Ασφάλεια Εναλλακτικών Δικτύων Κωνσταντίνος Μαρινάκης ΕΘΝΙΚΗ ΤΡΑΠΕΖΑ
Περιεχόμενα παρουσίασης 1 Εναλλακτικά α δίκτυα 2 3 4 5 6 Κίνδυνοι Μορφές και οργάνωση e-fraud e-fraud Life Cycle Ενιαία αντιμετώπιση Προτεινόμενα μέτρα
Εξέλιξη εναλλακτικών δικτύων Δίκτυα Εξέλιξη με κινδύνους Αρχική μορφή Μικρά δίκτυα με dedicated κλειστές γραμμές επικοινωνίας. Ασφαλή λειτουργικά συστήματα Έλεγχος ασφάλειας στα χέρια της Τράπεζας Παρούσα μορφή Εκτεταμένα δίκτυα με ανοικτές πλατφόρμες και επικοινωνιακές υποδομές. Νέα δίκτυα - νέες τεχνολογίες (ασύρματα, δορυφορικά). ρ ) Μέρος της ασφάλειας στα χέρια του πελάτη
Κίνδυνοι e-fraud Λειτουργικός Κίνδυνος Κίνδυνος Απώλειας Φήμης Απώλεια χρημάτων, φήμης, πελατείας. Ενδεχόμενα πρόστιμα. Κανονιστική Συμμόρφωση
Μέθοδοι e-fraud 1 2 3 ATMs Κλοπή κάρτας & Pin Card trapping Cash trapping Skimming * Physical attack Dummy ATMs Internet Banking Phishing (e-mail) Spoofing Pharming Man in the middle Άλλα κανάλια Phishing (phone) Identity theft (mail) Social Engineering
Μέθοδοι e-fraud 4 Phising με e-mail Skimming σε ΑΤΜ ή POS Αναλήψεις από ΑΤΜ Χρεώσεις μέσω POS ή Internet Οι απατεώνες επιλέγουν κάθε φορά τον προσφορότερο τρόπο υποκλοπής και χρήσης των κωδικών Δύσκολος εντοπισμός εάν δεν υπάρχει συντονισμός ανάμεσα Δύσκολος εντοπισμός εάν δεν υπάρχει συντονισμός ανάμεσα στην παρακολούθηση όλων των εναλλακτικών δικτύων
Μέθοδοι e-fraud - Εξέλιξη Οι μέθοδοι e-fraud εξελίσσονται με την τεχνολογία Συνδυασμός h/w, s/w & τεχνικών τελευταίας τεχνολογίας. Άμεση & διαρκής μετακίνηση για αποφυγή εντοπισμού. Phishing Προηγμένες τεχνολογικές μέθοδοι αντιγραφής και υποκλοπής PIN. Διαχωρισμός του τόπου αντιγραφής από τον τόπο της κλοπής. Βασική τεχνολογία - έμμεση επαφή με τον πελάτη - δυνατότητα πολλαπλής απάτης σε κάθε κρούσμα. Skimming Card & Cash Trapping Φυσική παρουσία - ύπαρξη μαρτύρων - μία κάρτα κάθε φορά. Βίαιη απόσπαση κάρτας & PIN
e-fraud: Οργανωμένο έγκλημα Οργανωμένες σπείρες υπό κεντρική καθοδήγηση η Π.χ. Οι μηχανισμοί skimming έρχονται στην Ελλάδα από Ιταλία Ενώ ο αρχικός και τελικός έλεγχος γίνεται από τη Ρουμανία Στις σπείρες συμμετέχουν αρκετά άτομα από τη Βουλγαρία
Κύκλος Ζωής e-fraud (Fraud Life Cycle) Όπως σε όλες τις τεχνολογίες έτσι και στις μεθόδους fraud παρατηρούμε τα κλασικά στάδια ενός κύκλου ζωής Ύψ ψος απωλειών από Fraud Εισαγωγή Ανάπτυξη Ωρίμανση Παρακμή Στάδιο Εισαγωγής Στάδιο Ανάπτυξης Στάδιο ωρίμανσης Δοκιμαστική χρήση σε Επιλογή σε χώρες & Αύξηση περιστατικών επιλεγμένα σημεία. περιοχές με υψηλότερα Διάδοση και σε άλλες Στάδιο παρακμής Σε εξέλιξη η μέθοδος περιθώρια και απόδοσης. περιοχές ο εξοπλισμός Αύξηση περιστατικών. ώαύξηση συνεργαζόμενων Υιοθέτηση αποτελεσμα- Εξακρίβωση & βελτίωση Βελτίωση των μεθόδων ομάδων τικών μέτρων anti-fraud της μεθόδου. Εκμετάλλευση των Εξειδίκευση σε κενών που εντοπίστηκαν εντοπισμένα ευαίσθητα κατά το στάδιο της σημεία κάθε Τράπεζας. εισαγωγής.
