8 SIGURNOST E-BANKARSTVA...KRIPTOLOGIJA = znanost o prikrivanju stvarnog informacijskog sadrţaja...

1

8 – SIGURNOST

INFORMACIJSKOG SUSTAVA

E-BANKARSTVA

M. Zekić-Sušac, ICT u bankarstvu

Izvor:

http://www.ciise.concordia.ca/newsan

devents/2008/ISS08/

Što ćete nauĉiti u ovom poglavlju?

•Kako upravljati sigurnošću u e-bankarstvu

•Koje sve informacije treba zaštititi u e-bankarstvu?

•Što je i ĉemu sluţi enkripcija

•Što su vatrozidi i kako se koriste u e-bankarstvu

•Što je identifikacija, autentikacija i autorizacija

•Što su digitalni certifikati i elektroniĉki potpis

•Kako oĉuvati povjerljivost, integralnost i neporecivost

transakcija u e-bankarstvu

•Koja je zakonska podloga sigurnosti e-bankarstva


2

Uvod


“We should never ever be so arrogant to think that we’re not a potential

victim or our data has not been compromised.”

Howard Schmidt, predsjednik Information Systems Security Association (ISSA) i autor

knjige Patrolling Cyberspace: Lessons Learned from a Lifetime in Data Security

Izvor slike:

http://blog.securitymonks.com/2008/01/10/software-security-

news/

Pogledati filmove na YouTube:

• CyberCrime Toolkits,

http://www.youtube.com/watch?v=J9hApKU1

ZoQ

• Trailer: The New Face of Cybercrime,

http://www.youtube.com/watch?v=-

5zxOLZ5jXM

Znaĉaj sigurnosti u e-bankarstvu

• Sigurnost je problem kojem treba posvetiti najviše paţnje u e-bankarstvu, jer je klijentu ispred svega najvaţnije da je njegov novac u banci siguran.

• Danas je briga o sigurnosti puno više od nabavke sigurnih sefova za novac. Razvojem e-bankarstva, sigurnost više postaje softverski problem (Al-Khatib, 2012).

• Dva su osnovna podruĉja na kojima banka treba štititi podatke:

1. Mreţa – Napadi na komunikacijsku mreţu banke najĉešće su u obliku upada hacker-a i kraĊe podataka pri njihovom prijenosu mreţom. Mjere prevencije su koristiti jake sustave enkripcije onih podataka koji se prenose putem mreţe, a treba ih zaštititi.

2. Hardverska i softverska oprema - Napadi na hardver i softver banke mogu biti s ciljem onemogućavanja njihovog funkcioniranja (tzv. Denial of Service – DoS napadi) ili s ciljem logiranja kao uljez koji će neovlašteno obaviti neku transakciju ili postaviti virus kako bi se urušio sustav. Mjera prevencije za ove napade su vatrozidi (eng. Firewalls) na toĉkama gdje se oprema banke spaja s mreţom.


http://www.networkworld.com/newsletters/sec/2007/1217sec2.html

https://www.issa.org/Association/ISSA-Profile.html

http://tinyurl.com/39ap7f

http://www.youtube.com/watch?v=J9hApKU1ZoQ



http://www.youtube.com/watch?v=-5zxOLZ5jXM




3

Zakonska podloga sigurnosti e-

bankarstva •U Hrvatskoj postoji Odluka o primjerenom upravljanju

informacijskim sustavom banke (NN 37/2010) propisana od strane HNB ĉije je poglavlje VII posvećeno sigurnošću IS-a u bankama.

•Ova odluka (u ĉl. 16) kaţe da je kreditna institucija duţna donijeti interni akt koji će biti okvir za upravljanje sigurnošću informacijskog sustava (politika sigurnosti informacijskog sustava) te definirati odgovornosti koje se odnose na podruĉje sigurnosti informacijskog sustava.

•Ĉl. 17 kaţe da je institucija duţna klasificirati i zaštititi informacije prema stupnju njihove osjetljivosti s obzirom na moguće posljedice narušavanja povjerljivosti, integriteta i raspoloţivosti informacija.

•Ĉl. 19 kaţe da je institucija duţna uspostaviti sustav upravljanja korisniĉkim pravima pristupa koji obuhvaća procese evidentiranja, autorizacije, identifikacije i autentifikacije te nadzora korisniĉkih prava pristupa


Kako upravljati sigurnošću u e-bankarstvu

Zašto se pojavljuju rizici narušavanja sigurnosti?

• e-poslovanje se u većini sluĉajeva odvija putem Internet mreţe

• Internet je javni medij, komunikacija na njemu je otvorena i bez formalnih mehanizama kontrole

Rizici narušavanja sigurnosti su veliki. Kako ih umanjiti? Koristiti metodologiju za upravljanje rizicima, koja prema Panianu (u Spremić, 2004) ukljuĉuje:

• Sustavno prepoznavanje (identifikaciju rizika) • Procjenu teţine (ozbiljnosti) i frekvencije rizika • Razvoj strategije sustavne kontrole nad rizicima i izbora

odgovarajućih zaštitnih mjera.


