TURINYS
ĮVADAS 3I. BANKINIŲ TECHNOLOGIJŲ SAUGA 41.1. Grynųjų pinigų ir kitų vertingų materialių objektų saugojimas ir transportavimas. 41.2. Bankomatai. 41.3. Automatinio stebėjimo ir vizualinės informacijos registravimo sistemos. 51.4. Informacijos laikmenų transportavimas. 51.5. Mokėjimo kortelės. 51.6. HSM. 6II. ELEKTRONINIS PARAŠAS 72.1. Pasirašymo PKI elektroniniu parašu modelis 72.2. Slaptųjų šifravimo raktų laikmenos. 8III. ELEKTRONINĖS BANKININKYSTĖS SISTEMOS SAUGUMAS 103.1. EBS įrangos apsaugos schemą sudaro šie komponentai : 103.2. Elektroninei bankininkystei būdingos rizikos bei jų valdymas 113.3. EBS technologijos ir saugumas Lietuvoje 143.4. Bankai diegia papildomas priemones elektroninių mokėjimų saugumui užtikrinti . 153.5. Banko saugumo sistemos pažeidimo pavyzdžiai 16IŠVADOS 19LITERATŪRA 20ĮVADASYra nemažai bankų ir jų veiklos saugai skirtų publikacijų, kuriose pateiktas visas spektras reikalingų organizacinių ir technologinių banko veiklos apsaugos priemonių, pradedant nuo valstybių, kuriose veikia bankas ir jo padaliniai, juridinės bazės ir baigiant asmenine banko valdytojo ir labai svarbių klientų apsauga. Ir panašių priemonių sąrašas labai priklauso nuo banko struktūros, banko valdymo modelio, saugos tarnybos ir kadrų tarnybos struktūros bei vidaus tarnybos statuto, nuo daugelio kitų faktorių. Universaliausias metodas bankų saugumui užtikrinti – tai užtikrinti banko veikloje naudojamų technologinių procesų saugą. Šiandieninėmis daugelio sudėtingų bankinių technologijų išvystymo ir egzistavimo sąlygomis (pvz., grynųjų pinigų ir vertybinių popierių apyvartos technologijos, įvairios kreditavimo technologijos, mokėjimo kortelių technologijos, internetinė bankininkystė ir pan.), visos šios technologijos susideda iš kelių pagrindinių technologinių procesų, besikartojančių įvairiais pavidalais ir deriniais. Ir būtent – visos bankinės technologijos susiję su grynųjų ar negrynųjų pinigų, kurie turi niekur nedingti ir iš niekur neatsirasti, saugojimo ir transportavimo procesais. Negrynosios lėšos turi informacijos pavidalą ir saugomos popieriniu ir (arba) elektroniniu pavidalu. Be informacijos apie pinigines lėšas, bankai dar turi ir komercinės informacijos, informacijos apie klientus ir apie pačias informacijos laikmenas, kurių netekimas, iškraipymas ar konfidencialumo praradimas taip pat gali sukelti piniginių lėšų dingimą. Tokia informacija taip pat turi būti saugoma ir perduodama saugiu būdu. Elektroniniu pavidalu laikmenoje (kietajame ar lanksčiajame diske, plastmasinėje mokėjimo kortelėje, specialiame aparatiniame modulyje ir kt.) saugoma informacija gali būti transportuojama tiek fiziškai (kartu su laikmena), tiek ir elektroniškai (perrašant iš vienos laikmenos į kitą).[4]
Darbo tikslas: išanalizuoti identifikavimo problemą bankininkystėje ir apibūdinti bankininkystės sistemos saugumą. Darbo uždaviniai:1. Įvardinti bankinių technologijų saugą;2. Pateikti elektroninio parašo sąvoką;3. Apibūdinti elekroninės bankininkystės sistemos saugumą.I. BANKINIŲ TECHNOLOGIJŲ SAUGABankinių technologijų saugą galima suvesti į šių technologijų saugumo užtikrinimą:1. Grynųjų pinigų, materialinių vertybių, popierinių dokumentų, fizinių informacijos laikmenų saugojimas; 2. Grynųjų pinigų, materialiųjų vertybių, popierinių dokumentų, fizinių informacijos laikmenų transportavimas; 3. Informacijos elektroniniu pavidalų saugojimas; 4. Informacijos elektroniniu pavidalu transportavimas.Šių išvardytų technologinių procesų saugos užtikrinimas bankams yra būtinas, apima tiek techninio, tiek organizacinio-administracinio charakterio priemones ir reikalauja pasirinkti konkrečius sprendimus pagal konkretaus technologinio proceso realizavimo ir paskirties sąlygas.Toliau pateikta trumpa anksčiau minėtų bankinių technologijų saugai užtikrinti apžvalga.1.1. Grynųjų pinigų ir kitų vertingų materialių objektų saugojimas ir transportavimas. Grynųjų pinigų saugojimo ir transportavimo technologijos, atrodo, atidirbtos ir nusistovėję amžiais, šiandien iš esmės keičiasi: įdiegiamos naujos fizinės prieigos prie saugyklų ir seifų technologijos; su pinigų paėmimu iš saugyklos ar seifo arba su jų padėjimu į saugyklą ar seifą susiję automatinio įvykių registravimo sistemos; automatinio pinigų išdavimo iš seifų ar bankomatų (ir automatinio pinigų priėmimo) valdymo sistemos; automatinio stebėjimo ir vizualinės informacijos registravimo sistemos.1.2. Bankomatai. Grynųjų pinigų apyvartos banke sauga numato jų saugumą laikant ir transportuojant kelyje iš banko pas klientą ar atvirkščiai. Mokėjimų kortelėmis sistemose grynųjų pinigų judėjimo iš banko pas klientą