Bankovni klijenti sami odaju povjerljive podatke prevarantima

Neovlaštene upade u sustave informacijske sigurnosti u financijskim institucijama najčešće uzrokuju sami klijenti, koji zlonamjernim pojedincima omogućuju pristup privatnim podacima a da toga ni sami nisu svjesni, pokazuje analiza "Globalni pregled informacijske sigurnosti u 2007" revizorsko-konzultantske tvrtke Deloitte.

Usprkos neprekidnom povećavanju budžeta za informacijsku sigurnost, vodeći ljudi u financijskim institucijama smatraju da razina ulaganja u sigurnost još uvijek zaostaje za stvarnim potrebama. Većina menadžera obuhvaćenih Deloitteovom analizom svjesna je problema upada u sustave informacijske sigurnosti, ali brigu o njima prepušta IT odjelima. Zabrinjavajuće je što više od trećine financijaša još nije razvilo nikakvu informacijsku sigurnosnu strategiju. "Ova i slična otkrića pokazuju postojanje sve većeg sigurnosnog paradoksa – menadžeri su svjesni problema informacijske sigurnosti, ali ne poduzimaju sve raspoložive korake da bi se on i riješio", komentira Kurt Geyskens, direktor u sektoru upravljanja rizicima u Deloitteu.

Na listi proboja u sigurnosne sustave vode napadi putem e-maila. Čak 52 % financijskih institucija protekle je godine doživjelo više upada u svoj sigurnosni sustav tim putem. Slijede virusi i kompjuterski crvi (40%), phishing/pharming, odnosno korištenje lažnih e-mailova i lažnih internetskih stranica (35%) te namjerni upadi od strane samih zaposlenika (31%). Na listi su se 2007. godine po prvi put pojavili slučajni upadi u sigurnosnu strukturu (čak 14%) te problemi izazvani gubljenjem privatnih podataka o klijentima.

Što se tiče tipova tehnologije zaštite, očekivano prednjače antivirusni programi, koje koristi 99% ispitanika, te firewallovi i zaštita od spamova, dok su na začelju biometrika (svega 10%) i RFID tagovi (8%). Naime, većina ispitanika ističe da najradije čekaju da neka tehnologija postane norma (a prema tome i pojeftini), pa se tek onda odlučuju na njezino uvođenje.

Deloitteovo je istraživanje pokazalo da je najčešći uzrok vanjskih napada i dalje "ljudski čimbenik" – zaposlenici u napadnutoj organizaciji, klijenti, poslovni partneri i vanjski dobavljači. Naime, napadači na informacijsku sigurnost svjesni su da moraju biti fleksibilni. Zbog toga, kako se razina sigurnosti u financijskim institucijama povećava, više ne napadaju "utvrdu" same institucije već pribjegavaju suptilnijem pristupu – ljudima koji sudjeluju u procesu poslovanja. Velik broj upada u sigurnost financijskih institucija može se pripisati greškama i propustima samih zaposlenika, ali i njihovim namjernim zlouporabama slabosti sustava.

Financijske bi organizacije trebalo posebno zabrinjavati kršenje sigurnosti od strane klijenata, kojih oni sami uglavnom nisu svjesni. Uzročnik sva tri najčešća tipa kršenja sigurnosti (e-mailovi, virusi i crvi, phishing / pharming) uglavnom su klijenti koji nenamjerno prosljeđuju prevarantima povjerljive informacije i otvaraju im "stražnja vrata" prema podacima pohranjenim u financijskim institucijama.

Konkretno, kršenje sigurnosti najčešće izgleda ovako: klijent dobiva e-mail koji djeluje kao službeni zahtjev za dostavom povjerljivih podataka (npr. lozinke, podataka o bankovnom računu). Klijent, koji ne sumnja u prevaru i ne provjerava zahtjev u financijskoj insituciji, šalje svoje podatke i time nesvjesno omogućuje prevarantima pristup vlastitu računu. Zanimljivo je da financijske institucije, iako neposredno pogođene takvim kršenjima sigurnosti, i dalje oklijevaju preuzeti odgovornost za sigurnost računala svojih klijenata. Razlog tomu golema je zahtjevnost i troškovi takvog jednog pothvata.

Cjelovito istraživanje možete pronaći ovdje: http://www.deloitte.com/dtt/research/0,1015,cid%253D171317,00.html

Deloitte Zagreb / eKapija