4

Strategija upravljanja sigurnošću

• Svaka tvrtka treba donijeti takvu strategiju – dokument u kojem će se detaljno razraditi postupci za oĉuvanje sigurnosti

• Što je cilj te strategije? Omogućiti sigurno i neometano odvijanje svih dijelova poslovanja

• Što nije dobro napraviti? Djelovati parcijalno, a ne za svaki dio poslovnog procesa – npr. osigurati

samo proces plaćanja, a ne i ostale procese (nabave, proizvodnje, itd) – svi su dijelovi poslovanja vaţni

Djelovati stihijski (kad se pojavi neka šteta, a kasnije opet ne raditi ništa po pitanju sigurnosti)

• Što je dobro napraviti? Isplanirati sigurnosne sustave za svaki dio poslovanja

Stalno ulagati u nove sigurnosne sustave (zahtijeva financijska ulaganja i struĉno znanje)


Aspekti sigurnosti poslovanja

•Glavni aspekti sigurnosti e-poslovanja prema NCSA –

National Computer Security Association, SAD (Spremić,

2004) su:


AUTENTIFIKACIJA

PRIVATNOST

INTEGRITET

(CJELOVITOST)

PODATAKA

NEMOGUĆNOST

OSPORAVANJA

TRANSAKCIJE

provjera vjerodostojnosti identiteta korisnika

mehanizmi zaštite podataka od neovlaštenog

pristupa, korištenja i ĉitanja

sadrţaj poruke ili podataka treba ostati

neizmijenjen tijekom prijenosa putem mreţe

Mogućnost da inicijator transakcije ne moţe

osporiti da je zaista poslao poruku, odnosno

inicirao poslovnu transakciju

5

Naĉini ugroţavanja sigurnosti poslovanja

• Praćenjem transakcija i ugroţavanjem privatnosti sadrţaja

• KraĊom hardvera, softvera ili digitalnog sadrţaja

• Intenzivnim napadima na posebno ranjiva podruĉja (“pretrpavanje” posluţitelja neopravdanim zahtjevima moţe izazvati pad sustava)

• Pokretanjem virusa ili sliĉnih malicioznih programa kojima se napada hardware ili software

• Mehanizmi neovlaštenog “upada” (skrivanje IP adresa, “probijanje” lozinki, fiziĉki upadi, prikupljanje tajnih informacija o internoj mreţi i sl.)


Mehanizmi i tehnike zaštite

Mehanizmi i tehnike zaštite (sigurnosne mjere)

e-poslovanja prema (Panian, 2000) su:

• Identifikacija, autentikacija i autorizacija

• Zaštita intraneta od pristupa neovlaštenih korisnika

• Mjere antivirusne zaštite

• Zaštita tajnosti podataka i poruka

• Zaštita privatnosti korisnika.


VAŢNO: ukljuĉiti sve ove mehanizme, a ne samo neke

6

Identifikacija, autentikacija i autorizacija

• Identifikacija = postupak s pomoću kojeg se od korisnika traţi da se “predstavi” sustavu (ime i prezime, ili identifikacijski broj, username ili dr.)

• Autentikacija = postupak povezan s identifikacijom, a utvrĊuje da li je osoba zaista ta kojom se predstavlja

• Autorizacija = provjera sustava da li osoba koja se predstavila ima ovlasti pristupa sustavu (provjera s unaprijed pohranjenim podacima u sustavu)

Naĉini identifikacije i autentikacije:

• Fiziĉke mjere: posjedovanjem nekog predmeta, npr. identifikacijske kartice, pametne kartice, tokena ili bimetrijom (otisak prsta, roţnica oka i dr.)

• Logiĉke mjere: s pomoću lozinke


Identifikacija, autentikacija i autorizacija


IDENTIFIKACIJA:

username: [email protected]

AUTENTIKACIJA:

lozinka: *********

AUTORIZACIJA:

Provjera u bazi

korisnika na

posluţitelju:

Da li postoji korisnik

[email protected] i da li

lozinka odgovara

Ako korisnik proĊe

autorizaciju, pristup

sustavu omogućen

prema ovlastima

koje ima

Ako ne proĊe

autorizaciju,

pristup

onemogućen.

X

Vatrozid (eng. firewall) –

ureĊaj ili program

7

Naĉini autentikacije

•Za autentikaciju se koriste 3 najĉešća naĉina: • Nešto što korisnik zna (npr. lozinka, PIN ili sliĉno)

• Nešto što korisnik ima (npr. pametna kartica, stick, TAN tablica i sl.)

• Nešto što korisnik jest (biometrija – otisak prsta, roţnica oka, rukopis i sl.)

•Prilikom autentikacije, vaţno je podatke koje korisnik upisuje zaštititi pri prijenosu kako ne bi bili meta napada i iskorištavanja

•UreĊaji za autentikaciju koji se danas koriste u bankama (TAN tablica, token, pametna kartica, display kartica, memorijski štapić, biometrijski ureĊaji i dr.) detaljno su opisani u poglavlju 7.