problema išspręsta naudojant bankomatus, kurie integruoti į mokėjimų sistemą taip, kad klientas gauna autorizuotą prieigą prie automatizuotame seife esančių grynųjų pinigų. Visi pinigų išdavimą ar inkasavimą liečiantys procesai automatiškai registruojami .1.3. Automatinio stebėjimo ir vizualinės informacijos registravimo sistemos.Bankinių technologijų sauga numato ne tiek apsaugą nuo piktavalių, kiek visų sistemos mazgų funkcionavimo kontroliuojamumą ir valdomumą. Banko kaip valdomos sistemos monitoringo uždaviniai: adekvatus įvykių registravimas, užfiksuotos informacijos išsaugojimas, prieigos prie saugomos informacijos administravimo ir savalaikės prieigos prie šios informacijos reikalingoje vietoje užtikrinimo galimybės. Automatinio stebėjimo ir vizualinės informacijos registravimo sistemos turi būti viso banko monitoringo sistemos dalimi. Pavyzdžiui, sprendžiant kliento pretenzijas dėl blogo bankomato darbo, videomedžiaga, kurioje užfiksuotas kliento nuėjimas nuo bankomato pinigų išdavimo iš bankomato momentu, leidžia išspręsti situaciją banko naudai. Šiuolaikinės automatinio stebėjimo ir vizualinės informacijos registracijos sistemos yra pakankamai intelektualios – videorašymas gali vykti tiek nenutrūkstamai, tiek kaip atsakas į kai kuriuos įvykius, įsijungdamas ir išsijungdamas automatiškai.1.4. Informacijos laikmenų transportavimas. Naujove, lyginant su grynųjų pinigų ir popierinių dokumentų transportavimu, yra tokių informacijos laikmenų, kaip plastmasinės mokėjimo kortelės, HSM (Hardware Security Modulus), elektroniniai raktai eToken transportavimo technologijos. (Informacijos lanksčiuosiuose ir kietuosiuose diskuose transportavimas nėra saugus ir turėtų būti nenaudojamas šiuolaikinėse bankinėse technologijose.) Informacijos laikmenų transportavimo saugos technologijos turi įvairius sprendimus.1.5. Mokėjimo kortelės.Tuo atveju, kai bankas užsako pagaminti magnetinių mokėjimo kortelių partiją trečiajai šaliai, tenka į banką gabenti pagamintų kortelių (ir vokų su PIN kodais), kurios leidžia prieiti prie konkrečių klientų konkrečių sąskaitų, partijas. Magnetinių kortelių kopijavimas techniškai atliekamas labai paprastai (lyginant su banknotų kopijavimu), todėl reikalavimai tiek gatavų, tiek tuščių kortelių transportavimo saugumui daug griežtesni, negu grynųjų pinigų transportavimui. Perėjus prie mikroprocesorinių kortelių ir visiškai mokėjimų sistemoms ir kortelėms perėjus prie dinaminės autentifikacijos(DDA),leidžiančią apsaugoti mokėjimų sistemą nuo kortelių kopijavimo, atsiras galimybė supaprastinti saugos priemones gaminant ir transportuojant mokėjimo korteles.[8]1.6. HSM.Rimta problema – kaip transportuoti HSM, kurie yra būtina tiek korteles išleidusio, tiek priimančio banko mokėjimų kortelėmis sistemos dalis, bei turi būti naudojami ir bet kurioje patikimos kriptografinės apsaugos reikalaujančioje bankinėje sistemoje. Mokėjimų kortelėmis sistemose daug slaptųjų sistemos šifravimo raktų perduodama magnetines korteles išleidusiems bankams ir priimantiems bankams HSM viduje, o dalis slaptu būdu pakraunama tiesiai naudojimo vietoje. Todėl tokių HSM transportavimas pagal specialiai parengtas taisykles – gana sudėtinga ir brangi procedūra. Pereinant prie mikroprocesorinių kortelių (EMV projektai), iškelti reikalavimai naudoti HSM, atitinkančius standarto FIPS 140-1 Level 3 reikalavimus. Tokie “atsparūs klastojimui” HSM užtikrina absoliučiai saugų raktų laikymą ir sunaikina jų vertes, bandant įsilaužti fiziškai. Be to, numatomas PKI technologijos įdiegimas, kur naudojami nesimetriški slaptieji ir viešieji raktai (RSA) bei viešųjų raktų sertifikavimas. Todėl HSM moduliams šiuo metu keliami ir RSA raktų generavimo bei šifravimo operacijų su RSA raktais funkcijų reikalavimai. Transportuojant HSM iš gamintojo, atsiranda papildomų apribojimų, sunkumų ir esminių išlaidų, susijusių su šifravimo aparatūros išvežimo iš gamintojo šalies ir įvežimo į užsakovo šalį licencijavimu. PKI technologijos naudojimas pasirodė esąs galintis pašalinti šią problemą, pagaminant HSM kaip įrenginį su įprastu, specializuotų šifravimo funkcijų neturinčiu procesorium. Toks “tuščias” modulis gali būti transportuojamas be jokių kliūčių ir atsargumo priemonių. Instaliavus modulį darbo vietoje, į jį nuotoliniu būdu (per internetą) pakraunamos kriptobibliotekos, moduliui ir pakraunančiam serveriui apsikeitus reikalingais sertifikatais. Konkrečiai, tokią technologiją naudoja IBM firma.