Uregulowania prawne dotyczące bezpieczeństwa systemów bankowych

Uregulowania prawne dotyczące bezpieczeństwa systemów

bankowych

Prof. Mirosław KutyłowskiWPPT, Politechnika Wrocławska

Mirosław Kutyłowski, CBKE, 2004 2

Skala trudności

• tempo zmian

• stopień skomplikowania

• interdyscyplinarność


Skala trudności

• tempo zmian– podział ról w zakresie stosowania podpisu

elektronicznego: • X.509 → Dyrektywa UE, ustawy krajowe

• SPKI → nie adekwatne do systemu prawnego UE

funkcjonalność,

niskie koszty,

ochrona prywatności


Skala trudności

• stopień skomplikowania – cyfrowe odciski palców (funkcje hashujące, funkcje

skrótu), MD5, SHA-1, RIPEMD-160, …

– Co oznacza „bezkonfliktowość”?


Skala trudności



– Co oznacza „bezkonfliktowość”?– dwa dokumenty nie posiadają tego samego „odcisku”

– dla danego „odcisku” nie można stwierdzić z czego został utworzony (jednokierunkowość)

– Nie można znaleźć dwóch dokumentów o tym samym „odcisku”


Skala trudności



– Co oznacza „bezkonfliktowość”?– dwa dokumenty nie posiadają tego samego „odcisku”

– dla danego „odcisku” nie można stwierdzić z czego został utworzony (jednokierunkowość)

– Nie można znaleźć dwóch dokumentów o tym samym „odcisku”

Wszystko źle!


Skala trudności

• interdyscyplinarność – Umiejscowienie prawne musi de facto być

zintegrowane ze specyfikacją systemu teleinformatycznego.

– Weryfikacja systemu teleinformatycznego musi obejmować zagadnienia prawne.


Aspekty socjologiczne

• Bezpieczeństwo systemów teleinformatycznych musi mieć korzenie socjologiczne– złe doświadczenia z systemem haseł

– konieczność analogii ze światem nieelektronicznym

– trudne do wytłumaczenia zjawiska


Aspekty socjologiczne

• Bezpieczeństwo systemów teleinformatycznych musi mieć korzenie socjologiczne– złe doświadczenia z systemem haseł

– konieczność analogii ze światem nieelektronicznym

– trudne do wytłumaczenia zjawiska • Potoczne rozumienie regulacji


Neutralność technologiczna

• regulacje prawne powinny być stabilne i obowiązywać długo

• wiązanie regulacji z technologią to wymuszanie zacofania


Neutralność technologiczna

• regulacje prawne powinny być stabilne i obowiązywać długo


Koncepcja:

• regulacje prawne nie mają opisywać jak system teleinformatyczny działa


Neutralność technologiczna• regulacje prawne powinny być stabilne i

obowiązywać długo


Koncepcja:

• regulacje prawne nie mają opisywać jak system teleinformatyczny działa

• mają określać jakie cechy systemy muszą spełniać


Strona odpowiedzialna

• Określenie kto za co odpowiada ma podstawowe znaczenie dla architektury teleinformatycznego systemu finansowego

• Słaba wiedza i pozycja klienta wobec instytucji finansowych

• Inwestycje w infrastrukturę bezpieczeństwa muszą być uzasadnione rachunkiem ekonomicznym


Strona odpowiedzialna

• Określenie kto za co odpowiada ma podstawowe znaczenie dla architektury systemu finansowego

• Słaba wiedza i pozycja klienta wobec instytucji finansowych

• Inwestycje w infrastrukturę bezpieczeństwa muszą być uzasadnione rachunkiem ekonomicznym

• Koncepcja: ograniczyć prawnie zakres odpowiedzialności klienta


Specyfika bankowa

• ograniczony horyzont czasowy

• postulowana bezawaryjność

• wirtualność banku -- wartością są dane i niezawodność działania


Nienadążanie za technologią

Rozporządzenie Min. Fin. z 11 sierpnia 2003 - dot. opłat skarbowych

• elektroniczny dowód wpłaty musi być opatrzony bezpiecznym podpisem elektronicznym