Zaštita tajnosti pri prijenosu podataka

•Za zaštitu tajnosti podataka koji se prenose razliĉitim

raĉunalnim mreţama koriste se metode šifriranja

(kriptografije)

•KRIPTOLOGIJA = znanost o prikrivanju stvarnog

informacijskog sadrţaja izgovorenih ili napisanih poruka

(grĉki “krypto” = skrivam, “logos” = govor)

•KRIPTOGRAFIJA = postupak kojim se poruka napravi

nerazumljivom osobama koje nisu izvorni sudionici

komunikacije

•KRIPTOANALIZA = obrnut postupak – pokušava otkriti

pravila (kljuĉ) kojima su poruke kriptirane


8

Naĉini kriptografije

Svaki kriptološki sustav sastoji se od 4 osnovna elementa: 1. Originalna - razumljiva poruka 2. Kriptirani tekst - nerazumljiva poruka 3. Algoritam kriptiranja – matematiĉki algoritam kojim se

originalni sadrţaj kriptira (npr. Hash algoritam) 4. Kljuĉ – tajni kljuĉ kojim se poruke kriptiraju, odnosno

dekriptiraju Dva osnovna kriptografska sustava: • Simetriĉni sustav – s tajnim privatnim kljuĉem • Asimetriĉni sustav – s privatnim i javnim kljuĉem (zove se

još i Public Key Infrastructure – PKI sustav)


Simetriĉni sustav kriptografije

• Stariji sustav kriptiranja • Isti tajni kljuĉ se koristi za kriptiranje i dekriptiranje poruke • Pošiljatelj i primatelj poruke se prije samog slanja poruke

trebaju dogovoriti o tome koji će tajni kljuĉ koristiti i taj kljuĉ treba biti poznat samo njima

• S obzirom da putem Interneta danas komuniciraju osobe koje ĉesto ne komuniciraju prije samog slanja poruke nikakvim drugim naĉinima kojima bi razmijenili tajne kljuĉeve, ovaj naĉin kriptiranja više nije uĉinkovit


? ULJEZ VIDI

NERAZUMLJIV

TEKST

9

Asimetriĉni sustav kriptiranja

Koristi se parom kljuĉeva: • Privatni kljuĉ – koji zna odreĊeni posluţitelj za svakog korisnika pojedinaĉno • Javni kljuĉ – koji se šalje svim sudionicima komunikacije javno, pa je svima dostupan

Što je javni kljuĉ? – Kriptografski objekt pomoću kojeg se dekriptiraju podaci kriptirani tajnim kljuĉem

Kako se obavlja komunikacija?

Svaki korisnik u komunikaciji ima svoj tajni kljuĉ kojim pristupa nekom posluţitelju za dodjeljivanje kljuĉeva. Korisnik svoju poruku najprije kriptira sa svojim tajnim kljuĉem, a zatim je pošalje sudionicima komunikacije zajedno s javnim kljuĉem s kojim se moţe dekriptirati ta poruka. Svaki sudionik moţe se spojiti na taj posluţitelj, i s pomoću javnog kljuĉa i svog tajnog kljuĉa dekriptirati poruku.

Osim kriptiranja poruke, s pomoću ovog sustava moţe se provjeriti autentiĉnost pošiljatelja poruke (da je tu poruku poslala baš ta osoba koja se predstavlja u poruci)


Poznati asimetriĉni sustavi kriptiranja

Najpopularniji asimetriĉni sustavi su: • RSA (nazvan po autorima: Rivest, Shamir, Adelman) • PGP (Pretty Good Privacy) • SET (Secure Electronic Transactions) • SSL (Secure Socket Layer)


-----BEGIN PGP SIGNED MESSAGE-----

Hash: SHA1

Hrvatska akademska i istrazivacka mreza CARNet Sluzbena obavijest

Zagreb, 13.02.2009.

..... ovdje tekst poruke ......

-----BEGIN PGP SIGNATURE-----

Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFJlWHLCqskfuuO+TIRAsrhAJ9mqIMi5PqBqxcOfPjPlkjAckeV3QCghdtt

aohrVduepR/JYuWu/7n6fEA=

=i7Xq

-----END PGP SIGNATURE-----

Primjer e-

mail

poruke

potpisane

s pomoću

PGP

asimetriĉ

nog

sustava

10

Naĉin rada asimetriĉnog sustava

•Naĉin rada kod upotrebe asimetriĉnog sustava kriptiranja

kod digitalnog potpisa slikovito opisuje ovaj video:

•CAISNet, Digital Signatures,

http://www.youtube.com/watch?v=UcVECaJgN-

A&NR=1&feature=endscreen, 05.04.2013.


Kada se koristi kriptografija?

• U e-poslovanju, kriptografija se koristi za ne samo za kriptiranje sadrţaja poruka, već i za provjeru identiteta pošiljatelja

• U B2C poslovanju e-bankarstva koristi se za provjeru identiteta kupaca kod prijave na e-banking sustav

• U B2B poslovanju se koristi za provjeru identiteta poslovnog partnera koji je poslao dokument (npr. narudţbu, raĉun, uplatu, ili dr.)

• U tu svrhu provjera vjerodostojnosti poslovnih transakcija vrši se putem digitalnog potpisa – digitalni potpis u pravnom smislu predstavlja ekvivalent vlastoruĉnom potpisu


http://www.youtube.com/watch?v=UcVECaJgN-A&NR=1&feature=endscreen



11

Autentikacija korisnika u e-bankarstvu

•Tehnologije za autentikaciju omogućuju pošiljatelju i primatelju u online transakciji verifikaciju samog sebe i meĊusobno, na naĉin da se koristi digitalni certifikat ili neki drugi naĉin digitalnog potpisa.

