18.09.2007.
Istraživanje: Bankovni klijenti sami odaju povjerljive podatke prevarantima
Velik broj upada u sigurnost financijskih institucija može se pripisati greškama i propustima samih zaposlenika
Neovlaštene upade u sustave informacijske sigurnosti u financijskim institucijama najčešće uzrokuju sami klijenti, koji zlonamjernim pojedincima omogućuju pristup privatnim podacima a da toga ni sami nisu svjesni, pokazuje analiza “Globalni pregled informacijske sigurnosti u 2007.” revizorsko-konzultantske tvrtke Deloitte.
Usprkos neprekidnom povećavanju budžeta za informacijsku sigurnost, vodeći ljudi u financijskim institucijama smatraju da razina ulaganja u sigurnost još uvijek zaostaje za stvarnim potrebama. Većina menadžera obuhvaćenih Deloitteovom analizom svjesna je problema upada u sustave informacijske sigurnosti, ali brigu o njima prepušta IT odjelima.
Zabrinjavajuće je što više od trećine financijaša još nije razvilo nikakvu informacijsku sigurnosnu strategiju.
“Ova i slična otkrića pokazuju postojanje sve većeg sigurnosnog paradoksa – menadžeri su svjesni problema informacijske sigurnosti, ali ne poduzimaju sve raspoložive korake da bi se taj problem i riješio”, komentira Kurt Geyskens, direktor u sektoru upravljanja rizicima u Deloitteu.
Na listi proboja u sigurnosne sustave vode napadi putem e-maila. Čak 52 posto financijskih institucija protekle je godine doživjelo više upada u svoj sigurnosni sustav tim putem.
Slijede virusi i kompjuterski crvi (40%), phishing/pharming, odnosno korištenje lažnih e-mailova i lažnih internetskih stranica (35%) te namjerni upadi od strane samih zaposlenika (31%). Na listi su se ove godine po prvi put pojavili slučajni upadi u sigurnosnu strukturu (čak 14%) te problemi izazvani gubljenjem privatnih podataka o klijentima.
Što se tiče tipova tehnologije zaštite, očekivano prednjače antivirusni programi, koje koristi 99 posto ispitanika, te firewall i zaštita od spamova, dok su na začelju biometrika (svega 10%) i RFID tagovi (8%). Naime, većina ispitanika ističe da najradije čekaju da neka tehnologija postane norma (a prema tome i pojeftini), pa se tek onda odlučuju na njezino uvođenje.
Deloitteovo je istraživanje pokazalo da je najčešći uzrok vanjskih napada i dalje “ljudski čimbenik” – zaposlenici u napadnutoj organizaciji, klijenti, poslovni partneri i vanjski dobavljači.
Naime, napadači na informacijsku sigurnost svjesni su da moraju biti fleksibilni. Zbog toga, kako se razina sigurnosti u financijskim institucijama povećava, više ne napadaju “utvrdu” same institucije već pribjegavaju suptilnijem pristupu – ljudima koji sudjeluju u procesu poslovanja. Velik broj upada u sigurnost financijskih institucija može se pripisati greškama i propustima samih zaposlenika, ali i njihovim namjernim zlouporabama slabosti sustava.
|
Financijske bi organizacije trebalo posebno zabrinjavati kršenje sigurnosti od strane klijenata, kojih oni sami uglavnom nisu svjesni. Uzročnik sva tri najčešća tipa kršenja sigurnosti (e-mailovi, virusi i crvi, phishing/pharming) uglavnom su klijenti koji nenamjerno prosljeđuju prevarantima povjerljive informacije i otvaraju im “stražnja vrata” prema podacima pohranjenim u financijskim institucijama.
Konkretno, kršenje sigurnosti najčešće izgleda ovako: klijent dobiva e-mail koji djeluje kao službeni zahtjev za dostavom povjerljivih podataka (npr. lozinke, podataka o bankovnom računu). Klijent, koji ne sumnja u prevaru i ne provjerava zahtjev u financijskoj insituciji, šalje svoje podatke i time nesvjesno omogućuje prevarantima pristup vlastitu računu.
Zanimljivo je da financijske institucije, iako neposredno pogođene takvim kršenjima sigurnosti, i dalje oklijevaju preuzeti odgovornost za sigurnost računala svojih klijenata. Razlog tomu golema je zahtjevnost i troškovi takvog jednog pothvata, zaključuje se u istraživanju Deloittea.
|
|
|
|