Obszarem szczególnie wnikliwie kontrolowanym przed nadzór bankowy UKNF jest zakres działań banku mających na celu wychwytywanie wrogich domen, które mogą podszywać się pod domeny banku w celu wyłudzenia danych.
Fałszowanie domen to klasyczny atak cybernetyczny w celu pozyskania cennych danych. Do pozyskania danych wykorzystuje się bliską pierwowzoru fałszywą domenę. Wszystkie te działania mają na celu oszukanie użytkowników i pozyskanie cennych informacji, zwłaszcza loginów i haseł do kont bankowych.
Wg wytycznych nadzoru bank powinien prowadzić szkolenia oraz politykę informującą klientów jak bronić się przed tego typu działaniami. Ważne jest, aby Klient sprawdził legalność witryny przed przystąpieniem do wprowadzania poufnych danych.
Najczęściej pojawiające się ataki to m.in.:
- Podszywanie się pod adresy URL.
- Literowanie – czyli rejestrowanie domen z błędami.
- Fałszowanie wiadomości e-mail
Jak przeciwdziałać?
- Sprawdzanie luk bezpieczeństwa witryny internetowej.
- Aktualizowanie protokołów bezpieczeństwa.
- Monitorowanie ustawień DNS.
- Sprawdzanie składników autentyczności w adresie URL
- Wdrożenie uwierzytelniania dwuskładnikowego.
- Stosowanie silnych i unikalnych haseł.
- Stosowanie zapory WAF w celu ochrony witryny i parametrów DNS
- Zastosowanie protokołów uwierzytelniania poczty e-mail.
Każdy bank powinien cyklicznie prowadzić prace sprawdzające. Działania w tym zakresie powinny zostać potwierdzone pełnowartościowym protokołem potwierdzonym przez co najmniej dwie osoby. Informatycy w bankach spółdzielczych podczas prac kontrolnych wykorzystują m.in. nowy moduł, który został wdrożony w systemie BackONII, z którego szybko otrzymujemy informację na temat ewentualnych zagrożeń. Można również wykorzystać narzędzie do sprawdzenia DNS u dostawców DOMEN. Każdy dostawca posiada narzędzie, dzięki któremu możemy sprawdzać DNS dla domen.
Wytyczne nadzoru bardzo precyzyjnie określają, które obszary środowiska ICT banku powinny być w szczególny sposób chronione i nadzorowane:
Na podstawie polityki bezpieczeństwa informacji bank powinien ustanowić i wdrożyć środki bezpieczeństwa służące ograniczeniu ryzyka związanego z technologiami i bezpieczeństwem ICT, na które są one narażone. Środki te powinny obejmować: |
a) organizację i zarządzanie
b) bezpieczeństwo logiczne
c) bezpieczeństwo fizyczne
d) bezpieczeństwo operacji ICT
e) bezpieczeństwo monitorowania
f) przeglądy, ocenę i testowanie bezpieczeństwa informacji
g) szkolenie i świadomość w zakresie bezpieczeństwa informacji
Zapraszamy Państwa na cykl szkoleń, w czasie których, na podstawie wytycznych oraz praktycznych informacji zebranych w bankach, wskazujemy konkretne rozwiązania.
16.01.2024 godz. 9.00 JAK DOSTOSOWAĆ BANK DO ZALECEŃ NADZORCZYCH KNF/EBA/DORA WYKORZYSTUJĄC ELEKTRONICZNE NARZĘDZIA WSPOMAGAJĄCE |
Zapraszamy Państwa do zapoznania się z naszą ofertą:
https://premiumbank.zadbajobezpieczenstwo.pl
Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!
JESTEŚ ZAINTERESOWANY? ZADZWOŃ, NAPISZ DO NAS
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.