•Ĉesto se koristi asimetriĉni PKI sustav u kombinaciji sa RSA tajnim kljuĉem.

•Sastoji se od dva kljuĉa: • Javni kljuĉ (digitalni certifikat) i privatni ili tajni kljuĉ (RSA kljuĉ).

•Proces teĉe na sljedeći naĉin: • Potpisnik s pomoću programa za geneiranje kljuĉeva koristi svoj

privatni kljuĉ kako bi zakljuĉao (kriptirao) podatke

• Dobiva od posluţitelja (ili programa) i javni kljuĉ, kojeg šalje primatelju zajedno s porukom.

• S pomoću primljenog javnog kljuĉa, primatelj dešifrira poruku ili potpis i tako je siguran da je pošiljatelj vlasnik privatnog kljuĉa.


Elektroniĉki ili digitalni potpis • Klasiĉni potpis – vlastoruĉni potpis osobe, svaka tvrtka u banci deponira

potpise osoba koje imaju pravo potpisivati dokumente tvrtke (raĉune, ugovore i sl.). Fiziĉke osobe svoj potpis ovjeravaju kod javnog biljeţnika prilikom potpisivanja ugovora i tako potvrĊuju identitet.

Prema Zakonu o e-potpisu (NN 10/02 i 80/08):

• Elektronički potpis je skup podataka u elektroniĉkom obliku koji su pridruţeni ili su logiĉki povezani s drugim podacima u elektroniĉkom obliku i koji sluţe za identifikaciju potpisnika i vjerodostojnosti potpisanoga elektroniĉkog dokumenta

• Napredan elektronički potpis – je elektroniĉki potpis koji pouzdano jamĉi

identitet potpisnika i koji udovoljava ovim zahtjevima:

1. da je povezan iskljuĉivo s potpisnikom,

2. da nedvojbeno identificira potpisnika,

3. da nastaje korištenjem sredstava kojima potpisnik moţe samostalno

upravljati i koja su iskljuĉivo pod nadzorom potpisnika,

4. da sadrţava izravnu povezanost s podacima na koje se odnosi i to na

naĉin koji nedvojbeno omogućava uvid u bilo koju izmjenu izvornih

podataka.


12

Napredan e-potpis

• Napredan elektroniĉki potpis ima istu pravnu snagu i zamjenjuje vlastoruĉni potpis, odnosno vlastoruĉni potpis i otisak peĉata na elektroniĉkom dokumentu ako je izraĊen u skladu s odredbama Zakona o e-potpisu.

• Sredstvo za izradu naprednoga elektroniĉkog potpisa mora osigurati: 1. da se podaci za izradu naprednoga elektroniĉkog potpisa mogu pojaviti

samo jednom te da je ostvarena njihova sigurnost,

2. da se podaci za izradu naprednoga elektroniĉkog potpisa ne mogu ponoviti te da je potpis zaštićen od krivotvore nja pri korište nju postojeće raspoloţive tehnologije,

3. da podatke za izradu naprednoga elektroniĉkog potpisa potpisnik moţe pouzdano zaštititi protiv korište nja od strane drugih.

• Sredstvo za izradu naprednoga elektroniĉkog potpisa ne smije prilikom izrade naprednoga elektroniĉkog potpisa promijeniti podatke koji se potpisuju ili onemogućiti potpisniku uvid u te podatke prije procesa izrade naprednoga elektroniĉkog potpisa.


Vremenski ţig i ostali pojmovi vezani uz e-

potpis Zakon o e-potpisu (NN 10/02 i 80/08) definira i ove pojmove:

• Vremenski žig – je elektroniĉki potpisana potvrda izdavatelja koja potvrĊuje sadrţaj podataka na koje se odnosi u navedenom vremenu

• Napredan vremenski žig - je elektroniĉki potpisana potvrda ovjerovitelja koja ispunjava uvjete za napredan elektroniĉki potpis.

• Potpisnik – je osoba koja posjeduje sredstvo za izradu elektroniĉkog potpisa kojim se potpisuje, a koja djeluje u svoje ime ili u ime fiziĉke ili pravne osobe koju predstavlja.

• Elektronički zapis – je cjelovit skup podataka koji su elektroniĉki generirani, poslati, primljeni ili saĉuvani na elektroniĉkom, magnetnom, optiĉkom ili drugom mediju. Sadrţaj elektroniĉkog zapisa ukljuĉuje sve oblike pisanog i drugog teksta, podatke, slike i crteţe, karte, zvuk, glazbu, govor, raĉunalne baze podataka.

• Podaci za izradu elektroničkog potpisa – znaĉe jedinstvene podatke, poput kodova ili privatnih kriptografskih kljuĉeva, koje potpisnik koristi za izradu elektroniĉkog potpisa.


13

Kako se primjenjuje digitalni potpis?

