri informatice cu impact in cadrul sistemului bancar

4. Fraude la ATM/POS a. Skiming-ul: presupune copierea ntregului coninut al uneia sau al mai multor nregistrri (track-uri), inclusiv codul CVV/CVC (Card Verification Value/Card Verification Code), de pe banda magnetic a unui card autentic pentru falsificarea card-ului. Dispozitivul utilizat de infractori pentru a captura datele stocate pe benzile magnetice ale card-urilor este cunoscut sub denumirea de skimmer device sau colector portabil de date (portable data collector PDC). Aceste dispozitive pot fi clasificate n hand skimmers (manuale) i ATM/POS skimmers (montate la ATM-uri sau la punctele de vnzare). La cele din urm, se mai face distincia ntre slot skimmers (instalate la fanta de introducere a card-ului) i door skimmers (instalate la dispozitivele de acces ntr-o banc pe baza card-ului). De asemenea, dispozitivele de skimming pot fi externe - au ncorporate un cititor de band magnetic, o baterie i un memory chip i interne - dispun de o baterie rencrcabil i un chip EEPROM (Electrically Erasable Programmable Read Only Memory memorie nevolatil ce poate fi tears electronic i reprogramat, iar deconectarea de la sursa de alimentare nu are ca rezultat pierderea datelor.

Anexa 1 Tipuri de atacuri informatice cu impact in cadrul sistemului bancar

4. Fraude la ATM/POS b. Exploit ATM design flaws Prin exploatarea unor vulnerabiliti tehnice ale ATM-urilor, n ultima perioad infractorii fac numeroase victime n rndul bncilor i clienilor acestora. Aceste vulnerabiliti se refer la shutter-ele (opturatorul care livreaz pachetul de bani) i la soft-urile ATM-urilor. Aceast metod se realizeaz n cteva secunde i presupune blocarea shutter-ului n poziia deschis, concomitent cu retragerea banilor din acesta i inserarea unui dospozitiv special creat astfel n ct ATM-ul sesizeaz c banii nu au fost eliberai (practic sesizeaz c banii sunt blocai n shutter). n astfel de situaii unele ATM-uri sunt programate s retrag banii n cutia de reject i s genereze o eroare, iar softul, n urma sesizrii acestei erori, nu retrage banii din contul clientului (sau i reintroduce n cont). Practic, un infractor poate repeta de un numr de ori tranzacia fr ca s debiteze contul aferent card-ului utilizat pentru realizarea unei astfel de infraciuni

Anexa 1 Tipuri de atacuri informatice cu impact in cadrul sistemului bancar

V mulumim!