Κύκλος Ζωής e-fraud (Fraud Life Cycle) Ανάπτυξη & εισαγωγή νέων πιο αποτελεσματικών μεθόδων Fraud Ύψ ψος απωλειών από Fraud Εισαγωγή Ανάπτυξη Ωρίμανση Παρακμή Συνολική καμπύλη Fraud Καμπύλη Fraud 1 Καμπύλη Fraud 2 Αύξηση των απωλειών από fraud λόγω αποτελεσματικότητας της νέας μεθόδου. Οι συνολικές απώλειες είναι το άθροισμα των απωλειών των δύο διαφορετικών μεθόδων. Εάν δεν έχει βρεθεί τρόπος αντιμετώπισης, οι απατεώνες ενδέχεται να χρησιμοποιήσουν εκ νέου την παλαιά μέθοδο.
Κύκλος Ζωής e-fraud (Fraud Life Cycle) Υιοθέτηση η αποτελεσματικών μέτρων anti-fraud από τις Τράπεζες Ύψ ψος απωλειών από Fraud Εισαγωγή Ανάπτυξη Ωρίμανση Παρακμή Σε άριστη περίπτωση τα μέτρα θα πρέπει να είναι σε θέση να εξουδετερώνουν πλήρως όλες τις προσπάθειες απάτης. Καμπύλη Fraud Max(Anti-Fraud) = Max(Fraud) Καμπύλη Anti-Fraud Εξειδικευμένα μέτρα δεν μπορούν να ανταποκριθούν σε διαφοροποιήσεις των μεθόδων fraud. π.χ. μηχανισμός anti-skimming που έχει κατασκευαστεί ειδικά για έναν τύπο ATM, δεν μπορεί να χρησιμοποιηθεί σ άλλον.
Κύκλος Ζωής e-fraud (Fraud Life Cycle) Υιοθέτηση αποτελεσματικών μέτρων anti-fraud από τις Τράπεζες Ύψ ψος απωλειών από Fraud Εισαγωγή Ανάπτυξη Ωρίμανση Παρακμή Νέα Καμπύλη Fraud Ταχύτητα αντίδρασης Τραπεζών Καμπύλη Fraud Νέα Καμπύλη Anti-Fraud Καμπύλη Anti-Fraud Η λήψη μέτρων στα αρχικά στάδια του κύκλου ζωής fraud έχει σαν αποτέλεσμα τη μείωση: του μέγιστου σημείου Max(Fraud) της συνολικής διάρκειας της καμπύλης fraud των συνολικών απωλειών
Αντίδραση fraudsters στα μέτρα anti-fraud Οι σπείρες προσπαθούν να παρατείνουν την κερδοφορία ρ τους 3 1 Αύξηση συχνότητας κρουσμάτων Οι απατεώνες αυξάνουν τη συχνότητα των κρουσμάτων για να μεγιστοποιήσουν την απόδοση της μεθόδου πριν την οριστική διακοπή της. 2 Διαφοροποίηση μεθόδων Οι απατεώνες διαφοροποιούν τη μέθοδο με σκοπό να ξεπεράσουν πιθανή στενότητα στο πεδίο εφαρμογής των μέτρων π.χ. skimming σε νέους τύπους ATM, άλλα πρότυπα αφαίρεσης χρημάτων κλπ. Μετανάστευση απάτης (Fraud Migration) Οι απατεώνες μετακινούνται σε άλλες περιοχές (Cross Channel Fraud Migration) όπου υπάρχουν ακόμα κενά ασφαλείας π.χ. μετά την εφαρμογή της smart card στην Αγγλία υπήρξε αύξηση της απάτης στο εξωτερικό και στο Internet Banking.
Η αντιμετώπιση απαιτεί γνώση Περιστατικά e-fraud Συλλογή, επεξεργασία και ανάλυση στοιχείων Μέθοδοι και Profil Ορισμός Εκτίμηση η κύκλος ζωής Τράπεζας βασικών αποτελεσματικότητας e-fraud ή χώρας δεικτών (ΚΙ) Anti-Fraud Αποτελεσματική αντιμετώπιση Fraud
Αντιμετώπιση e-fraud ανά ίδρυμα Κάθε Τράπεζα αντιμετωπίζει διαφορετική καμπύλη Fraud η οποία εξαρτάται από το profil της αλλά και από τη συγκυρία ειών από Fraud Εισαγωγή Ανάπτυξη Ωρίμανση Παρακμή Συνολική Καμπύλη Fraud Ύψ ψος απωλ Καμπύλη Fraud Τράπεζας 2 Καμπύλη Fraud Τράπεζας 1
Αντιμετώπιση e-fraud ανά ίδρυμα Κάθε Τράπεζα αντιμετωπίζει διαφορετική καμπύλη Fraud η οποία εξαρτάται από το profil της αλλά και από τη συγκυρία ειών από Fraud Ύψ ψος απωλ Εισαγωγή Ανάπτυξη Ωρίμανση Παρακμή Η καμπύλη Fraud που αντιμετωπίζει η Τράπεζα 1 είναι μικρότερης διάρκειας και έντασης από την αντίστοιχη καμπύλη της Τράπεζας 2. Συνολική Καμπύλη Fraud Η ελλιπής γνώση οδηγεί σε σπατάλη πόρων και σε αναποτελεσματικές λύσεις Καμπύλη Fraud Τράπεζας 2 Ωστόσο οι καμπύλες και των δύο Τραπεζών δεν αντικατοπτρίζουν το συνολικό ύψος των απωλειών λόγω fraud, το οποίο είναι κατά πολύ μεγαλύτερο. Καμπύλη Fraud Τράπεζας 1 Σαν αποτέλεσμα οι Τράπεζες ενδέχεται να υποτιμήσουν το μγ μέγεθος της απειλής.