Postupak primjene digitalnog potpisa na primjeru e-plaćanja: • Institucija ovlaštena za izdavanje

certifikata izdaje javni kljuĉ certifikata

• Insitucija ovlaštena za registriranje certifikata osobno izdaje certifikat korisniku (vlasniku) uz provjeru identiteta face-to-face

• Korisnik A koristi svoj tajni kljuĉ za potpisivanje transakcije plaćanja

• Pripadajući javni kljuĉ korisnika šalje se sa certifikatom kao e-potpis.

• Trgovina u kojoj se vrši kupovina provjerava e-potpis kupca u instituciji koja se koristi za provjeru e-potpisa (Validation Authority)

• Ako je sve u redu, transakcija se odobrava.

U Hrvatskoj je institucija ovlaštena za izdavanje certifikata javnih kljuĉeva FINA.


Izvor:

http://www.hitachi.com/rd/yrl/people/pki/index04.html

Elektroniĉki ili digitalni certifikat

Prema Zakonu o e-potpisu (NN 10/02 i 80/08):

•certifikat je potvrda u elektroniĉkom obliku izdana od davatelja usluge izdavanja certifikata, koja povezuje podatke za verificiranje elektroniĉkog potpisa s nekom osobom i potvrĊuje identitet te osobe

•kvalificirani certifikat je potvrda u elektroniĉkom obliku izdana od davatelja usluge izdavanja kvalificiranih certifikata, koja udovoljava zahtjevima iz ĉlanka 11. Zakona o e-potpisu

•potpisnik je osoba koja posjeduje sredstvo za izradu elektroniĉkog potpisa kojim se potpisuje, a koja djeluje u svoje ime ili u ime fiziĉke ili pravne osobe koju predstavlja

•pouzdajuća strana je primatelj elektroniĉkog zapisa koji se pouzdaje u elektroniĉki zapis potpisan elektroniĉkim potpisom ili naprednim elektroniĉkim potpisom

•davatelj usluga certificiranja – je pravna ili fiziĉka osoba koja izdaje certifikate ili daje druge usluge povezane s elektroniĉkim potpisima.


http://www.hitachi.com/rd/yrl/people/pki/index04.html

14

Zakonski propisi o digitalnom potpisu

• Digitalni potpis najprije je pravno priznat u SAD-u - prvi zakon potpisan digitalnim potpisom potpisao je Bill Clinton 1999.

• Druga zemlja koja je pravno ozakonila digitalni potpis je Irska, zatim zemlje EU (Velika Britanija, Francuska, Belgija, Italija, Slovenija, i dr.)

• U Hrvatskoj – Zakon o elektroniĉkom potpisu stupio na snagu 1.travnja 2002 (kasnije se pojavljuju izmjene i dopune).

• Naši ministri potpisuju dokumente s pomoću pametnih kartica (koje sadrţe javni i tajni kljuĉ, certifikat potpisa i šifru)

• Cilj: potpuno koristiti digitalni potpis u e-poslovanju

• U e-bankarstvu se digitalni potpis koristi za potpisivanje kod obavljanja transakcija (za prijenos većih svota novca u tvrtkama je ĉesto potrebno dva ili više digitalnih potpisa)


Zakon o e-potpisu

•Neposredan utjecaj na zaštitu podataka i sigurnost u e-bankarstvu imaju i ovi zakoni doneseni u Hrvatskoj:

•Zakon o elektroniĉkom potpisu (NN 10/02 i 80/08) donesen 2002. godine (izmjene i dopune 2008.godine, i na temelju njega donesen Pravilnik o izradi elektroniĉkog potpisa, uporabi sredstva za izradu elektroniĉkog potpisa, općim i posebnim uvjetima poslovanja za davatelje usluga izdavanja vremenskog ţiga i certifikata (NN 107/10) • Njime se ureĊuje pravo fiziĉkih i pravnih osoba na uporabu

elektroniĉkog potpisa u upravnim, sudskim i drugim postupcima, poslovnim i drugim radnjama, te prava, obveze i odgovornosti fiziĉkih i pravnih osoba u svezi s davanjem usluga certificiranja elektroniĉkog potpisa.

• Definirani su svi pojmovi vezani uz e-potpis i njegovo certificiranje.

• Definirano je da Ministarstvo gospodarstva daje dozvolu pojedinim institucijama za izdavanje kvalificiranih certifikata elektroniĉkog potpisa – u Hrvatskoj dozvolu ima FINA

• Definirane su i kazne u sluĉaju zlouporabe e-potpisa ili certifikata


http://narodne-novine.nn.hr/clanci/sluzbeni/308001.html
















































15

Primjer aplikacije za e-potpis


FINA na svojim stranicama nudi uslugu web e-potpisa, s detaljnim

uputama za registraciju i korištenje za potpisivanje dokumenata

Izvor: http://www.fina.hr/Default.aspx?sec=1517

Aplikacije za e-potpis za privatnu upotrebu

• Postoje besplatni programi koji omogućuju e-potpis za pojedince, npr.

