Jakab Péterrel, az MKB Bank bankbiztonságért felelős ügyvezető igazgatójával és a Magyar Bankszövetség Bankbiztonsági Bizottságának vezetőjével beszélgettünk a pénzintézeti csalások természetrajzáról, illetve az ellenük való védekezés lehetőségeiről.
A sorozat első három részében sorrendben a pénzintézeti csalás fogalma, megtörtént csalási esetek, védekezési módszerek volt a téma. Ma az informatikai védelemről beszélgetünk.
Az emberi tényezőn túl milyen informatikai eszközökkel lehet segíteni a pénzintézeti csalások elleni védekezést vagy azok felderítését?
Ha a legalapvetőbb dolgoktól akarok indulni, akkor az első az, hogy jó alkalmazásokat kell írni. Erre sokféle szabvány és best practice létezik, ám mindannyian tudjuk, hogy ettől még igen vegyes a születő alkalmazások minősége biztonsági szempontból, így ezt nem árt valamilyen független eszközzel is vizsgáltatni. Mi is használunk olyan elemzőeszközöket, amelyeket kimondottan a webes alkalmazások biztonságának tesztelésére készítettek.
Fontosnak találom a hardeninget is, tehát egy-egy alkalmazás, adatbázis vagy operációs rendszer mindig megkapja a szükséges és elégséges beállításokat, frissítéseket, és természetesen csak azok a szolgáltatások fussanak rajtuk, amelyekre az adott feladathoz szükségük van. Gondolom, külön nem kell részleteznek a határvédelem és annak minden aspektusának fontosságát (tűzfalak, IDS-ek és IPS-ek, vírusvédelem, spamvédelem).
Ezek persze mind olyan védelmek, amelyeket minden magára és a prudens működésre valamit is adó vállalatnak meg kellene valósítania. Ami az ennél speciálisabb eszközöket, technológiákat illeti, az elsők között kell megemlíteni a monitoring és aktív monitoring eszközöket. Ilyen például a logmenedzsment, az aktív ez esetben pedig azt jelenti, hogy nem csak utólagos elemzésre alkalmas, hanem valós idejű észlelésekre és riasztásokra, illetve beavatkozásokra is. Az adatszivárgás ellen hálózatelemzéssel, végpontvédelemmel, illetve intelligens tartalomelemzéssel lehet védekezni, megint csak eseményvezérelt módon. Vagyis ha egy banki dolgozó előállít egy dokumentumot, akkor az elektronikus rendszer egyből értékelje annak bizalmas jellegét, és ha a dokumentum megkapta a minősítését, azonnal lépjenek életbe automatikus szabályok: ki olvashatja, ki küldheti ki, lehet-e nyomtatni, kell-e titkosítani, és így tovább.
Fontosnak tartom a banki tranzakciók és folyamatok magas szintű logikai elemzését. Ez történhet logelemzéssel vagy külön erre készült célszoftverekkel. Itt már megjelennek a viselkedés alapú, a szokásos tendenciáktól való eltéréseket vizsgáló eszközök. Rossz hír, hogy hiába vesz készen egy ilyen eszközt a bank, a hatékony működéséhez szükséges intelligencia nagy részét nekünk kell beletenni, hiszen mi ismerhetjük a termékeinket, folyamatainkat. Itt csak egy csontvázat vesz a bank, és arra neki kell felrakni a húst, hogy jól működő rendszere legyen. Nem is kell rettenetesen bonyolult összefüggések figyelésére gondolni. Ha mondjuk valaki évente 150 bankkártya-tranzakciót hajt végre, szinte kizárólag Budapesten, és egy-egy alkalommal 10 és 50 ezer forint közötti összeget vesz fel, akkor a bankkártya-rendszerünkhöz kapcsolt real-time tranzakcióelemző rendszer bizony azonnal riaszt, ha egyszer Bécsben akar valaki 300 ezer forintnak megfelelő eurót kivenni az automatából. Ilyenkor a call centernek azonnal hívnia kell az ügyfelet, hogy tényleg ő van-e ott. Ugyanerre alapulnak a fraudot vizsgáló rendszerek, amikor a belső üzleti logika alapján kell folyamatokat elemezni. Nézzük meg például, hogy egy adott agrárhitelből miért éppen Budapest V. kerületében folyósítanak a legtöbbet? Vagy miért vesz fel valaki rendszeresen százmilliókat készpénzben?
A szakma elismerése Két szakmai sikert tudnék kiemelni eddigi pályafutásomból. Az első a régi munkahelyemhez, az Állami Számvevőszékhez kapcsolódik: tudomásom szerint ott még ma is azt a strukturált hálózatot használják, amit annak idején nagyrészt az én elképzeléseim alapján építettünk ki. A másik nem egy konkrét ügy, de nagyon büszke vagyok arra, hogy az MKB Bank biztonságát a szakma (és nem csak az IT-biztonsági szakma!) igen magasra értékeli. A bank általános biztonsági színvonala ezek szerint nem csak szerintünk jó. Ez a reputáció egyébként házon belül is megvan. Az MKB Bankban nem indulhat el úgy fejlesztés, hogy azon nincs rajta a bankbiztonsági vezető jóváhagyása, amihez pedig kell néhány sztenderd követelmény teljesítése (például legyen végiggondolva DRP szempontból, legyen megoldva az identity management vagy a naplózás). De fogalmazhatunk másképp is: nem tudom, hogy van-e ma Magyarországon olyan bank, amelynek a biztonsági vezetői székét szívesen, gondolkodás nélkül elcserélném a jelenlegi munkámmal. Ugyanakkor azt gondolom, hogy sokan talán szívesen lennének a helyemben. Mindez természetesen nem csak az én sikerem, hanem a teljes csapaté, amely több mint 10 év alatt elérte ezeket az eredményeket. |
Mennyire kell paranoiásnak lenni az ilyen rendszerek beállításában?
Szerintem eléggé paranoiásnak kell lenni. Ha egy biztonsági vezető jót akar magának, akkor a lehető legelképzelhetetlenebb eseteket is elképzeli. A cégvezetéssel való konfliktusok jó része is abból fakad, hogy a biztonsági szakember agya „másképp van bedrótozva”, mint a laikusként gondolkodóké, akik szerint egy csomó dolog velünk biztosan nem történik meg. Az a biztonsági vezető felelőssége, hogy a saját -- és egyébként reális -- félelmeit olyan módon tudja közvetíteni a többi vezető felé, hogy ők is valósnak fogadják el a reális kockázatokat. Ez egyrészt feltételezi a jó viszonyt a vezetésben, másrészt pedig a biztonsági vezető szakmai elfogadottságát.
Amikor a kockázatokat informatikai rendszerek beállításaira kell lefordítani, hogyan lehet megtalálni a helyes egyensúlyt biztonság és működés között?
Nem egyszeri, hanem dinamikus egyensúlyról van szó. A fenyegetettségek, a banki termékek, a folyamatok is állandóan változnak, ezért ezt is folyamatosan kezelni kell. Hogy mást ne mondjak: tíz évvel ezelőtt egészen más számított gyanúsan nagy összegnek, mint ma. Ahogyan a víruskeresőket frissítik, úgy kell állandóan újragondolni a fraud elleni védekezés ismérveit is.
Holnap az arányos védekezés és a bírói gyakorlat lesz a téma.
