Sikkerhed vedrørende netbanker

Netbanker er med internettets komme blevet en fast og integreret del af hverdagen for både private og virksomheder. Der har fra starten været tænkt sikkerhed ind i online banking løsningerne, så til trods for at internettet ikke er et kontrolleret medie, har det fra første færd været en sikker sag at anvende online banking.

Trusselsbilledet fra internettet er imidlertid dynamisk og ganske som online banking er opstået som fænomen, er begrebet ”cyber crime” også opstået. De første spæde forsøg på at angribe netbanksystemerne så man allerede for en række år siden, de fleste af disse var opportunistiske, naive eller generelt lette at modvirke eller stoppe, så umiddelbart var der ingen grund til bekymring.

I modsætning til de fleste netbanksløsninger, som sikkerhedsmæssigt har været forholdsvis statiske, er angrebene mod netbanksløsningerne blevet hastigt mere hyppige og langt mere sofistikerede end hidtil set.

Større tekniske udfordringer

Til trods for at bankerne er begyndt at anvende sofistikerede sikkerhedsmekanismer såsom 2-faktor autorisation ved verifikation af større overførsler eller koder via separate datakanaler (via f.eks. sms ), avancerede filtre, der leder efter mistænkelige transaktioner mv., er det alligevel lykkedes de cyber-kriminelle at forbigå disse sikkerhedsmekanismer ved at benytte både teknisk avancerede metoder og angreb, der beror på psykologi (social engineering).

Nu også angreb målrettet mod virksomheder

Hvor det før i tiden primært var de private netbankkunder, der var udsat for angreb, er der nu inden for det seneste år begyndte at dukke angreb op målrettede mod virksomhedernes netbankssystemer. Dette har f.eks. været i form af e-mails formuleret på fejlfrit dansk, der har været målrettede mod nøglepersoner i virksomheden, som har indeholdt links til software til at kompromittere sikkerheden i netbankssystemerne. Der er set eksempler på, at en dansk virksomhed i 2009 har fået tømt kontoen for næsten 2 mio.kr. ved, at de cyber-kriminelle har fået anbragt en specialskrevet virus på virksomhedens systemer. Det sker også ved at udnytte kendte svagheder i systemsoftware, hvor disse ikke er regelmæssigt opdateret.

Der er virksomheder som ikke har fået erstattet hele deres tab af pengeinstituttet, fordi den generelle it-sikkerhed ikke var god nok, og den finansielle institution derfor har vurderet, at den konkrete virksomhed ikke har levet op til god it-skik, og banken derfor kun i begrænset omfang dækker virksomhedens tab.

Hvad bør man gøre for at opnå høj grad af sikkerhed mod angreb

De mest basale råd for at minimere risikoen for eksterne angreb imod virksomhedens netbank løsning er:

  1. Sørg som minimum for at anvende et online banking system med 2-faktor autorisation - Det vil sige, at man udover at anvende noget man ved (et brugernavn + kodeord) til at logge på anvender man tillige en anden faktor, f.eks. noget man har (et fysisk objekt man skal være i besiddelse af for at kunne logge på, f.eks. et smartcard), eller noget man er (f.eks. validering via en fingeraftryksscanning).
  2. Isoler i videst muligt omfang systemet, hvor online banking systemet er installeret fra andre funktioner (hvor muligt, anvend en separat, dedikeret pc).
  3. Brug et antivirusprogram, der opdateres automatisk og altid er slået til.
  4. Anvend en generel firewall på virksomhedens systemer samt en personlig firewall på computeren, hvor online banking systemet befinder sig.
  5. Anvend Host Intrusion Prevention System (HIPS) til proaktivt at forhindre nye typer af angreb. Et HIPS system er et aktivt forsvarssystem, der har mulighed for at blokere bestemte typer af angreb, som operativsystemet normalt er sårbart overfor.
  6. Installer løbende sikkerhedsopdateringer til virksomhedens software.
  7. Indstil browseren (hvis online banking løsningen er browserbaseret) vha. f.eks. firewall regler, således at browseren kun kan anvendes til online banking.
  8. Sørg for at personale, der er ansvarlig for at anvende online banking løsningen, er tilstrækkeligt informerede og trænede i at opdage forsøg på social engineering angreb.
  9. Hav forskellige koder til online banking og til andre systemer, således at Online banking systemet ikke kompromitteres hvis brugerens password bliver kendt.
  10. Hvis en nøglefil (.key) anvendes som en del af bankløsningen, sørg for at denne er særligt beskyttet (anvend filrettigheder til at styre adgangen til denne fil) og at hvis det er muligt skift denne fil ud periodisk.

