Azonosítás és biztonság pénzintézeti környezetben Jakab Péter igazgató Magyar Külkereskedelmi Bank Rt. Bankbiztonság

Az azonosítás célja, tárgya Cél: a bizonyosság megszerzése Tárgya: –személyek –tárgyak, eszközök –folyamatok –időpont Banki gyakorlatban –szinte minden ügyintézési folyamat azonosítással indul (jellemzően személyazonosítással) –az azonosítás eredménye alapvetően befolyásolja a folyamatot további menetét –A téves azonosítás jelentős operációs kockázatot hordoz

Az azonosítás szerepe A megbízható azonosítás szerepe egyre nő: –ügyfél –szolgáltatás –eszköz –tranzakció Információk koncentráltsága nő. Szinte minden pénzintézeti információ védendő. Az információk értéke rohamosan nő. Egyre komolyabb érdekek fűződnek az információk megszerzéséhez, rosszindulatú manipulálásához.

Az Interneten senki sem tudja, hogy csak egy kutya vagy..

Azonosítási eljárás Általános követelmények –legyen gyors, egyszerű (legalább felhasználói oldalon) –legyen megbízható, kétséget kizáró (tévedés + és – irányban) –legyen kockázatarányos (megbízhatóság, költség) – lehetőleg több eljárásban, helyzetben legyen hasznosítható

Azonosítási eljárások Fizikai ismérv alapú (pl. Ethernet cím) Fizikai eszköz birtoklásán alapuló (pl. kulcs, smart kártya) Tudás alapú (pl. jelszó, PIN) Fiziológia tulajdonság alapú (pl. ujjlenyomat, tenyérlenyomat) Nagy megbízhatóságú rendszerekben a fentiek kombinációját alkalmazzák

Gyakorlati megvalósítások okmányrendszerek beléptető rendszerek riasztó rendszerek

Gyakorlati megvalósítás Azonosítás elektronikus környezetben informatikai rendszerek hozzáférés kontrollja elektronikus levelezés elektronikus pénzügyi tranzakciók (e-banking, m-banking) Az azonosítás mellé további követelmények társulnak: –kölcsönös azonosítás –letagadhatatlanság –bizalmasság –sértetlenség Az elektronikus aláírás és funkciói Biometrikus azonosítási rendszerek

Elektronikus aláírás Szimmetrikus kulcs rendszerek Aszimmetrikus kulcs rendszerek –Privát (titkos kulcs) –Publikus kulcs Nyilvános kulcs: Bárki számára nyilvánosan hozzáférhető Üzeneteket titkosítják vele (a küldő titkosít a címzett titkos kulcsával) és ellenõrzik az aláírást (a címzett ellenőriz a küldõ nyilvános kulcsával) Privát kulcs: Csak a tulajdonos számára hozzáférhető Aláírják és visszafejtik az üzeneteket vele (a küldő ír alá és a fogadó fejt vissza a saját titkos kulcsával). A két kulcs összetartozik, de egyik kulcsból sem állítható elő a hozzá tartozó másik kulcs. Az aláírás nem hamisítható a nyilvános kulccsal.

Biometrikus azonosítás Hang Aláírás Arc(kép) felismerés Írisz, retina felismerés Fül-lenyomat Tenyér-lenyomat Ujj-lenyomat DNS

Ujj-lenyomat alapú azonosítási rendszerek Alkalmazási folyamat I. - inicializálás –Ujjlenyomat beolvasás –A lenyomat átalakítása (digitalizálás, egyedi kód képzés egyirányú algoritmusokkal) –Átalakítás eredményének tárolása – referencia adat Alkalmazási folyamat II. – azonosítás –Ujjlenyomat beolvasás –A lenyomat átalakítása –Összehasonlítás: beolvasott és referencia adatok –Döntés az összehasonlítás eredménye alapján

Ujj-lenyomat alapú azonosítási rendszerek Felhasználás –Beléptetés –Hozzáféréskontroll Előnyök, hátrányok Járulékos funkciók, lehetőségek

Azonosítás banki vonatkozásai 2+1 fő terület: –Ügyfél azonosítás (külső kapcsolatok) –Alkalmazott azonosítás (belső kapcsolatok) –Eszköz és folyamat azonosítás –Vannak átfedések (banki alkalmazott a bank ügyfele) –Gyakorlatilag nincs banki szolgáltatás ahol ne kapna fontos szerepet az azonosítás –Általában az azonosítási eljárás „több lábon áll”

Azonosítás banki vonatkozásai Ügyfélazonosítás –Okmányok –Aláírás –Ügyfélkártya –Pénzátutalási rendszerek –Elektronikus tranzakcióknál ATM E-banking –Pont-pont kapcsolat –Internet –Mobil szolgáltatás –Call Center –Azonosítás speciális esetekben (csalás, támadás,stb.) –Ahol fontos az azonosítás, ott azért az, mert komoly érdek fűződhet a kijátszásához

Azonosítás banki vonatkozásai Alkalmazott azonosítás (Ő is lehet ügyfél) –Beléptetés - biztonsági zónarendszer –Hozzáférés és jogosultság kontroll Informatikai rendszerek Telefon használat (jogosultság korlátozás, költségmegosztás) –Azonosítás a munkafolyamatok kapcsán –Elektronikus levelezőrendszer –Bizottsági jellegű azonosítások (kettős aláírások, ügyintéző+ellenőr)

Azonosítás banki vonatkozásai Eszköz és folyamat –Informatikai rendszer folyamatai –Informatikai rendszer eszközei Biztonsági szempontok (pl. idegen eszközök a belső hálózaton) Gazdálkodási, működési szempontok (pl. leltár)

Azonosítás banki vonatkozásai Banki azonosítási eljárások kiválasztásának szempontjai –Ügyfél és felhasználóbarát (egyszerű, gyors) –Jogilag kezelhető (bizonyítóerő, adatvédelmi szempontból megfelelő, stb.) –Kockázatarányosan megbízható –„üzemeltethetőség” –Költségek –Perspektivikus –Kompatibilitás

KÉRDÉSEK Jakab Péter, igazgató Magyar Külkereskedelmi Bank Rt. Bankbiztonság Tel: , Fax: