Pamiętać o ludziach

Gdy w grę wchodzą duże pieniądze, należy uważnie podchodzić do zabezpieczeń proceduralnych. Lukę w takim bezpieczeństwie może wykorzystać ktoś, kto zna procedury, wie jak z nich skorzystać i znajdzie sposób, aby je ominąć.

Gdy w grę wchodzą duże pieniądze, należy uważnie podchodzić do zabezpieczeń proceduralnych. Lukę w takim bezpieczeństwie może wykorzystać ktoś, kto zna procedury, wie jak z nich skorzystać i znajdzie sposób, aby je ominąć.

Najgłośniejszym przykładem było przestępstwo nielegalnego zlecenia przelewu 2 mln USD do szwajcarskiego banku Wozchod Handels Bank of Zurich z konta w banku Security Pacific National Bank na szkodę firmy Irving Trust Company. Wykonał je Stanley Rifkin w... 1978 r., a kradzież ta została wówczas uznana za największe przestępstwo komputerowe w historii. Interesujące, że operacja ta została dokonana bez użycia komputera, przestępca wykorzystał do tego celu jedynie telefon, własną wiedzę oraz socjotechnikę.

Luka polegała na tym, że pracownik innego oddziału banku poznał dokładnie procedury zabezpieczeń i uzyskał wszystkie kody niezbędne do wykonania dowolnej operacji bankowej. A zmieniany codziennie kod, niezbędny do jednego z etapów zlecenia, był zapisany w widoczny sposób. Przestępcy udało się go uzyskać metodą podstępu i w efekcie jego zlecenie zostało zrealizowane. Transakcja była jedną z wielu (w tym czasie bank wykonywał ponad 1500 operacji na kwotę rzędu 4 mld USD dziennie), więc wysoka kwota przelewu nie wywołała żadnego zdziwienia. Chociaż przestępca został schwytany, zdarzenie obnażyło poważne luki w bezpieczeństwie procedur bankowych. W tym przypadku wina nie była po stronie operatorów banku, który wykonał zlecony przelew, gdyż podane przez Rifkina kody były poprawne. Winny był system proceduralnego uwierzytelnienia osoby zlecającej operację oraz samego zlecenia. Specjaliści są zgodni - jeśli procedury są niedopracowane i nie są bezwzględnie przestrzegane, pozostaje możliwość realnych nadużyć dokonywanych przez osoby z zewnątrz przy czynnej lub biernej pomocy pracowników firmy.

Przedstawiony scenariusz może dotyczyć wielu firm. Zakłada on minimalną współpracę pracownika lub posłużenie się podstępem przez napastnika. Zupełnie inaczej wygląda zagrożenie, gdy pracownik firmy zaczyna działać celowo na szkodę przedsiębiorstwa albo jego klientów. Przykładem może być wykorzystanie systemu transakcyjnego niektórych banków. Chociaż posiada on zabezpieczenia przed nieuprawnionym użyciem, są pracownicy, którzy mają szerokie uprawnienia. Czasami pokusa jest na tyle duża, że nieuczciwy operator systemu popełnia przestępstwo. Niektóre banki prowadzą call center w taki sposób, że operator może wykonać operacje bankowe w imieniu klienta bez bezpośredniej jego identyfikacji w systemie. Gdy pracownik centrum wprowadzi do systemu np. dyspozycję przelewu środków, zostanie ona wykonana tak, jakby to zrobił klient. Tego typu nadużycia mogą przez długi czas pozostać nieujawnione, wystarczy, aby na małe kwoty okradano w ten sposób firmę, która ma dość duże obroty, przeprowadza wiele drobnych operacji i nie sprawdza dokładnie wyciągu z rachunku. Banki chronią tajemnicą takie naruszenia bezpieczeństwa, ale znane są przypadki nieautoryzowanego wykonania przelewów na obcy rachunek przez pracownika banku.

Gdy ze zdalnego dostępu do firmy korzystają osoby lub firmy trzecie, możliwość nadużyć znacznie wzrasta. Pracownik działu obsługi klienta, dzięki kontaktowi z nim, w pewnych warunkach może posiąść informacje wystarczające do wykonania dowolnej operacji w jego imieniu, przy użyciu skradzionego uwierzytelnienia. Nawet jeśli część z nich ma być całkowicie poufna, sprytny pracownik może je uzyskać. Następnym etapem może być wykonywanie operacji za pomocą uwierzytelnienia klienta. W niektórych instytucjach możliwość reklamacji takich operacji jest niesłychanie trudna. Przykładem mogą być transakcje kartą płatniczą z użyciem kodu PIN lub uwierzytelnienia za pomocą podpisu elektronicznego. W takich wypadkach nadużycia są trudne do wychwycenia przez mechanizmy kontroli, gdyż nieuczciwy pracownik nie dokonuje modyfikacji procederu w obrębie swojej firmy. Oczywiście w pewnych warunkach można odkryć podejrzane działania, analizując zapisy z systemów bezpieczeństwa. Na przykład gdy logowanie do systemu odbywa się w krótkim odstępie czasu z różnych adresów IP, pochodzących z różnych dostawców, odkrycie naruszenia bezpieczeństwa konta klienta jest możliwe.


TOP 200