Adobe ima e-potpis za potpisivanje pdf dokumenata ukoliko netko ţeli

potpisati svoj dokument prije slanja primatelju

• Detaljne upute dane su na Youtube servisu:

Sockett, S., Create a Free Digital Signature for Signing PDFs,

http://www.youtube.com/watch?v=dhlYNmq66Os, 04.04.2013.


http://www.fina.hr/Default.aspx?sec=1517

http://www.youtube.com/watch?v=dhlYNmq66Os



16

Zakon o e-ispravi • Još jedan zakon koji ima utjecaj na sigurnost e-dokumenata je Zakon o

elektroniĉkoj ispravi (NN 150/05)

• Po tom zakonu, e-isprava je jednoznaĉno povezan cjelovit skup podataka koji su elektroniĉki oblikovani (izraĊeni pomoću raĉunala i drugih elektroniĉkih ureĊaja), poslani, primljeni ili saĉuvani na elektroniĉkom, magnetnom, optiĉkom ili drugom mediju, i koji sadrţi svojstva kojima se utvrĊuje izvor (stvaratelj), utvrĊuje vjerodostojnost sadrţaja te dokazuje postojanost sadrţaja u vremenu.

• Sadrţaj elektroniĉke isprave ukljuĉuje sve oblike pisanog teksta, podatke, slike i crteţe, karte, zvuk, glazbu, govor,

• Propisana je graĊa elektroniĉke isprave, koja ima 2 neodvojiva dijela: • Opći dio – sam predmetni sadrţaj (informacije u elektroniĉkom obliku) isprave.

Ukljuĉuje i naslov primatelja ako je elektroniĉka isprava namijenjena otpremi imenovanom primatelju,

• Posebni dio - jedan ili više ugraĊenih elektroniĉkih potpisa i podaci o vremenu nastajanja (završetka izrade) elektroniĉke isprave, kao i druga dokumentacijska svojstva.

• Svaki pojedinaĉni primjerak elektroniĉke isprave koji je potpisan elektroniĉkim potpisom smatra se u smislu ovoga Zakona izvornikom.

• Elektroniĉka isprava ne moţe imati elektroniĉku presliku (presliku u elektroniĉkom obliku).


Upotreba e-isprave

• Zakon kaţe i da svaka fiziĉka i pravna osoba svojom izriĉito oĉitovanom

voljom prihvaća uporabu i promet elektroniĉkih isprava za svoje potrebe kao i

za potrebe poslovnih i drugih odnosa s drugima

• što znaĉi da korisnik moţe ako ţeli pristati na primanje npr. e-raĉuna

umjesto papirnatih raĉuna od strane nekog dobavljaĉa, ali ako svojim

potpisom pristane na primanje e-raĉuna, ne moţe odbiti takav raĉun


Izvor: http://www.pula.hr/uprava/uprava/upravni-

odjeli-i-sluzbe/ured-grada/obavijesti/e-racune-

uplatnica/

Primjer: Grad Pula prvi je od

gradova u Hrvatskoj uveo

primjenu e-potpisa (2011) u

uredsko poslovanje, zatim e-

raĉune i e-uplatnice (2012) u

suradnji s poduzećem Vodovod,

što je znatno smanjilo materijalne

troškove grada, te izdatke za

razne naknade kod plaćanja.



http://www.pula.hr/uprava/uprava/upravni-odjeli-i-sluzbe/ured-grada/obavijesti/e-racune-uplatnica/













17

Enkripcija • Prema (Al-Khatib, 2012) enkripcija je proces pretvaranja informacije u

sigurniji oblik za prijenos. Dekripcija je proces pretvaranja informacije iz

kriptiranog u originalni oblik na kraju prijenosa mreţom.

Postoje 2 razine enkripcije:

• 40-bitna enkripcija – jednostavnija, koriste je ruĉni prijenosni ureĊaji ili

pametne kartice

• 128-bitna enkripcija – pouzdanija, koristi je većina preglednika

Najĉešći sigurnosni protokoli koji se koriste za prijenos

kriptiranih podataka su:

• Secure Socket layer (SSL),

• Standard Security electronic transaction (SET).

Kako biste provjerili je li neko web sjedište sigurno, moţete provjeriti

sljedeće:

• Nakon što unesete korisniĉko ime i lozinku, URL adresa u pregledniku

trebala bi promijeniti prefix iz "http" u "https:” (http secure)

• Na dnu zaslona u desnom kutu trebala bi se pojavili sliĉica lokota.

• Negdje na sjedištu trebao bi se pojaviti zlatni peĉat s oznakom "VeriSign

Secure Site; Click to Verify.” – što znaĉi da je sjedište certificirano kao

sigurna domena od strane institucije VeriSign.


Izvor:

http://moneytipcentral.com/ti

ps-for-shopping-online

Izvor:

http://www.bluefountainmedi

a.com/glossary/https/

Zakonske odredbe o kriptografiji

• U Hrvatskoj su zakonske odredbe i standardi vezani uz kriptografiju

usklaĊeni s EU i pravilima koje za EU odreĊuje NISSG - Nadzorni

odbor za mreţnu i informacijsku sigurnost (Network and Information

Security Steering Group).

• Ta je grupa izradila dokument Algoritmi i parametri sigurnog

elektroniĉkog potpisa (Algorithms and Parameters for Secure

Electronic Signatures) - koji se stalno nadograĊuje novim verzijama

tako da prati razvoj ICT.