[8]II. ELEKTRONINIS PARAŠASVienas iš PKI technologijų komponentų – elektroninio parašo autentikavimas ir tikrinimas. „Elektroninis parašas“ – elektronine forma pateikti duomenys. Elektroninis parašas (toliau – parašas) – duomenys, kurie įterpiami, prijungiami ar logiškai susiejami su kitais duomenimis pastarųjų autentiškumui patvirtinti ir (ar) pasirašančiam asmeniui identifikuoti. Jei kalbam apie asmenį, jo asmens tapatybės identifikavimas ir autentifikavimas elektroninėje erdvėje galimas įvairiais būdais priklausomai nuo atitinkamo poreikio konkrečiai paslaugai ar veiksmui.2.1. Pasirašymo PKI elektroniniu parašu modelis1 schemaNorint naudotis elektroniniu parašu reikia turėti:• Kompiuterį;• Raktų porą;• Viešąjį raktą patvirtinantį sertifikatą;• E. parašo formavimo įrangą – lustinę kortelę, USB raktą,specialią SIM (mobilaus tel.) kortelę.Lietuvoje Gyventojai informacinėse sistemose identifikuojami per bankines sistemas, tačiau tai tėra slaptažodžių, o ne tikrojo EP naudojimas su visais jo privalumais (pirmiausia – duomenų autentiškumo ir integralumo užtikrinimu); Atvirose sistemose tinkantis kvalifikuotu sertifikatu patvirtintas parašas iki šiol nėra plačiai naudojamas dėl neišvystytų paslaugų, sudėtingumo ir reikalingos įrangos bei paslaugų kaštų (nors bankai skelbia pavojų dėl sukčiavimo e.bankinkystėje) ;Lietuva yra tarp nedaugelio šalių, kol kas dar sugebančių kurti savo EP produktus; Tikslinga paremti vietos gamintojų produktų tarptautinio pripažinimo siekimą ir skatinti tų produktų naudojimą ir eksportą; – šiame etape Lietuvos prioritetas ne išduotų kortelių arba parduotų sertifikatų kiekis, o kuriamų IT projektų/sistemų ratas, kuriuose numatoma sukurti saugią elektroninė erdvę pasitikėjimą keliančioms e.Paslaugas teikti naudojant skaitmeninius sertifikatus .
Problemos ir galimi sprendimai-• E. parašo technologinis suderinamumas Lietuvoje ir už jos ribų – Verslo įmonės ir valstybės institucijos dirba kartu sprendžiant tarpusavio suderinamumo klausimus• E. parašo technologijos, (kai kurie jų komponentai) palyginti brangūs- svarstoma subsidijavimo Lietuvos piliečių aprūpinimo kvalifikuotai sertifikatais, galimybė E. dokumentų saugojimo problema• ypač ilgalaikio ir neterminuoto saugojimo – LAD prie LRV rengia studiją e. dokumentų saugojimo valstybės archyvuose infrastruktūrai sukurti, 2008 m. numatytas bandomasis projektas.Elektroninio parašo diegimas ir naudojimas Lietuvoje lyginant su ES vidurkiu nėra lėtas, tačiau tikslinga jį paspartinti vykdant “Elektroninio parašo proveržio programos” , valstybės tarnautojų pažymėjimų ir daugiafunkcinės lustinės asmens tapatybės kortelės projektus, suteikiant jiems valstybės paramą, įsijungiant į EK inicijuojamus bandomuosius projektus.[6]2.2. Slaptųjų šifravimo raktų laikmenos.Svarbiausia (ir daugiausiai pažeidžiama) bet kokios duomenų apsaugos kriptografinės sistemos dalis yra raktų valdymo organizavimas (Key Management), ir pirmiausiai – sistemos dalyvių apsikeitimas sertifikatais ir slaptaisiais raktais. Šifravimo raktams perduoti vietoje tradicinių laikmenų – lanksčiųjų ir kietųjų diskų ir į juos panašių neapsaugotų nuo kopijavimo įrenginių, naudojamos mikroprocesorinės kortelės (Smart Cards) arba elektroniniai raktai (eToken)–mažyčiai įrenginiai, kuriuose yra SmartCard mikroprocesorius ir kortelių skaitytuvas (Aladdin.lt) . Nors Smart Cards nėra pripažintos kaip tenkinančios FIPS 140-1 Level 3 reikalavimus (kadangi jos nesunaikina raktų verčių, kai mikroschema fiziškai sulaužoma), realios galimybės ištraukti slaptuosius raktus iš Smart Card atminties uždarosios zonos nėra. Naudojantis Aladdin firmos eToken, šifravimo raktų pernešimas visiškai saugus ir nereikalauja brangių specialių saugumo priemonių transportuojant. Taip pat technologiškai pašalintas nesaugus raktų pakrovimo procesas, nes į šifravimo sistemą fiziškai įjungiamas pats eToken kartu su raktais.[4]III. ELEKTRONINĖS BANKININKYSTĖS SISTEMOS SAUGUMASSaugumas interneto bankininkystėje užtikrinamas įvairiomis technologijomis, duomenų šifravimais. Dažnai yra naudojamas pripažintas SSL 3.0 standarto duomenų šifravimo protokolas. Daugelis bankų naudojasi “Verisign” patvirtinta technologija, kuri gali šifruoti internetu perduodamus duomenis 128 bitų ilgio raktu [2].Kad ir su kokiom rizikos susidurtų bankas, elektroninės bankininkystės sistemos vartotojams svarbiausia yra tai, kaip saugiai bus galima atlikti bankines operacijas. Todėl labai svarbu išanalizuoti EBS saugumą.3.1. EBS įrangos apsaugos schemą sudaro šie komponentai : Fizinė apsauga (EBS serveriai privalo būti užrakintoje ir tik administratoriams prieinamoje patalpoje). Tinklo apsauga (banko vidinis duomenų perdavimo tinklas apsaugotas nuo išorės ugniasienės sistemomis; EBS Web serveris stovi DMZ zonoje, atskirtoje ugniasienės serverių; tarpinės (buferinės) duomenų bazės serveris stovi atskirame tinklo segmente). Kanalo apsauga (duomenų perdavimo kanalas tarp vartotojo ir EBS Web serverio apsaugotas 128 bitų SSL protokolu). Operacinės sistemos apsauga (sistemos serverių operacinės sistemos specialiai paruošiamos, kad būtų maksimaliai saugios). Aplikacijos apsauga (vartotojų teisių sistema; PIN/TAN technologija; kriptografiniai algoritmai duomenų bazėje). Žurnalai (rašomi duomenų ir transakcijų žurnalai; kiekvienas veiksmas sistemoje yra žurnalizuojamas, stebimas ir analizuojamas sistemos administratorių). Nesankcionuotų bandymų naudotis sistema prevencija (vartotojo sesijos sekimas; IP adresų blokavimas; įsibrovimo blokavimas) [1].Saugumas tarp kliento ir WEB serverio.Visi duomenys perduodami iš vartotojo kompiuterio į banko serverį ir atvirkščiai yra apsaugoti. Kanalo apsaugai naudojamas SSL (o tiksliau jo atmaina SGC) protokolas. SSL (Secure Sockets Layer) – tai Netscape Communication Corporation sukurta ir tapusi rinkos standartu technologija, kuri garantuoja saugų duomenų perdavimą internetu. SSL yra įdiegtas daugelyje pagrindinių interneto naršyklių ir serverių. SSL šifravimui naudojami 40, 56 ir 128 bitų ilgio raktai. Šiuo metu bankai visame pasaulyje gali naudoti didžiausio saugumo 128 bitų ilgio raktą. 128 bitų atvirųjų raktų algoritmo šifravimas yra milijardus kartų patikimesnis už 40 bitų ir šiuo metu yra laikomas internetu perduodamu finansinių transakcijų šifravimo standartu. Tai net teoriškai atmestina perduodamų duomenų iššifravimo tikimybė. 128 bitų SSL kriptavimą palaiko tik JAV platinamos interneto naršyklės, o SGC – ir Europai skirti naujausi produktai. Klientui jungiantis prie SGC technologiją naudojančio banko internetinio serverio, net ir 40 bitų naršyklė persijungs į 128 bitų kriptavimą.
Bankai bei kompanijos plečiančios savo verslą internete pasirenka įvairius kliento autentifikavimo kelius. Vieni naudoja klientų sertifikatus (pvz. ScotiaBank), o kiti ne (pvz.: Skandinaviska Enskilda Banken AB naudojasi ASP technologija). Nereikia nieko instaliuoti į kliento kompiuterį – užtenka standartinės 128 bitų SSL protokolą palaikančios naršyklės. Nereikia sertifikatų serverio ir su juo susijusių administravimo sunkumų, be to klientas „nepririštas” prie kompiuterio.Klientų sertifikavimą dažniausiai naudoja labai didelės kompanijos, plečiančios vidinį kompanijos tinklą (intranetą) internete – t.y. kurdamos ekstranetą.[11]. Klientų autentikacijos būdai:Šiuo metu naudojama „popierinė” PIN (personal identification number) ir TAN (transaction authorisation number) technologija. Autentikacija gali būti realizuota kitu kliento pageidaujamu būdu. Esame išbandę Vasco Data Security DigiPass token įrenginius [12]. Saugumo schema tarp WEB serverio ir bankinės sistemos:WEB serveris (stovintis taip vadinamoje DMZ zonoje) komunikuoja su tarpine (buferine) duomenų baze (kuri stovi atskirame tinklo segmente). Bazės procedūros, pagal verslo logiką, saugumo taisykles komunikuoja su banko informacine sistema. Tarpinė bazė bendrauja su banko informacine sistema per specialias teises banko informacinėje sistemoje turintį vartotoją [13]. Saugumo problemų monitoringas realiame laike:Žurnalų peržiūra. Rašomi duomenų ir transakcijų. Sistemos žurnalas rašomas į tarpinės (buferinės) duomenų bazės lenteles (į atskirą kietą diską). Galimas žurnalų eksportas.3.2. Elektroninei bankininkystei būdingos rizikos bei jų valdymasElektroninė bankininkystė – naujas reiškinys. Šios veiklos plėtojimas yra susijęs su daugybe rizikų. Rizikų valdymas yra sėkmingos banko veiklos pagrindas. Bankai dar prieš užsiimdami elektronine bankininkyste privalo išsiaiškinti, su kokiomis rizikomis susidurs ir ar sugebės jas valdyti. Kai kurios rizikos bendros tiek tradicinei, tiek elektroninei bankininkystei (kredito, likvidumo, palūkanų normos, rinkos, šalies, užsienio valiutos), bet yra ypatumų.Elektronine bankininkyste užsiimantys bankai susiduria su jai būdingomis pagrindinėmis rizikomis : strategine, veiklos, duomenų vientisumo, banko pasiekiamumo, saugumo, interneto paslaugų tiekėjo, reputacine, teisine, nesugebėjimas apsaugoti vartotojų privatumo ir kt. Saugumo rizika pasireiškia tokiais aspektais kaip : neteisėtas įsibrovimas į banko informacinę sistemą, viruso įnešimas. Esant nepakankamai klientų apsaugos sistemai, neteisėti vartotojai gali įsibrauti į banko sistemas, pasisavinti pinigus iš klientų sąskaitų, sugadinti duomenų bazes. Gali pasitaikyti ir banko darbuotojų sukčiavimo atvejai. Bankas gali susidurti su elektroninių pinigų klastojimu.Nesugebėjimas apsaugoti vartotojų privatumo. Neteisėti vartotojai gali įsilaužti į banko duomenų bazes ir pasiimti informaciją apie vartotojo atliktus finansinius sandėrius, sąskaitos dydį.