Tietoturva nyt! Finanssialan tietoturvakatsaus 8.5.2013 Jari Pirhonen Turvallisuusjohtaja Oy Samlink Ab jari.pirhonen@samlink.fi @japi999
Samlink lyhyesti Olemme luotettava pankkitoiminnan IT-palvelujen, sähköisen asioinnin ja taloushallinnon asiantuntijayritys Tunnemme syvällisesti tietotekniikan mahdollisuudet ja suomalaisen pankkitoiminnan. Joustavat palvelumme ja uusien teknologioiden hyödyntäminen mahdollistavat asiakkaidemme kilpailukykyä tukevien palvelukokonaisuuksien toimittamisen. Asiakaspankkien kautta järjestelmämme palvelevat yli miljoonaa pankkipalvelujen käyttäjää yli 460 konttorissa. Internet-pankkipalvelujamme käyttää lähes 500 000 asiakasta. Olemme Suomen ainoa monipankkijärjestelmätoimittaja. Omistuspohjamme on vahvasti kotimainen. Liikevaihto 2012 89,8 milj. EUR Henkilöstömäärä 500+ JaPi 8.5.2013
Samlinkin palvelut JaPi 8.5.2013
Sisältö Verkkopalveluiden käytön kasvu Finanssialan muutos ja vakavat uhat Rikostyypit ja niiden vaikuttavuus Verkkopankkirikollisuuden lyhyt historia Overlay -palvelut Yhteistyö on voimaa! JaPi 8.5.2013
Verkkopankkisopimusten lukumäärä ja tapahtumien suuruus 2002-2011 JaPi 8.5.2013 Lähde: FKL
Tupas-tunnistusten ja verkkomaksujen lukumäärät 2003-2011 JaPi 8.5.2013 Lähde: FKL
Finanssialan muutos Yhtenäinen Eurooppalainen maksualue ja euro Maksujenvälitys on riippuvainen eurooppalaisista järjestelmistä Selvittely- ja tapahtumien välitysjärjestelmät ovat hajautuneet ympäri Eurooppaa (SWIFT, EBA, Target2) Suomessa maksuliikennettä hoitavien pankkien ITtoimintoja on kaikissa pohjoismaissa Arvopaperipuolella ollaan siirtymässä eurooppalaisiin järjestelmiin Kiristynyt kilpailutilanne Uudet maksuvälineet ja tavat Uudentyyppiset toimijat (maksupalveludirektiivi, sähköisen rahan direktiivi, automaattipalvelut) Yhteiskunnalliset riippuvuudet Sähkö, tietoliikenne, työvoima Regulaatio EU:ssa ja kansallisesti JaPi 8.5.2013
Häiriövaikutuksiltaan merkittävät uhat Tietoliikenteen romahtaminen Kansainväliset yhteydet ovat välttämättömiä Jytkykaapeli Itämeren ali Saksaan tulossa? Pitkät/laajat sähkökatkot Konesalit, konttorit, automaatit, maksupäätteet, IT henkilöstön saatavuuden heikkeneminen Palvelutuottajien sopeuttamistoimet, tautiepidemiat, lakot Raha ei liiku ilman sähköä ja tietoverkkoa Monimutkaiset tietojärjestelmät tarvitsevat vierihoitoa Eri alueiden kriittisten toimijoiden valmiusvaatimusten oltava synkronissa Tarvitaan parempaa läpinäkyvyyttä eri toimialojen valmiustasoihin Regulaatiossa huomioitava, että uusi toimintaympäristö on vanhan surma, molempia ei voi ylläpitää JaPi 8.5.2013
Rikostyypit ja arvio vaikuttavuudesta (Suomi) Haitta asiakkaalle Haitta pankille Rikoshyöty Medianäkyvyys Korttikopiointi Verkkopankkitunnusten varastaminen Verkkopankki-istunnon kaappaaminen Asiakashuijaus verkossa Pankkihuijaus väärennöksillä Sisäinen väärinkäytös Pankkiryöstö Palvelun häirintä JaPi 8.5.2013
JaPi 8.5.2013
Pankkiryöstöt Suomessa JaPi 8.5.2013 Lähde: FKL