• podanie wniesione drogą elektroniczną musi być wydrukowane, musi być nalepiony znaczek, musi być wydrukowany elektroniczny dowód wpłaty wraz z

podpisem elektronicznym





• podanie wniesione drogą elektroniczną musi być wydrukowane, musi być nalepiony znaczek, musi być wydrukowany elektroniczny dowód wpłaty wraz z podpisem elektronicznym





• podanie wniesione drogą elektroniczną musi być wydrukowane, musi być nalepiony znaczek, musi być wydrukowany elektroniczny dowód wpłaty wraz z podpisem elektronicznym

• De facto- rozporządzenie uniemożliwia stosowanie bezpiecznej i taniej technologii


Ustawa o elektronicznych instrumentach płatniczych, 2002

• zmiany w kierunku harmonizacji z UE, implementacja Dyrektywy UE

• zmiana koncepcji w kierunku ograniczenia odpowiedzialności klienta

• Rozdział 4: Usługi bankowości elektronicznej (nie występuje w Dyrektywie)


Ustawa o elektronicznych instrumentach płatniczych, 2002

• zmiany w kierunku harmonizacji z UE, implementacja Dyrektywy UE

• zmiana koncepcji w kierunku ograniczenia odpowiedzialności klienta

• Rozdział 4: Usługi bankowości elektronicznej (nie występuje w Dyrektywie)

diabeł tkwi w szczegółach


Art. 31 Bank, świadcząc usługi na podstawie umowy o usługi

bankowości elektronicznej, obowiązany jest do:

1) zapewnienia posiadaczowi bezpieczeństwa dokonywania operacji, z zachowaniem należytej staranności oraz przy wykorzystaniu właściwych rozwiązań technicznych,

3) niezwłocznego poinformowania o odmowie lub braku możliwości wykonania zleconej operacji z przyczyn niezależnych od banku.


Koncepcja

• Bank ma zapewnić bezpieczeństwo i nie może zrzucić odpowiedzialności na klienta.

• ale w granicach rozsądku ekonomicznego: z zachowaniem należytej staranności oraz przy wykorzystaniu właściwych rozwiązań technicznych,


art. 32

1. Posiadacz jest obowiązany do nieujawniania informacji o działaniu elektronicznego instrumentu płatniczego udostępnionego w ramach umowy o usługi bankowości elektronicznej, których ujawnienie może spowodować brak skuteczności mechanizmów zapewniających bezpieczeństwo zlecanych operacji.

2. Posiadacza obciążają operacje dokonane przez osoby, którym udostępnił informacje, o których mowa w ust. 1. Przepisy art. 28 stosuje się odpowiednio.


Intencje

• Przeciwdziałanie udostępnianiu haseł, PIN-ów, haseł jednorazowych … (instrumenty uwierzytelniania oparte na WIEDZY posiadacza)

• Ujawnienie tych informacji – konsekwencje finansowe ponosi ujawniający.


Druga strona medalu

• Banki właściwie nigdy nie przyznają się, że ich systemy posiadają luki.


Druga strona medalu


• Każdy duży, skomplikowany system informatyczny ma luki.


Druga strona medalu



• Konserwacja systemów – odkrywanie luk i ich łatanie.


Druga strona medalu



• Konserwacja systemów – odkrywanie luk i ich łatanie.

• Badanie bezpieczeństwa – publicznie, tajność budowy wpływa negatywnie na bezpieczeństwo


Konsekwencje art. 32

Ujawnienie słabości systemu powoduje przejęcie odpowiedzialności finansowej za jego błędne działanie.

Brak możliwości ujawnienia tych informacji nie pozwala wywrzeć nacisku w celu poprawienia systemu.