Til top

Interne angreb/Besvigelser

Det er dog værd at bemærke, at selvom man følger ovenstående råd, er man imidlertid ikke sikret mod angreb kommende inde fra organisationen selv. Disse interne angreb kan være svære at opdage, da svindlen ofte begås af folk, der i forvejen har betroet adgang til virksomhedens betalingsløsning. Dette gælder i såvel løn-, bank- og økonomisystemerne i virksomheden. Angrebstyperne kan deles op i, om medarbejderen er betroet til at betjene systemet eller ej.

Ikke betroede medarbejdere
En ikke-betroet medarbejder kan på forskellige mere eller mindre sofistikerede måder skaffe sig adgang til firmaets finansielle systemer.

Det simple angreb
De mere simple metoder kan f.eks. være at aflure kodeord, anvende pc’ere der ikke har været ”låst” forsvarligt eller på anden vis få adgang eller kendskab til koder anvendt til at få adgang til de finansielle systemer.

Det avancerede angreb
De mere sofistikerede måder kan være installation af afluringssoftware eller -hardware eller anden teknisk sofistikeret forbigåelse af sikkerheden.

Teknisk forsvar
Som værn mod angreb på de finansielle systemer fra ikke-betroede medarbejdere, kan man bl.a. styrke it-miljøet ved at påtvinge lange passwords med en blanding af specialtegn, tal og store og små bogstaver, hyppige password skift på kritiske finansielle systemer, anvendelse af 2-faktor autorisation (token-baseret sikkerhed), begrænsning af rettigheder i systemsoftware på brugermaskinerne, antivirus, firewalls på brugermaskinerne, begrænsning i brugerprofiler så kun bestemte godkendte softwarepakker kan afvikles, samt generelt at sikre at den generelle it-sikkerhed i it-miljøet er på et tilstrækkeligt niveau.

Yderligere kan man indføre kontroller, der sikrer, at eventuelle brister i det tekniske forsvar opdages i tide. Dette kan f.eks. være logning og opfølgning på mistænkelige events (fejlslagne logon forsøg, logon på tidspunkter udenfor normal arbejdstid, hyppige adgangsforsøg til kritiske programmer og dataregioner).

Der kan i de enkelte finansielle systemer også indbygges kontroller, der forstærker chancen for at opdage uautoriserede adgang til systemet, som f.eks. under logon at angive, hvornår den givne bruger sidst har været logget på systemet.

En anden simpel ting, som vil være en yderst effektiv stopklods mod ”direkte angreb” er, at sørge for at aflåse det lokale, hvor de betroede medarbejdere arbejder. Endvidere at træne medarbejdere i at låse skærmen, når maskinen forlades, også selvom det kun er kortvarigt vil også være en effektiv kontrol.

Betroede medarbejdere
Noget vanskeligere kan det være med en betroet medarbejder, da denne i sagens natur har fuld adgang til det finansielle system han/hun er betroet til at betjene. Derfor vil man ikke kunne gardere sig rent teknisk i samme grad som over for den ikke-betroede medarbejder.

Alle on-line banksystemer har mulighed for at opdele betalingen af en, som klargør betalinger og en, som godkender til betaling. Denne funktionsadskillelse bør altid anvendes. Endvidere er det vigtigt altid at sikre sig, at fuldmagter til anvendelse af systemet er opdateret i pengeinstituttet.

Som et yderligere værn kan man også overveje at indføre ”2 i forening” kontrollen på kritiske transaktioner og processer, hvor 2 uafhængige personer skal godkende en given transaktion eller proces.

Man vil yderligere i mange tilfælde kunne opdage uregelmæssigheder ved at have en god logføring og opfølgning på unormale begivenheder i ens finansielle transaktioner - her kan med fordel anvendes statistiske analyseværktøjer til f.eks. at påvise uregelmæssigheder ved mange ens transaktioner, statistiske anormaliteter.

Vil du vide mere

Såfremt du har spørgsmål eller ønsker at vide mere om dette emne, er du meget velkommen til at kontakte vores leder af It-revision og Risikostyring

Michael Clement
Statsautoriseret revisor 

e-mail  

Til top

Michael Clement

Director, leder af IT-Revision & Risikostyring

Kontakt

T +45 35 27 12 36

 E-mail

© 2009 Grant Thornton - Statsautoriseret Revisionsaktieselskab