[14].Išsamios rizikos analizės vykdymas:Išsamios rizikos analizės metu nustatomi veiklai potencialiai žalingi nepageidaujamų įvykių poveikiai ir šių įvykių tikėtumas. Nepageidaujami įvykiai gali padaryti žalos veiklai, asmenims arba kitam organizacijos turtui. Žalingas nepageidaujamo įvykio poveikis yra apibūdinamas galimomis žalomis turtui, su kuriuo susijusi rizika. Įvykio tikėtumas priklauso nuo to, kiek turtas yra patrauklus potencialiam atakos šaltiniui, nuo grėsmių tikėtinumo ir nuo to, ar lengva pasinaudoti pažeidžiamumais. Rizikos analizės rezultatais remiamasi nustatant ir parenkant apsaugos priemones, kurias galima naudoti nustatytoms rizikoms sumažinti iki priimtino lygio.2 schemaRizikos analizės valdymas Apžvalgos ribų nustatymas. Rūpestingas ribų nustatymas leidžia išvengti nereikalingo darbo ir pagerina rizikos analizės kokybę. Ribų nustatymas turi aiškiai apibrėžti, ką iš išvardintų dalykų reikia nagrinėti, atliekant elektroninės bankininkystės sistemos analizę:§ IT turtą (pvz., kompiuterinę ir programinę įrangą, informaciją);§ Žmones (pvz., darbuotojus, kitą išorinį personalą) [15];Turto nustatymas. Nustatant turtą reikia atsiminti, kad elektroninės bankininkystės sistemos turtas susideda ne tik iš kompiuterinės ir programinės įrangos. Turtas gali būti tokių rūšių:§ Paslaugos teikimas§ Klientų pasitikėjimas paslaugomis§ Klientų duomenys§ Organizacijos įvaizdis ir t.t. Padarius turto sąrašą, reikia šiam turtui priskirti reikšmes, t.y. turto svarbą įmonės veiklai. Tai gali būti nebūtinai piniginė išraiška. Galima svarbą įvertinti, pavyzdžiui, skaičiumi penkiabalėje sistemoje [16].
Grėsmių įvertinimas. Grėsmė gali potencialiai padaryti žalos apžvelgtam turtui. Grėsmės gali būti atsitiktinės arba tyčinės. Reikia nustatyti tiek tyčinių, tiek atsitiktinių grėsmių šaltinius ir įvertinti jų tikėtumą. Duomenys grėsmėms įvertinti turi būti gaunami iš turto savininkų, naudotojų, personalo, IT specialistų. Vertinant grėsmes visada verta turėti galimų grėsmių sąrašą. Tokius sąrašus gali pateikti kitos organizacijos (teisės organizacijos, valdžios institucijos). Verta turėti kuo daugiau sąrašų, nes nei vienas iš jų negali būti išsamus. Grėsmės apibūdinamos jų šaltiniu, taikiniu (kurioms turto grupėms gresia), ir tikėtumu. Vertinant tikėtumą reikia atsižvelgti į šiuos aspektus:§ Grėsmės dažnumą (kaip dažnai grėsmė pasitaiko, vertinant iš patirties, pagal statistiką ir kt.);§ Motyvaciją; § Atakai reikalingus išteklius;§ Turto patrauklumas, pažeidžiamumo pastebim…umas [17];§ Tikėtumas vertinamas naudojant skalę: didelis-vidutinis-mažas. Pažeidžiamumų įvertinimas. Šis įvertinimas apima silpnų vietų, kuriomis gali pasinaudoti grėsmė ir padaryti žalą turtui ir veiklai, nustatymą sistemose. Pats pažeidžiamumo buvimas nesukelia žalos; kad taip būtų, turi būti grėsmė, galinti pasinaudoti pažeidžiamumu. Reikia pastebėti, kad netinkamai įdiegta arba blogai funkcionuojanti apsaugos priemonė taip pat gali būti pažeidžiamumas. Pažeidžiamumai gali būti siejami su turto savybėmis ar požymiais, kurie gali būti naudojami ne taip arba ne tuo tikslu, kaip buvo numatyta turtą perkant ar sukuriant. Duomenys pažeidžiamumams įvertinti turi būti gaunami iš turto savininkų, naudotojų, techninės ir programinės įrangos ekspertų. Pažeidžiamumo pavyzdžių taip pat galima rasti kataloguose. Pažeidžiamumų pavyzdžiai: neaiškūs nurodymai sistemos kūrėjams, nepakankamai testuota programinė įranga, nėra protokolavimo įrašų, nėra dokumentų ir t.t. Pažeidžiamumas vertinamas jo pavojingumu, tai yra, kaip lengva yra juo pasinaudoti. Pažeidžiamumui vertinti gali būti naudojama skalė: didelis-vidutinis-mažas [18]. Rizikos įvertinimas. Rizikos įvertinimas – tai paskutinis žingsnis rizikos analizės procese. Rizika priklauso nuo turto reikšmingumo, grėsmių, galinčių padaryti žalingą poveikį veiklai ir to, kaip yra sudėtinga pasinaudoti turto pažeidžiamumu.