Instytucja pieniądza elektronicznego

• Zadanie: wystawianie „pieniądza elektronicznego” (wykorzystywany do drobnych płatności przy pomocy elektronicznych portmonetek – opłaty parkingowe, opłaty za przejazd, …)

• Poważna odpowiedzialność, więc ograniczenia – tylko wiarygodne podmioty mogą się tym zajmować.


Ustawowa koncepcja wiarygodności

Art. 37.

1. Założycielami instytucji pieniądza elektronicznego w formie spółki akcyjnej mogą być osoby prawne lub fizyczne, z tym że założycieli nie może być mniej niż 3.


Ustawowa koncepcja wiarygodności

Art. 38. 1 Akcje instytucji pieniądza elektronicznego mogą być

obejmowane jedynie za wkłady pieniężne. 2 Obejmowane akcje muszą być w całości pokryte przed

zarejestrowaniem spółki lub podwyższeniem kapitału spółki.

3. Przedstawiony przez założycieli plan działalności instytucji pieniądza elektronicznego na okres co najmniej 3 lat powinien wskazywać, że instytucja ta będzie w stanie wywiązywać się ze swoich zobowiązań wobec klientów.


Nadzór

Art. 42. Celem nadzoru nad instytucjami pieniądza elektronicznego

jest zapewnienie: 1) wywiązywania się przez instytucje pieniądza

elektronicznego z zobowiązań podjętych w wyniku wydawania pieniądza elektronicznego,

2) zgodności działalności instytucji pieniądza elektronicznego z przepisami ustawy, statutem, decyzją o wydaniu zezwolenia na utworzenie i prowadzenie działalności oraz innymi decyzjami i przepisami wydanymi na podstawie ustawy.


NadzórArt. 43.1

W ramach nadzoru KNB może zalecić w szczególności:

1) podjęcie środków koniecznych do zapewnienia właściwego poziomu ochrony interesów klientów instytucji pieniądza elektronicznego,

2) podjęcie środków koniecznych do osiągnięcia i przestrzegania norm, o których mowa w ustawie oraz w rozporządzeniu wydanym na podstawie art. 48,

3) zwiększenie funduszy własnych.


NadzórArt. 43.1

W ramach nadzoru KNB może zalecić w szczególności:

1) podjęcie środków koniecznych do zapewnienia właściwego poziomu ochrony interesów klientów instytucji pieniądza elektronicznego,

2) podjęcie środków koniecznych do osiągnięcia i przestrzegania norm, o których mowa w ustawie oraz w rozporządzeniu wydanym na podstawie art. 48, (rozporządzenie nie dotyczy technologii, w ustawie nie ma mowy o normach przemysłowych)

3) zwiększenie funduszy własnych.


Nadzór

Art. 43 3. Czynności kontrolne podejmowane są przez inspektorów

nadzoru bankowego po okazaniu upoważnienia wydanego przez Generalnego Inspektora Nadzoru Bankowego.

4. Czynności, o których mowa w ust. 3, mogą być wykonywane ponadto przez upoważnionych biegłych rewidentów po okazaniu upoważnienia wydanego przez Generalnego Inspektora Nadzoru Bankowego.


Nadzór technologiczny

• bardzo specjalistyczna wiedza

• wymaga specjalistycznych firm, laboratoriów, …

• dla KNB jest to zadanie praktycznie niewykonalne


Instrumenty pieniądza elektronicznego (hardware)

Art. 57. Umowa o instrument pieniądza elektronicznego nie może ograniczyć odpowiedzialności banku lub instytucji pieniądza elektronicznego wobec posiadacza za utratę pieniądza elektronicznego lub szkodę wynikłą wskutek nieprawidłowego wykonania operacji zleconych przez posiadacza, jeżeli przyczyną utraty pieniądza elektronicznego lub nieprawidłowego wykonania operacji będzie wadliwe funkcjonowanie urządzenia, na którego używanie bank lub instytucja pieniądza elektronicznego wyraziły zgodę.



