Ochrona danych - branża e-finanse

Sektor finansowy jest wyjątkowo newralgiczną branżą, z racji zakresu swojej działalności szczególnie narażoną na wszelkiego rodzaju ataki sieciowe. Ponieważ cyberprzestępcy stosują coraz wymyślniejsze próby wyłudzania informacji bardzo istotne jest tutaj zachowanie najwyższych standardów ochrony - ciągłe szkolenie personelu, stosowanie najnowszych technologicznie zabezpieczeń. Ograniczone zaufanie konsumenta jest tu mimo wszystko pożądaną i słuszną strategią. Wcześniejsza weryfikacja dostawcy usługi, legalności jego działań, czy każdorazowe sprawdzanie bezpieczeństwa połączenia internetowego (zamknięta kłódka) są tutaj jak najbardziej wskazane.

Ograniczone, ale jednak zaufanie, trzeba oprzeć na przeświadczeniu odpowiednich działań ze strony dostawców usług finansowych. W jaki sposób zatem instytucje finansowe mogą zabezpieczać dane swoich kontrahentów? Co mogą robić aby czuli się bezpiecznie?

Własny serwer

Włamania na serwery są powszechną formą ataku. Dlatego tak istotnym rozwiązaniem jest posiadanie własnych urządzeń zapewniających jego odpowiednie administrowanie - konfigurację ustawień, własną obsługę, co zwiększa poziom bezpieczeństwa i minimalizuje ryzyko wycieku informacji spowodowanego korzystaniem z serwerów zarządzanych przez osoby trzecie. Dostęp do informacji posiada w tym przypadku tylko właściciel serwera będący jednocześnie określonym finansowym usługodawcą.

Ochrona przed phishingiem

W przypadku branży e-finansów to właśnie phishing jest najpopularniejszym rodzajem ataku ukierunkowanym na dane klientów i systemy płatnicze. Bardzo istotne jest w tym przypadku właściwe szkolenie personelu, oraz stosowanie odpowiednich procedur minimalizujących ewentualność powodzenia ataku (uczulenie na podejrzaną korespondencję zawierającą niebezpieczne linki).

Wykwalifikowana kadra

Odpowiednio przeszkolony personel zawsze jest czynnikiem kluczowym. W przypadku branży finansowej jest to szczególnie istotne, gdyż bywa ona wyjątkowo narażona na różnego rodzaju ataki (wspomniany phishing). Stosowanie łatwych haseł dostępowych, czy klikanie phishingowych linków są domeną nieświadomego zagrożeń personelu. Szkolenie jest tutaj, obok nowoczesnych rozwiązań systemowych i technologicznych, absolutną koniecznością skorelowaną z utrzymaniem odpowiednio wysokiego poziomu bezpieczeństwa. Ludzie mogą być najsłabszym i jednocześnie najsilniejszym ogniwem każdej branży.

Protokół SSL

Każda instytucja finansowa powinna mieć odpowiednie zabezpieczenie swojej strony internetowej - szyfrowanie z wykorzystaniem protokołu SSL. O zastosowanym zabezpieczeniu informuje wspomniany już symbol kłódki wyświetlany na pasku adresowym. Kliknięcie kłódki wywołuje informacje potwierdzającego tożsamość właściciela adresu oraz stosowny certyfikat zabezpieczenia.

Java

Niektórzy specjaliści branży zabezpieczeń wskazują na oprogramowanie Java jako środowisko wyjątkowo podatne na ataki cyberprzestępców - wykorzystywanie tzw. luk “zero-day” (dziury w zabezpieczeniach) jest w tym przypadku dosyć częste. Profilaktyczne odinstalowanie komponentów Java z przeglądarek może zatem podnieść bezpieczeństwo całego systemu.

Pavel Kroupka

Galeria