• To je propisano u Pravilniku o izradi elektroniĉkog potpisa, uporabi

sredstva za izradu elektroniĉkog potpisa, općim i posebnim uvjetima

poslovanja za davatelje usluga izdavanja vremenskog ţiga i

certifikata (NN 107/10)


http://moneytipcentral.com/tips-for-shopping-online








http://www.bluefountainmedia.com/glossary/https/


















































18

Primjer – sigurnost u Bank of America

Kako je riješena sigurnost u Bank of America (B o A)?

• Enkripcija i verfikacija korisnika s pomoću digitalnih certifikata

• Informacije prolaze kroz direktni web posluţitelj, zatim kroz interni vatrozid do aplikacijskog posluţitelja

• Informacije o korisnicima dijele se s partnerima banke samo ako se radi o legitimnim poslovnim svrhama

• Koriste se kolaĉići (eng. Cookies) kako bi se upoznalo klijente, a klijenti mogu kontrolirati prikupljanje i upotrebu informacija o njima

• Banka daje klijentima savjete kako mogu poboljšati sigurnost (npr. Da koriste preglednik sa 128-bitnom enkripcijom)


Tijek informacija u Bank of America


Izvor: Al-Khatib, 2012

19

Zaštita intraneta od neovlaštenog pristupa

• Intranet = lokalna (privatna) mreţa neke tvrtke ili institucije koja funkcionira na istom protokolu za prijenos informacija kao i Internet (TCP/IP protokolu)

Kako zaštiti intranet od uljeza s Interneta? • S pomoću vatrozida (eng. Firewall), sinonimi su: obrambeni zid,

sigurnosna stijena

Što je vatrozid? • UreĊaj ili program koji fiziĉki razdvaja lokalnu intranet mreţu od internet mreţe i

sprjeĉava upad neţeljenih korisnika s Interneta u lokalnu mreţu • Najĉešće kombinacija hardverskih i softverskih rješenja koja propušta s Interneta

samo ţeljeni promet u lokalnu mreţu intranet:

Kako radi vatrozid? Naĉini rada: • Filtriranjem ulaznih poruka (eng. packet filter) • Putem namjenskog autorizacijskog posluţitelja (eng. dedicated authorization

server) • Putem ovlaštenih autorizacijskih posluţitelja (eng. proxy authorization server)


Vatrozidovi na trţištu

Osobni vatrozidovi (za kućnu upotrebu) • Microsoft Windows vatrozid – dolazi sa Service Pack2

• Symantec - Norton Personal Firewall

• ZoneAlarm/ZoneAlarmPro

• Black Ice Defender

• Sygate Personal Firewall

• Tiny Personal Firewall

• Kerio Personal Firewall

Poslovni (za tvrtke i institucije) • Trinity Firewall (hrvatski proizvod)

• Cisco i dr.


20

Virusi i crvi

Što su virusi? • Raĉunalni programi, programske rutine ili dijelovi programa koji se ubacuju u

uobiĉajene korisniĉke programe i zatim ih mijenjaju, a namjera im je prouzrokovanje neţeljenih posljedica, materijalne ili nematerijalne štete

• Aktiviraju se za vrijeme izvoĊenja programa, s razliĉitim pojavnim oblicima (npr. “trojanski konj” se ubacuje u korisnikove programe i obavlja neţeljene funkcije)

Koja šteta moţe nastati? • Oštećenja datoteka, brisanje sadrţaja, oštećenje programa, teškoće u radu,

umnoţavanje datoteka i slanje velikih koliĉina programa i sl. • Zbog lakoće stvaranja novih virusa, vaţno je stalno podizati razinu zaštite od

virusa, posebno ako se koriste programi za rad s e-poštom i web preglednici

Što su crvi? • Crvi su neovisni, samostalni programi koji se reproduciraju u umreţenim

raĉunalima i time šire potencijalnu štetu. • Opasniji od virusa, jer je viruse lakše kontrolirati.


Mjere zaštite protiv virusa i crva

Prema (Panian, 2000) dvije su skupine mjera antivirusne zaštite:

1. Mjere preventivne zaštite • Izbjegavanje upotrebe sumnjivih programa, otvaranje poruka

nepoznatog podrijetla,

• Redovito pohranjivanje sigurnosnih kopija programa i datoteka

• Upotreba antivirusnih programa za otkrivanje virusa i crva

2. Mjere kurativne zaštite (šteta je već nastala) • Pokušati spasiti digitalne resurse poslovanja

• Koristiti antivirusne lijekove za ĉišćenje virusa (ponekad to znaĉi brisanje zaraţenih datoteka i sadrţaja)


21

Antivirusni programi Primjeri popularnih antivirusnih programa: • AVG (besplatan) • McAfee Antivirus • Symantec Norton Antivirus • Esset NOD32 • BitDefender • Sophos Antivirus • Trend Micro Internet Security • F-prot • HouseCall • i dr. Primjeri anti-spyware and anti-spam programa: • AddAware • StopZilla, • Panda Titanuium Antivirus + Antispam • i dr.


Zaštita privatnosti korisnika

• Virtualni naĉin komunikacije ĉesto ne jamĉi anonimnost korisnika

• Samim pojavljivanjem na Internetu, svaki korisnik raĉunala bez posebne interakcije ostavlja neke podatke o sebi (npr. IP adresa raĉunala)

• Kolaĉići (cookies) – omogućavaju pohranjivanje osobnih podataka o korisniku na raĉunalu, pri ĉemu ih posluţitelji mogu proĉitati i zapamtiti

• Svaka kupovina na webu omogućava praćenje navika potrošaĉa, te slanje reklama (spam)

• Zaštitom privatnosti korisnika bave se neprofitne organizacije kao npr. TRUSTe.

• Sustavi e-poslovanja trebaju korisniku na vidljiv naĉin prezentirati informacije o tome kako se oni brinu o zaštiti privatnosti korisniĉkih podataka.


22

Zakljuĉak • Sigurnost je problem kojem treba posvetiti najviše paţnje u e-bankarstvu, i to

na dva podruĉja: mreţa, te hardverska i softverska oprema

• Kako bi se obranila od napada, banka treba napraviti strategiju upravljanja

sigurnošću, te sustavno i kontinuirano koristiti mjere preventivne i kurativne

zaštite

• Mehanizmi i tehnike zaštite su identifikacija, autentikacija i autorizacija,

zaštita intraneta od pristupa neovlaštenih korisnika, mjere antivirusne zaštite,

zaštita tajnosti podataka i poruka, te zaštita privatnosti korisnika

• Autorizacijski ureĊaji koji se koriste u e-bankarstvu su token, TAN tablica,

pametna kartica, memorijski štapić, biometrijski ureĊaji i dr.

• Za zaštitu podataka pri prijenosu koristi se enkripcija, najĉešći je asimetriĉni

(PKI) sustav s javnim i tajnim kljuĉem

• Za potvrdu identiteta pošiljatelja koristi se elektroniĉki (digitalni) potpis i

certifikat.

• Za zaštitu od napada uljeza i zloćudnih programa koriste se vatrozidi,

antivirusni programi i anti-spyware programi

• U e-bankarstvu vaţna je i zaštita privatnosti korisnika


Literatura • Al-Khatib, A.L., E-Banking: Survey, International Journal of Advanced Research in

Computer Science and Software Engineering, Volume 2, Issue 10, October 2012.

• Hrvatska narodna banka, Odluka o primjerenom upravljanju informacijskim sustavom,

Narodne novine, br. 37/2010., http://www.hnb.hr/propisi/odluke-nadzor-kontrola/odluke-

zoki-ozujak-2010/h-odluka-primjereno-upravljanje-info-sustavom.pdf, 30.03.2013.

• Hrvatska narodna banka, Smjernice za upravljanje informacijskim sustavom u cilju

smanjenja rizika, http://www.hnb.hr/supervizija/h-smjernice-za-upravljanje-

informacijskim-sustavom.pdf, 29.03.2013.

• Narodne novine 10/02 i 80/08, Zakon o elektroniĉkom potpisu, http://narodne-

novine.nn.hr/clanci/sluzbeni/308001.html, 30.03.2013.

• Narodne novine, Zakon o elektroniĉkoj ispravi, http://narodne-

novine.nn.hr/clanci/sluzbeni/290420.html, 30.03.2013.

• Narodne novine, Pravilnik o izradi elektroniĉkog potpisa, uporabi sredstva za izradu

elektroniĉkog potpisa, općim i posebnim uvjetima poslovanja za davatelje usluga

izdavanja vremenskog ţiga i certifikata, http://narodne-

novine.nn.hr/clanci/sluzbeni/2010_09_107_2864.html, 30.03.2013.

• Vojković, G., Bug online, Digitalizacija na djelu, http://www.bug.hr/mreza/tekst/zakon-o-

elektronickoj-ispravi/70834.aspx, 30.03.2013.


http://www.hnb.hr/propisi/odluke-nadzor-kontrola/odluke-zoki-ozujak-2010/h-odluka-primjereno-upravljanje-info-sustavom.pdf





















http://www.hnb.hr/supervizija/h-smjernice-za-upravljanje-informacijskim-sustavom.pdf




















http://narodne-novine.nn.hr/clanci/sluzbeni/2010_09_107_2864.html




http://www.bug.hr/mreza/tekst/zakon-o-elektronickoj-ispravi/70834.aspx








23

Literatura - nastavak

• Bluefountain, Glossary, HTTPS,

http://www.bluefountainmedia.com/glossary/https/, 30.03.2013.

• Instant SSL, Https Encryption with Digital Certificate,

http://www.instantssl.com/ssl-certificate-products/https.html, 03.04.2013.

• CAISNet, Digital Signatures, http://www.youtube.com/watch?v=UcVECaJgN-

A&NR=1&feature=endscreen, 05.04.2013.

• Sockett, S., Create a Free Digital Signature for Signing PDFs,

http://www.youtube.com/watch?v=dhlYNmq66Os, 04.04.2013.





http://www.instantssl.com/ssl-certificate-products/https.html












8 SIGURNOST E-BANKARSTVA...KRIPTOLOGIJA = znanost o prikrivanju stvarnog informacijskog sadrţaja...

Documents

Transcript of 8 SIGURNOST E-BANKARSTVA...KRIPTOLOGIJA = znanost o prikrivanju stvarnog informacijskog sadrţaja...