Poliisille ilmoitetut maksuvälinepetokset JaPi 8.5.2013 Lähde: KRP
Verkkopankkirikollisuuden lyhyt historia Tietomurrot harrastelua ja kiusantekoa. Maailmalla 1. kehittynyt pankkitunnusten kalastelutapaus. Suomessa 1. pankkitunnusten kalastelut ja muulirekryt. Maailmalla pankeille isoja vahinkoja. Isoimpien pankkien pankkitunnuksia kalastellaan. Haittaohjelmat tuotteistettuja. Isoimpien pankkien pankkitunnusten kalastelu yleistä. Maailmalla kohteena myös yritykset. Isoissa pankeissa haittaohjelmatapaukset rutiinia. Haktivismi yleistyy maailmalla. Ennuste: Haktivismi vaikuttaa myös verkkopankkeihin. Mobiilissa toistuvat vanhat ongelmat. 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 Ammattirikolliset löytävät Internetin. Nordean pankkitunnuksia kalastellaan. Tietoja varastavat haittaohjelmat yleistyvät. Pankkitunnusten ohella maksukorttitietoja kalastellaan jatkuvasti. Suurin osa uusista haittaohjelmista on verkkopankkeihin suunnattuja. Käytännössä kaikki pankit kohteina. Haittaohjelmat harhauttavat torjunnan. Päätelaitteen tietoturvaan ei voi luottaa. JaPi 8.5.2013
Verkkopankkihaittaohjelmien aiheuttamat vahingot Suomessa? Helsingin käräjäoikeus 30.9.2011, Nordea haittaohjelmacase Tulkinta S-Pankin esityksestä ICT Expossa 20.3.2013 JaPi 8.5.2013
Suomessa vahingot murto-osa verrattuna esim. Hollantiin Cyber Security Assessment Netherlands June 2012 JaPi 8.5.2013
Koko kansan MiTM, DoS ja Beast? JaPi 8.5.2013
Sisäinen väärinkäytös Lähde: hs.fi 8.11.2012 JaPi 8.5.2013
Overlay palveluntarjoajat (OSP) Verkkopankkitunnukset Asiakas Verkkopankkitunnukset ja tapahtumien vahvistukset OSP Verkkopalvelu Verkkopankki JaPi Potentiaalisesti kaikki käyttäjän tiedot saatavilla, toimenpiteet käyttäjän puolesta. 8.5.2013
Overlay-palveluntarjoajat Overlay Service Provider (OSP) toimii käyttäjän ja verkkopankin välissä, mahdollistaen palveluntarjoajalle käyttäjän verkkopankkitunnusten käytön omiin tarpeisiinsa Käyttäjä Palveluntarjoaja OSP Verkkopankki Käyttäjä luovuttaa verkkopankkitunnuksensa OSP:lle OSP käyttää verkkopankkia käyttäjän oikeuksilla Citadel, Trustly, SOFORT Banking, SmartBudget, Bankdroid, Useita haasteita liittyen vastuisiin ja sopimusvelvoitteisiin Käyttäjän verkkopankkisopimukset, tunnistuslaki, pankkisalaisuus, verkkopalvelun kuormitus, kustannukset, mahdolliset väärinkäytöstapaukset, Eri maissa Finanssivalvonnalla erilaisia kannanottoja ECB on luonnostellut 3. osapuolten tietoturvasuositukset Em. haasteita ei juurikaan käsitellä Muutokset maksupalveludirektiiviin mahdollisia. JaPi 8.5.2013
Yhteistyö on voimaa! Finanssialan turvallisuusyhteistyö toimii hyvin Finanssialan Keskusliitto, CERT-FI, Poliisi, Huoltovarmuuskeskus, CARD-SIRT, Yhteistyötä ja tiedonjakoa on edelleen lisättävä Erityisesti toimialojen ja maanrajojen yli Rikosten selvittämisessä Haasteena pankkisalaisuuteen ja tietosuojaan liittyvät tulkinnat Korostuu rikosten ennaltaehkäisyssä ja havainnoinnissa sekä erityisesti maiden rajoja ylitettäessä JaPi 8.5.2013