Ενιαία αντιμετώπιση e-fraud Απαραίτητη η συνεργασία σε ενδοτραπεζικό, διατραπεζικό και διεθνές επίπεδο μεταξύ Τραπεζών, διωκτικών αρχών και άλλων φορέων Συλλογή στοιχείων 1 Συλλογή δεδομένων από όλα τα εναλλακτικά δίκτυα των μελών Ανατροφοδότηση Εκτίμηση του αποτελέσματος και ανατροφοδότηση του συστήματος Αξιολόγηση της συλλογής δεδομένων αποτελεσματικότητας των ληφθέντων μέτρων Αξιολόγηση 5 Συνεργασία Εφαρμογή των καταλληλότερων 4 μέτρων 3 2 Ανάλυση Ανάλυση στοιχείων Εντοπισμός απειλών και πιθανών τρόπων αντιμετώπισης, Καθορισμός και παρακολούθηση K.I. Εφαρμογή
Ενιαία αντιμετώπιση e-fraud Αποτελέσματα ενιαίας αντιμετώπισης Αποτελέσματα αποτυχίας ενιαίας αντιμετώπισης Σχηματισμός πλήρους εικόνας για πιθανές απειλές Άμεση πληροφόρηση - μείωση του χρόνου λήψης μέτρων Ανίχνευση fraud migration Αντιμετώπιση πολύπλοκων, υβριδικών μορφών απάτης Καλλίτερη συνεργασία με άλλα ιδρύματα του εξωτερικού και διωκτικές αρχές 2 Αποσπασματική πληροφόρηση Πλαστή αίσθηση ασφάλειας Αυξημένος χρόνος αντίδρασης Ανεπαρκής γνώση fraud patterns Χρονοβόρα συνεργασία με άλλες Τράπεζες και Οργανισμούς Αύξηση κόστους fraud: Αύξηση ζημιών Αύξηση κεφαλαιακών απαιτήσεων Αύξηση κόστους προσωπικού Δέσμευση πόρων σε μη μ η ρ μη αποτελεσματικά μέτρα
Το παράδειγμα της Αγγλίας Επιπρόσθετα City η APACS of ανακοίνωσε τη London δημιουργία του FISS (Fraud Intelligence Sharing System) με σκοπό την ανταλλαγή πληροφοριών για κάθε κρούσμα απάτης μέσω μιας κεντρικής (2002) κοινόχρηστης βάσης δεδομένων. Metro Police DCPCU FIB Το 2008 το FIB (Fraud Intelligence Bureau) του Τραπεζικού Τομέα που ήταν υπεύθυνο για την ανταλλαγή στοιχείων μεταξύ των Τραπεζών και των διωκτικών αρχών, σε συνεργασία με το γραφείο πληροφοριών του DCPCU, ίδρυσαν την PIPJIU (Payment Industry & Police Joint Intelligence Unit) PIPJIU (2008) Η APACS (Association for Payment) + Metropolitan Police + Δήμος Λονδίνου = DCPCU (Dedicated Cheque & Plastic Crime) APACS FISS (2008)
Πρόταση 1 Δημιουργία Μονάδας Αντιμετώπισης Ηλεκτρονικής Απάτης στην ΕΕΤ 3
Οργάνωση Μεθοδολογία - Συστήματα Δημιουργία κοινόχρηστης βάσης δεδομένων fraud με 1 πρόσβαση για τα μέλη που θα περιλαμβάνει μεθόδους και πρότυπα fraud, ύποπτες κάρτες και άλλα στοιχεία Συνεργασία με τις διωκτικές αρχές και Πανεπιστημιακά 2 Ιδρύματα για ανάλυση των στοιχείων, καθορισμό profil και βασικών δεικτών των ελληνικών Τραπεζών Συνεχής αναβάθμιση των συστημάτων 3 παρακολούθησης & πρόληψης των Τραπεζών για τα Εναλλακτικά Δίκτυα
Κ ω ν σ τ α ν τ ί ν ο ς Μ α ρ ι ν ά κ η ς ΕΘΝΙΚΗ ΤΡΑΠΕΖΑ