autor: Ms.c Srdjan Vujinović
autorski tekst preuzet sa SECURITY BREACH CONSULTING
U Beogradu posluje nekoliko velikih banaka. Neću isticati nazive tih banaka i lokacije ekspozitura, ali je preporuka da kolege koje rade u sektoru korporativne bezbednosti tih kompanija shvate ozbiljno ovo što ću napisati. Ja ću im zapravo skrenuti pažnju na ranjivosti koje bi se mogle iskoristiti, a koje trenutno postoje u nekim granama?
Ranjivosti koje su uočljive u bankama mogu se podeliti u nekoliko kategorija.
Arhitektura poslovne zgrade - Banke su veliki sistemi koji imaju veliku količinu novca. Svaka banka želi da privuče što više klijenata, to je činjenica. Jedan od načina koji skreće pažnju na klijente je profesionalnost osoblja i estetika poslovne zgrade. Klijenti žele da se osećaju posebno, onda će ostaviti svoj novac u banci. Šta se dešava kada potreba da se impresionira klijente postane problematična i stvori ranjivosti? Primer ovoga koji sam video na terenu, banka je preuredila unutrašnjost poslovne zgrade ne razmišljajući o implikacijama na bezbednost informacija. Unutrašnjost je zaista impresivna, ali šta znači ako imam mogućnost da ugrozim poverljivost osetljivih informacija?
Nedovoljna CCTV - Veoma mi je smešno da finansijski sistem koji je spreman da plati nekoliko stotina dolara za jednu kameru nema adekvatno razumevanje dizajna tehničke zaštite. U jednoj banci sam video tako ozbiljnu „slepu tačku” da je odmah treba rešavati. Nekoliko meseci kasnije, problem i dalje postoji, nema reakcije iz sektora bezbednosti, da li znaju za problem?
Nedostaci u sistemu kontrole pristupa - Skoro svaka banka ima fizičke barijere koje sprečavaju neovlašćeni ulazak. Šta se dešava kada ljudski faktor napravi grešku u programiranju? Konkretan primer je nabavka ličnih karata koje omogućavaju pristup. Imamo situaciju da obična lična karta posetioca omogućava prolaz do dela firme gde neovlašćeno lice ne sme da bude samo. Zamislite situaciju da imam uređaj za frekvencijsko kopiranje lične karte koji može da napravi duplikat u jednoj sekundi.
Problem zaposlenih – Nažalost, čest je slučaj da korporativni sektor bezbednosti postoji samo na papiru. Ljudi čuvaju svoje pozicije, ali nemaju adekvatna znanja. Da li neko prati da li je ponašanje zaposlenih u skladu sa bezbednosnim procedurama? Kako je moguće da zaposleni ode u toalet i ostavi ličnu kartu na stolu sa uključenim laptopom?
Problemi se razlikuju od kompanije do kompanije, ali ovo su četiri koje vidim stalno. Podsetimo se da zaštita od socijalnog inženjeringa mora biti proaktivna.
Nažalost, čini mi se da dok ne dođe do ozbiljnog bezbednosnog incidenta, ništa neće biti drugačije.
Autor: Darko Obradović