Šiuos faktorius susieti galima įvairiais būdais. Vienas paprasčiausių būdų, tai susumuoti. Tam reikia susirašyti turto reikšmingumo, grėsmių ir pažeidžiamumo įverčius skaitiniu pavidalu. Jų suma bus rizikos reikšmė. Liekamoji rizika. Liekamoji rizika, tai rizika, kuri lieka pritaikius apsaugos priemones. Apibendrinant galima teigti, kad įmonės vadovybė turi įvertinti rizikos laipsnį ir nustatyti, jis yra priimtinas. Jeigu tam tikros rizikos laipsnis yra per didelės, parenkamos kitos apsaugos priemonės. Jeigu įmonės vadovybė nusprendžia nediegti apsaugos priemonių, ji turi susitaikyti su tam tikra liekamąja rizika.3.3. EBS technologijos ir saugumas LietuvojeTačiau naudojamos ir kitokios, ne tik technologijomis pagrįstos saugumo priemonės. Kiekvienas klientas, derindamas interneto bankininkystės paslaugų sutartį su banku, pasirenka jam priimtiną ir patogią bendradarbiavimo bei apsaugos sistemą.Bankai savo klientams gali pateikti didelį skaičių slaptažodžių, kurie kiekvieno prisijungimo metu yra keičiami. Slaptažodžius šiuo atveju žino tik asmuo, turintis pirmojo parašo teisę, arba jo įgaliotas kitas asmuo. Sutartyje taip pat galima numatyti banko darbuotojų patvirtinimo reikalavimą: banko darbuotojai stebės visus atliekamus pervedimus ir reikalaus telefonu patvirtinti veiksmus.Vartotojai yra skatinami dažnai keisti savo asmeninius slaptažodžius, kad užtikrintų maksimalų saugumą. Jei to nepakanka, įmonės gali reikalauti apriboti priėjimą tik iš įmonės tinklo pagal tam tikrą tinklo kompiuterių identifikacinę sistemą. Labai paplitęs yra elektroninis slaptažodžių generatorius. Pagal specialų algoritmą kiekvieną kartą šis generatorius sudaro skirtingą ir saugų slaptažodį. Pirmasis veiksmas, kuris suteikia priėjimą prie duomenų bazės – tai vartotojo atpažinimas. Tam, kad save identifikuoti, asmuo privalo įvesti vartotojo vardą ir slaptažodį. Naudojant pastovų slaptažodį, atsirada tikimybė jo atskleidimui. Norint, kad kiti neišmoktų slaptažodžio, naudojamos kodų lentelės. Praktikoje klientas turi pasirūpinti nauju slaptažodžiu kiekvieną kartą „užeidamas“ į banką, tačiau tuo pačiu metu kodų lentelė negali užtikrinti visiško saugumo. Kodų lentelė dažniausiai yra spausdinama ant kortelės, kuri gali būti pavogta arba nukopijuota. Norint saugiai naudotis auksčiau paminėtais kodais, gali būti naudojamas slaptažodžių generatorius, panašus į paprastą skaičiuotuvą. Pagrinde slaptažodžių generatoriai gali būti pritaikyti internetinėje/telefoninėje bankininkystėje, informacijos teikimo servisuose, nedidelėms duomenų bazėms, „tinklinėms“ paslaugoms, vartotojų priėjimui prie intraneto ir priėjimui prie kitų sistemų. Slaptažodžių generatorių panaudojimo sritys – neribotos. Jie yra tinkami bet kur, kur tik yra būtinybė identifikuoti asmenį norint gauti priėjimą į komunikacijų tinklą, gauti patvirtinimą siųstai informacijai ir patikimai apsaugoti kodą.[5].3.4. Bankai diegia papildomas priemones elektroninių mokėjimų saugumui užtikrinti .Didėjant internetinio banko “hanza.net” vartotojų ir atliekamų operacijų skaičiui, “Hansabankas” siekia užtikrinti didesnį elektroninių mokėjimų saugumą ir, atsižvelgdamas į užsienio finansinių institucijų patirtį, diegia papildomas saugumo priemones. “Hansabankas” atpigina modernias saugumą užtikrinančias identifikavimo priemones – kodų generatorius ir įveda naujus operacijų per “hanza.net” bei “Banką telefonu 1633” limitus. Banko klientai, kurie prisijungimui prie “hanza.net” naudojasi moderniais bei ypač saugiais identifikavimo kodų generatoriais, naudosis iki šiol turėtais operacijų limitais. Tuo tarpu plastikines kodų korteles turintiems klientams dienos operacijų limitas bus ne didesnis nei 4 tūkst. litų. Klientams, kuriems aktualios didesnės apimties operacijos per elektroninius banko kanalus, rekomenduojama įsigyti identifikavimo kodų generatorius. Tam, kad klientai aktyviau naudotųsi moderniomis ir ypač saugiomis identifikavimo priemonėmis. Identifikavimo kodų generatoriaus kainą mažinama net 45 procentais.“Identifikavimo kodų generatorius užtikrina papildomą kliento prisijungimo duomenų apsaugą. Prisijungimas prie kodų generatoriaus apsaugotas PIN kodu, todėl net pametus generatorių, juo negalėtų pasinaudoti joks pašalinis asmuo. Be to, neįmanoma pasinaudoti slaptažodžiais juos nukopijavus ar “nužiūrėjus per petį”, nes kodų generatorius kas kartą generuoja unikalų slaptažodį, kuris gali būti panaudotas tik vieną kartą”, – sakė “Hansabanko” Produktų plėtros ir internetinės bankininkystės departamento direktorius Rolandas Ridziauskas.Įsigyti identifikavimo kodų generatorius gali būti aktualu ne tik didesnes operacijas internetiniame banke atliekantiems banko klientams, bet ir asmenims, besijungiantiems prie internetinio banko per menkai saugomus kompiuterius (internetinėse kavinėse, naudojantis svetimais kompiuteriais ir pan.).Panašias saugumą užtikrinančias programas yra įdiegę daugelis Vakarų Europos bankų.[7] Tačiau, nepaisant visų minėtų apsaugos priemonių, visuomet išlieka rizika. Tereikia retkarčiais peržvelgti garsiausių interneto leidinių antraštes elektroninės komercijos srityse ir nesunkiai suprasime, kad nepažeidžiamos sistemos, pagrįstos internetu, nėra. Tačiau dažnai Lietuvos įmonės nėra tokios strateginės svarbos objektai, kad interneto įsilaužėliai stengtųsi padaryti žalos [3].3.5. Banko saugumo sistemos pažeidimo pavyzdžiaiŽalą, kurią gali padaryti kompiuterių įsilaužėliai, pasak ekspertų, labai sunku apskaičiuoti. Jų tvirtinimu, visai realu, kad po “hakerių” atakos ir slaptos informacijos “nusiurbimo” firma neretai būna priversta skelbti bankrotą. Arba patiriama žala gali būti skaičiuojama milijonais. Pavyzdžiui, Vilniaus banko specialistai nepripažįsta, kad į jų elektroninio banko sistemą “VB Internetas” buvo įsilaužta. Tuo tarpu policijos duomenys byloja ką kita: bandydamas įsilaužti į elektroninį banką, sulaikytas šalyje gerai žinomas Pavelas Iljinas. Sulaikytam kompiuterių chuliganui pareikšti įtarimai dėl turto prievartavimo dideliu mastu bei kompiuterinės informacijos pasisavinimo ir skleidimo. Banko teigimu, P.Iljinas internete platino laišką su pažadu išmokyti, kaip įsilaužti į banko tinklus ir iš to pasipelnyti. Interneto svetainėje jis siūlė atskleisti keturių įmonių kodus, kuriais jos prisijungia prie “VB Interneto”, už 35 tūkst. Lt, arba dešimties įmonių kodus už 45 tūkst. Lt. Jis taip pat tikino galįs įsilaužti į interneto vartus www.one.lt bei Vidaus reikalų ministerijos duomenų bazes. Prokuratūros atstovai patvirtino, kad sulaikytasis turėjo kelis prisijungimo kodus, kurie iš tiesų buvo tikri. P.Iljinas 2000 metais buvo Rusijos apkaltintas, kad ją šnipinėjo Lietuvos ir JAV naudai. Vėliau jis prašė politinio prieglobsčio Švedijoje, bet prašymas nebuvo patenkintas. Šalies IT rinkos analitikų tvirtinimu, investicijos į kompiuteriniais tinklais platinamos informacijos saugumą bankų sektoriuje yra didžiausios. Įtarimai dėl bankų kompiuterių sistemų saugumo mažina elektroninio banko prestižą ir kelia klientų nerimą, todėl natūralu, kad bankai tam skiria ypač daug išteklių bei dėmesio. “Pergudrauti banko šiuolaikines technines apsaugos priemones teoriškai įmanoma, bet praktiškai – beveik ne”, – tikina ne vienas rinkos ekspertas ir priduria, kad jei įmonės, kurios darbuotojai jungiasi prie elektroninio banko, kompiuterių tinklas yra nepakankamai saugus, jame nėra vartotojų identifikavimo ir autorizavimo sistemos, suskirstymo į atitinkamus saugumo lygius, tai nereikia ypač gudrių priemonių, kad susektum, kokie slaptažodžiai naudojami.[9] Yra buvę ir tokių atvejų, kai buvo per bankomatą ištuštintos žmonių sąskaitos. Nors tai buvo ne Lietuvoje, tačiau kas gali užtikrinti, kad ateityje to nebus pas mus gimtojoje šalyje. Nes juk kuo labiau einam i vis naują amžių, tuo tampam protingesi. Tuo labiau, kad saugumo sistemą pergudravo ne kas kitas, o studentai. Trys Maskvos technikos universitetų studentai sukūrė gan paprastą prietaisą – jų pasididžiavimą ir pajamų šaltinį. Ne paprastų, bet visai solidžių pajamų. Šio prietaiso pagalba jie uždirbo 700 tūkstančių JAV dolerių. Prietaisas jiems suteikė galimybę nuo svetimų kreditinių kortelių nusiimti visus pinigus. Prietaisas tvirtinamas prie bankomato skylės į kurią įkišama kreditinė kortelė, o kadangi jis yra nedidelis ir nudažytas tokia pačia kaip bankomatas spalva – praktiškai tapo nepastebimas. Jis nuskaito visus kortelės duomenis kuomet jos šeimininkas nuo savo sąskaitos mėgina nusiimti pinigus. Šalia sumontuota video stebėjimo kamera užfiksuodavo PIN kodą, kurį surinkdavo kortelės šeimininkas. Nuo to momento trys studentai turėdavo praktiškai neribotą priėjimą prie svetimos banko sąskaitos. Su specialiai šiam reikalui nupirkta įranga trys gudruoliai pasigamindavo kortelės dublikatą ir pasinaudodami tuo pačiu bankomatu nusiimdavo visus svetimoje sąskaitoje buvusius pinigus. Tik pirminiais skaičiavimais tokių būdu nukentėjo daugiau kaip 200 žmonių. Darbavosi studentai Maskvos centre, o tam, kad juos sulaikyti milicijos darbuotojams prireikė surengti ištisą specialią operaciją. Tačiau net ir milicijoje apie šiuos studentus kalbama su tam tikra susižavėjimo gaidele. Tai ką padarė jie – pasaulyje dar nebuvo pavykę padaryti praktiškai niekam. Tokio prietaiso veikimo principas buvo žinomas gan… seniai, tačiau pagaminti jo miniatiūrinę ir veikiančią versiją – pavyko tik jiems. Maža to, ekspertams niekaip nepavyko suprasti kaip jis yra tvirtinamas prie bankomato, todėl jį teko išrinkinėti tiesiog gatvėje. Patys gi studentai stengėsi kuo maksimaliau išnaudoti prietaiso galimybes. Vieną tokų jie pardavė Prancūzijos arabams besiverčiantiems sukčiavimais su kreditinėmis mokėjimo kortelėmis. Maskvoje surinkti kortelių savininkų duomenys buvo parduoti kartu su prietaisu, todėl nors studentai ir sulaikyti galimybė, kad ir toliau nuo sąskaitų dings pinigai nepašalinta.