Art. 58. 1. Instrument pieniądza elektronicznego udostępniony posiadaczowi powinien posiadać mechanizm uniemożliwiający przechowywanie pieniądza elektronicznego o wartości większej niż równowartość w złotych 150 euro obliczana według średniego kursu ogłaszanego przez NBP obowiązującego w dniu wydania.



Art. 58. 1. Instrument pieniądza elektronicznego udostępniony posiadaczowi powinien posiadać mechanizm uniemożliwiający przechowywanie pieniądza elektronicznego o wartości większej niż równowartość w złotych 150 euro obliczana według średniego kursu ogłaszanego przez NBP obowiązującego w dniu wydania.


Elektroniczny dokument bankowy

• ROZPORZĄDZENIE RADY MINISTRÓW, 25.02. 2003, Dz. U. Nr 51, poz. 442

• Rozporządzenie określa zasady tworzenia, utrwalania, przechowywania i zabezpieczania, w tym przy zastosowaniu podpisu elektronicznego, dokumentów związanych z czynnościami bankowymi, sporządzanych na elektronicznych nośnikach informacji.


Koncepcja „podpisu”

• "podpisaniu" - należy przez to rozumieć czynność polegają na:

a) złożeniu bezpiecznego podpisu elektronicznego lubb) złożeniu podpisu elektronicznego lub dołączeniu danych

identyfikujących, zgodnie z umową stron, a w przypadku dokumentów wewnętrznych banku - zgodnie z jego uregulowaniami wewnętrznymi;

Podpis wg rozporządzenia to coś innego niż podpis w

sensie innych przepisów.


Koncepcja „integralności”

• "integralności dokumentu" - należy przez to rozumieć właściwość polegającą na tym, że zawartość dokumentu

nie uległa zmianie od chwili jego utworzenia;


Warunki

§ 5. 1. Utrwalenie dokumentu polega na jego zapisaniu na elektronicznym nośniku informacji w sposób zapewniający sprawdzenie jego integralności i możliwość odczytania wszystkich informacji zawartych w tym dokumencie, aż do zakończenia okresu przechowywania dokumentu. Zachowanie integralności dokumentu można zapewnić w szczególności przez zapisanie go na elektronicznym nośniku informacji, na którym nie można dokonać żadnej zmiany w zapisie bez zniszczenia nośnika.


Strona praktyczna

Zapewnienie niemożności manipulacji dokumentu elektronicznego:

• specjalny nośnik

• podpis elektroniczny

• kody MAC (ale strona tworząca MAC może manipulować i tylko ona może weryfikować)


Zastosowanie bezpiecznego podpisu elektronicznego

§ 5. 2. W przypadku stosowania podpisu elektronicznego dokument należy utrwalić wraz z całą ścieżką certyfikacji zawierającą certyfikat i zaświadczenia certyfikacyjne oraz ze wszystkimi listami zawieszonych lub unieważnionych certyfikatów użytymi w celu weryfikacji podpisu elektronicznego.


Zastosowanie bezpiecznego podpisu elektronicznego

§ 5. 2. W przypadku stosowania podpisu elektronicznego dokument należy utrwalić wraz z całą ścieżką certyfikacji zawierającą certyfikat i zaświadczenia certyfikacyjne oraz ze wszystkimi listami zawieszonych lub unieważnionych certyfikatów użytymi w celu weryfikacji podpisu elektronicznego.

Implementacja co prawda możliwa, ale droga i zupełnie niepraktyczna.

Czy celem było wyeliminowanie stosowania bezpiecznego podpisu elektronicznego?


Dziękuję za uwagę

Kontakt:

• Miroslaw . Kutylowski @ pwr. wroc. pl

• http://kutylowski.im.pwr.wroc.pl

Documents

Uregulowania prawne dotyczące bezpieczeństwa systemów bankowych