Post on 18-Dec-2014
description
1
Mateusz Górnisiewicz Departament Inspekcji Bankowych, Instytucji Płatniczych
i Spółdzielczych Kas Oszczędnościowo-Kredytowych
Urząd Komisji Nadzoru Finansowego
IV Edycja IT BREAKFAST for FIN
Warszawa, 28 sierpnia 2014 r.
Ankieta „IT i bezpieczeństwo w bankach”
Podsumowanie przez UKNF
2
Agenda
1) Zdalna weryfikacja tożsamości
2) Pieniądz elektroniczny
3) Karty przedpłacone
4) Cyberprzestępczość – ataki DDoS
5) Outsourcing
6) Cloud computing
7) BYOD
8) Niewspierane oprogramowanie
9) End-User Computing
3
Ok. połowy banków
250 000 rachunków
Rekomendacje ZBP:
Integralność procesu
Tytuł przelewu
Przelew zwrotny
...
Zdalna weryfikacja tożsamości
4
> 15% banków – deklaracje
Głównie karty przedpłacone /
elektroniczne portmonetki
Potencjalna niezgodność
z definicją pieniądza
elektronicznego
Pieniądz elektroniczny
5
> 30% banków
Ok. 1 500 000 wydanych kart
Możliwość identyfikacji po NRB w
5 bankach
W niektórych przypadkach
deklarowany brak limitów salda
Karty przedpłacone
6
Maksymalnie 9 ataków w ciągu
roku
Niedostępność od 8 do 345 minut
(średnio 120 minut)
Identyfikacja w ciągu 5-30 minut
W większości przypadków
nieznane przyczyny
Cyberprzestępczość – ataki DDoS
7
Budżet utrzymaniowy: średnio 35 000 000 PLN
Budżet rozwojowy: średnio 20 000 000 PLN
Główni dostawcy to firmy telekomunikacyjne
Nie zawsze określone zasady doboru dostawców
Główne problemy i ryzyka:
Jakość świadczonych usług
Zagrożenie naruszeniem poufności danych
Zagrożenia dla ciągłości działania
Uzależnienie od dostawców
Niekiedy brak uwzględnienia outsourcingu w
zarządzaniu incydentami
Outsourcing
8
< 10% banków
Kolejne banki rozważają
Rzadkie wykorzystanie w zakresie do
istotnych usług
Zagrożenia:
Wydajność
Obsługa incydentów
Naruszenia poufności
Ciągłość działania
Cloud computing
9
> 10% banków
Głównie poczta elektroniczna
Przeprowadzono analizy ryzyka
Głównie przez VPN/dostęp terminalowy
Niekiedy wsparcie MDM
BYOD
10
> 60% banków
> 600 systemów
Używane również w istotnych procesach:
Księgowość
Obsługa płatności
Obsługa transakcji skarbowych
Bankowość elektroniczna
...
Niewspierane oprogramowanie
11
Korzystanie przez banki:
> 80% banków
Głównie komputery i bankomaty
Znaczna skala w 25%
przypadków
Korzystanie przez klientów:
Większość banków deklaruje
podejmowanie działań
edukacyjnych
Niewspierane oprogramowanie – Windows XP
12
> 80% banków wprowadziło zasady
(identyfikacja, logowanie dostępów,
właścicielstwo, ...)
Od 1 do ponad 300 narzędzi
Wspierane procesy:
Raportowanie
Zarządzanie sprzedażą
...
End-User Computing
13
Omówione tematy będą przedmiotem
zainteresowania UKNF
Jednocześnie należy pamiętać o już wcześniej
sygnalizowanych obszarach:
Zarządzania architekturą i jakością danych
Planowania strategicznego IT i współpracy
pomiędzy obszarami biznesowymi i
technicznymi
Systemu informacji zarządczej w zakresie IT
i bezpieczeństwa IT
Podsumowanie