[10]Visuomet išlieka ir virusų grėsmė, tačiau tai liečia ne tik interneto bankininkystę, bet ir visų įmonių kompiuterines sistemas, prie kurių dažnai yra prijungiami ir buhalterijos kompiuteriai. Norėdamos visiškai apsisaugoti nuo išorinių įsilaužimų, įmonės pačios kuria fizinius tinklus, jungia savo padalinius, taiko specialius apsaugos metodus.Taigi, belieka paskatinti įmonių vadovus labiau susirūpinti kompiuterinių sistemų apsauga ir jų priežiūra. Buhalterijos kompiuteriai, kuriuose saugomi svarbūs duomenys, kartais yra išvis atjungiami nuo tinklo, o paliekamas vienas ar keli kompiuteriai, skirti interneto bankininkystei.Galima daryti išvadą, jog elektroninė bankininkystė – tai nauja, patogi, taupanti laiką technologija, vis labiau naudojama pasaulyje. Yra kuriamos įvairios šios technologijos naujovės. Lietuvoje dar nelabai paplitusi, tačiau Vakarų šalyse jau plačiai naudojama mobilioji bankininkystė, kai tiek verslo įmonės, tiek individualūs vartotojai savo sąskaitas bankuose gali valdyti keliais mobiliojo telefono mygtukų paspaudimais. Ir Lietuvoje neseniai buvo pristatyti interneto bankomatai, kuriuose vartotojas kreditine kortele gali įsigyti jam reikalingų prekių. Taigi pasitikėkime technologijomis ir neatsilikime nuo naujausių išradimų.IŠVADOS1. Išskiriant bankininkystės sistemos rizikas paaiškėja, jog realizuojant bankininkystės procesus elektroniniu būdu pasirenkami vienokie ar kitokie programiniai sprendimai. Kiekviena sistema turi savo pažeidžiamumus, dėl kurių kyla rizika, kad tam tikros sistemos funkcijos bus panaudotos ne taip, kaip buvo tikimasi jas kuriant. Bankininkystės sistema galėtų patenkinti vartotojų reikalavimus tik tuomet, jei ji garantuotų visišką sauguma, atliktų visas paprastų pinigų funkcijas, t.y. būtų tokie pat funkcionalūs ir likvidūs, atsiskaitymo sistemos būtų taip organizuotos, kad užskaitos tarp bankų vyktų realiame laike. Dėl šios priežasties nepakanka analizuoti sistemos apsaugą vien tik verslo požiūriu. Būtina vertinti riziką sukurtai sistemai. Rizikos valdyme reikia nustatyti kiekvienos rizikos pasireiškimo tikimybę, numatyti banko politiką, nustatyti rizikų prioritetus bei skirti dėmesį rizikos minimizavimui. 2. Bankininkystės sistemai keliami prieinamumo, konfidencialumo, vientisumo, autorizuojamumo, autentifikuojamumo reikalavimai. Dažniausiai vartotojų ir sistemos savininkų saugumo reikalavimai bankininkystės veikloms sutampa dėl tos priežasties, kad pardavėjai yra suinteresuoti neprarasti klientų pasitikėjimo (pasitikėjimas tai pat laikomas įmonės turtu kurį būtina saugoti). Sėkmingas saugumo priemonių parinkimas yra įmanomas tik tuomet, kai jos parenkamos identifikuotiems apsaugos reikalavimams tenkinti arba įvertintoms rizikoms mažinti. LITERATŪRA1. SALEH M. E-banking Revoliution. Finance & Development. 2002, vol.39, no. 3, p. 48-51.2. Žiniasklaidoje apie mūsū projektus. [internete]. [žiūrėta 2008 m. vasario 6 d.]. Prieiga per internetą: 3. Produktai. [internete]. [žiūrėta 2008 m. vasario 6 d.]. Prieiga per internetą: 4. Bankinių technologijų sauga. [internete]. [žiūrėta 2008 vasario 2 d.]. Prieiga per internetą: 5. Produktų sprendimai. Slaptažodžių generatoriai. [internete]. [žiūrėta 2008 vasario 2 d.]. Prieiga per internetą: 6. E.Zidonis. El. Parašas. [internete]. [žiūrėta 2008 vasario 2 d.]. Prieiga per internetą: 7. Esecurity. Hansabankas diegia papildomas priemones. [internete]. [žiūrėta 2008 m. vasario 6 d.]. Prieiga per internetą: 8. BS2 Security. [internete]. [žiūrėta 2008 vasario 2 d.]. Prieiga per internetą: 9. Jonas Okmanas. Saugumas mažai kam rūpi. [internete]. [Žiūrėta 2008 vasario 2 d.] Prieiga per internetą: 10. Esecurity. Informaciniai straipsniai. [internete]. [Žiūrėta 2008 vasario 2 d.] Prieiga per internetą: 11. RSA Security. What is SSL? [internete]. [Žiūrėta 2008 vasario 2 d.] Prieiga per internetą: 12. SCHAECHTER, Nsouli. Regulation anf Copliance. Finance & Development, February 2002, vol.10, no. 1, p. 7-13.13. MERKOW, M. E-Commerce Security Technologies. [interaktyvus]. [žiūrėta 2008 vasario 6 d.]. Prieiga per internetą: 14. RUPLEY, S. Elektroninis verslas. Naujoji komunikacija. 2000, 14 (72), p.20-22.15. QUADER, Guy. Editoral : central banking in a erdving environment. Journal of Financial Regulation and Compliance. 2002, vol. 10, no. 1, p. 7-13.16. Wichtige mitteilung. [interaktyvus]. [žiūrėta 2008 vasario 12 d.]. Prieiga per internetą: 17. Lietuvos standartizacijos departamentas. Informacijos technologijų saugumo sąvokos ir modeliai (LST ISO/IEC TR 13335-1), 200018. Enterasys Networks. Virtual Private Networks A Technology Overview. [internete]. [žiūrėta 2008 vasario 12 d.]. Prieiga per internetą: