Cadrul normativ pentru securitate informatică in OBR

Controlul accesului

Managementul corect al parolelor

Inginerie socială

Phishing si spearphishing

Malware

Ransomware

Gestionare incidente

Accesul vizitatorilor și politica biroului curat

Clasificarea informațiilor

Protecția datelor

Utilizarea accesului la internet

Principalele reglementari interne privind securitatea informatică în cadrul OTP Bank România:

• Politica de securitate in cadrul OBR• Norma interna de securitate bancara in cadrul OBR• Politica de Utilizare Acceptabilă a Resurselor Informatice (Anexa 4)

Aceste documente sunt localizate pe portalul intern, la secțiunea GROW – Reglementări – Direcția Securitate Bancară, iar continuțul lor poate fiaccesat de către orice angajat OBR.

O bună înțelegere a politicilor și procedurilor de securitate a informațiilor ajută la protejarea persoanelor de a fi victime ale incidentelor de securitate,

oferă o înțelegere a pașilor de urmat în cazul unui incident de securitate și ajută la înțelegerea nivelurilor de responsbilitate.

Nota: Nerespectarea acestor reglementari de către oricare angajat al băncii implică riscuri de securitate la adresa mediului informatic și poate atrage

implicit sancțiuni de partea angajatului respectiv.

Fiecare angajat are răspunderea de a se informa și respecta normele de securitate informatică ale băncii

Actele sau faptele care încalcă aceste norme nu trebuiesc ascunse sau trecute cu vederea

Tineți cont de aceste două principii atunci când solicitați accesul la resurse dar și atunci când plecați în concediu sau delegație și lăsați responsabilitățile unui înlocuitor

Nu solicitați privilegii mai elevate dacă activitatea pe care o desfășurați nu necesită astfel de privilegii

Principii:

• Principiul “separarii responsabilitatii” – presupune evitarea conflictelor de interese prin partajarea responsabilitatilor aparute in desfasurarea activitatii

profesionale, intre angajatii bancii.

• Principiul “celui mai mic privilegiu” – intr-un mediu de calcul, fiecare modul (cum ar fi un proces, un utilizator sau un program) trebuie să

poata accesa numai acele informatii si resurse care ii sunt necesare pentru un scop legitim in desfasurarea activitatii

Ce trebuie să faci pentru a obține acces?

Cerere acces la resurse IT – Prin postarea unui formular electronic Formulare electronice - Home sau prin completarea Anexei 2 (Cerere acces la resurse IT), se

pot acorda drepturi cum ar fi:

• acces la baze de date

• acces pe servere de aplicatie

• acces la fisiere de loguri

• acces de la distanta la reteaua bancii

• acces permanent la periferice

Formulare electronice (drepturi de acces) - aplicație informatică pentru automatizarea procesării cererilor;

In cazul în care se doresc drepturi in aplicațiile integrate cu Active Directory se va completa formularul <Cerere Modificare drepturi non AbSolut>

Rețineți!

Conectarea de la distanţă la resurse IT

- se vor conecta de la distanţă folosind doar echipamentele proprietate a băncii și aflate în dotarea lor (laptop, token, modem, smartphone);

- echipamentele mobile nu se vor lăsa nesupravegheate, dacă nu se poate asigura protecţia acestora

- Consultati Procedura privind accesul de la distanta la resursele informatice ale bancii pentru mai multe detalii

Dispozitive mobile - Utilizarea dispozitivelor portabile este restrânsă doar la activităţile de serviciu iar utilizatorii trebuie să fie conştienţi şi să accepte termenii şi

condiţiile de folosire, îndeosebi responsabilităţile privind securitatea informaţiilor stocate pe asemenea dispozitive și să evite:

• furtul dispozitivelor mobile

• divulgarea datelor stocate pe dispozitivele mobile

• accesul neautorizat

Cine este un utilizator

privilegiat?

Consultați - Securitatea informatică în cadrul OTP Bank România - Ghidul de management al parolelor -Anexa 3.

Parola reprezintă prima linie de apărare și cel mai sensibil element în cadrul unui sistem de securitate sigur si robust.

Parola:

• NU se comunică nimănui

• NU este solicitată niciodată de către personalul IT/SUPORT/SECURITATE

• NU se notează

• NU se utilizează atunci când poate fi ușor observată de alte persoane

PAROLA trebuie să fie una complexă și sa indeplinească urmatoarele condiții:

• are minim 8 caractere;

• nu conține date despre utilizator (nume, prenume, porecle, data nașterii, etc.), și nu este derivată din acestea;

• conține litere mici, litere mari, spații și caractere speciale (precum !@#$%^&*()[];’,./?<>:”{});

• se schimbă des

• este diferită pentru fiecare cont

Rețineți!

• Utilizatorii sunt responsabili și pot fi traşi la răspundere referitor la asigurarea confidențialității propriilor credențiale de identificare și autentificare

• Utilizatorul trebuie să efectueze schimbarea obligatorie a parolei cel târziu la expirarea perioadei stabilită de documentul actual de reglementare,

respectiv în cazul în care utilizatorul bănuieşte că parola i-a fost compromisă într-un fel sau altul și a ajuns la o persoană neautorizată

Ce este ingineria socială?

Manipularea oamenilor pentru a livra informații sau pentru a intreprinde anumite acțiuni

sau totalitatea acțiunilor care speculează slăbiciunea umană in scopul obținerii a

diverse informații.

De multe ori, pentru un atacator, încercarea de a păcăli oamenii pentru a fura informații

secrete sau a îi determina să facă ceva, este mai ușor decât să pătrundă in

infrastructura IT.

Nu deveni o victimă!

În timp ce atacurile sunt tot mai agresive, de scurtă durată, și au nevoie de doar câțiva

utilizatori pentru o campanie de succes, există metode pentru a vă proteja. Cele mai

multe nu necesită mult mai mult decât pur și simplu să acordați o atenție la detalii.

Aminți-vă următoarele sfaturi pentru a evita sa devenți o victimă:

- nu vă grăbiți – atacatorii doresc să actionați intâi și să gândiți mai târziu. În cazul în

care mesajul transmite un sentiment de urgență sau utilizează tactici sub presiune,

fiți sceptici; Nu lăsați niciodată urgența să vă influențeze deciziile.

- fiți suspicios cu privire la mesajele nesolicitate - în cazul în care un e-mail arata că

este de la o companie cunoscută, faceți propria cercetare. Utilizați un motor de

căutare pentru a merge pe site-ul companiei reale pentru a verifica informațiile.

- nu accesați link-uri din surse necunoscute sau suspicioase – folosiți cursorul

mouse-ului pentru a naviga deasupra linkului din mesaj și verificați link-ul

destinație.

- feriți-vă de orice download - Dacă nu știți personal expeditorul sau nu așteptați un

fișier de la acesta, nu descărcați nimic pe calculatorul dvs.

- ofertele false - Dacă primiți un e-mail de la o loterie străină sau tombolă, bani de la

o rudă necunoscută, sau cereri de a transfera fonduri dintr-o țară străină pentru o

parte din bani, este garantat a fi o înșelătorie.

- nu distribuiți informații sensibile (personale, confidențiale, de serviciu) pe rețelele

de socializare

OAMENII SUNT VERIGA CEA MAI SLABA

DIN LANTUL DE SECURITATE

Infractorilor li se pare mai ușor să

exploateze încrederea unei persoane decât

să pătrundă într-un sistem securizat

Cine este cel mai susceptibil?

Angajat nou

Subcontractor

Personal HR

Sef de departament

Personal IT

CELE MAI MULTE INSELATORII

FOLOSESC O METODA IN 4 PASI

1. Colectarea de informatii

2. Dezvoltarea relatiilor

3. Exploatare

4. Executie

ATACURI COMUNE DE INGINERIE SOCIALA

Phishing si Spear Phising

Telefon sau email de la cinevacare pretinde a fi intr-o pozitie

de autoritate si care solicitainformatii confidentiale cum ar

fi o parola, sau trimiterea de email-uri ce contin malware catre contactele organizatiei

vizate

Vishing si Smishing

Atacatorii conving victimeleprin telefon sau SMS sa

predea detalii personale sausa transfere bani

Tailgating/Piggybacking

Atacatorii obtin accesneautorizat in sediile

companiei urmandindeaproape un angajat

care intra in sediu

Pretexting

Atacatorulfoloseste un motiv credibil pentru a

impersona o autoritate, un coleg, repreentant IT sauun furnizor in scopul de a

aduna informatiiconfidentiale sau alte date

sensibile

Quid Pro Quo

Atacator face apeluritelefonice aleatorii siofera un cadou sau

beneficiu in schimbul uneiactiuni specifice sau

informatii

Baiting

Implica frecvent un dispozitivinfectat cu malware, cum ar fi un USB sau CD/DVD lasat intr-o locatie unde angajatul le vagasi si apoi din curiozitate vaincarca dispozitivul infectat in

computerul lor

Phishing-ul este o metodă de furt de identitate prin care se incearcă obținerea unor date personale sau confidențiale

Pentru aflarea lor, atacurile de phishing se folosesc de un canal electronic de comunicație (e-mail, telefon) sau de un program rău intenționat,care exploateaza vulnerabilitătile sistemului pentru a fura date.

Ce urmăresc atacatorii?

• să păcălească victimele să acceseze o pagină web falsă cu scopul de a obține date cu caracter personal (user, parolă, telefon, email, etc).

• să păcălească victimele să descarce și să instaleze software malițios - acest software poate fi un ransomware sau poate fura date sensibile

de pe calculatorul dvs. (parole, carduri de credit, PIN, etc)

• stabilirea unei relații de incredere cu victima pe o durată mai lungă de timp, folosind conturi false de social media, email-uri sau alte

mijloace prin care pot câștiga increderea victimei și a o determina să desfașoare o anumită acțiune sau inacțiune

Spear Phishing - atacuri phishing direcționate

O înșelătorie spear phishing este un tip de fraudă care poate lua mai

multe forme. Aceste înșelătorii nu folosesc doar diverse tehnici online,

cum ar fi e-mailuri false și reclame pop-up, ci pot include chiar și apeluri

telefonice.

Modul în care funcționează: un e-mail sosește, aparent de la o sursă

de încredere, dar în schimb conduce destinatarul către un site web fals

plin de malware iar utilizatorul este indemnat sa descarce un fișier sau

aplicație, ce va permite atacatorului să infecteze sistemul țintă.

Cum ne protejăm împotriva atacurilor de tip phishing si spear

phising?

• nu faceți click pe link-uri sau descărcați orice atașamente din email-

uri suspecte

• fiți vigilenți și fiți atenți – atacatorii pot utiliza logo-ul companiei reale

pentru a induce în eroare victima pentru a părea o comunicare

legitimă

• atacatorii folosesc, de asemenea, adrese de e-mail falsificate, care

sunt similare cu adresa companiei reale. Cu toate acestea, adresa

poate fi scrisă greșit, verificați cu atenție detaliile expeditorului

(adresa e-mail, domeniu)

Dacă ați identificat un mesaj de tip phishing NU accesați linkurile și NU deschideți fișierele atașate

Dacă ați observat un mesaj suspect, și nu sunteți sigur dacă este legitim sau nu, contactați Departamentul Securitate IT (it.security@otpbank.ro) sau raportati mesajul folosing butonul Report Phishing din Outlook

9. Hacker-ul folosește backdoor-ul pt a fura informații

1. Un hacker tinteste o

companie. Folosind

retelele sociale sau alte

date disponibile pe

internet, el gaseste

angajații cu acces la datele si sistemele companiei

2. Folosind informatiile de pe

retelele de socializare,

identifica si alte persoane pe

care angajatul le cunoaste

3. O adresa de email falsa,

dar asemanatoare este

creata pentru a impersona

rolul unui coleg sau sef

4. Un email personalizat continand un

link sau atasament de la o adresa falsa

este trimis catre angajatul tinta

5. Emailul trece de filtrul

de SPAM si ajunge in

inboxul angajatului

6. Emailul este deschis deoarececunoaste expeditorul

7. Este accesat linkul sau este

deschis documentul atasat

8a. Site-ul deschis cauzeaza furtul

credentialelor sau un malware

este instalat

8b. Atasamentul deschis

instaleaza un malware care

infecteaza sistemul

Desfasurarea unuiatac spear phishing

Tipuri de malware• Viruși - acest tip de malware va distribui copii de sine, folosind orice mijloace pentru a se răspândi

• Viermi - este un software independent care se reproduce fără direcționare și infectează fișierele specifice care sunt deja prezente pe computer

• Cai troieni - un troian este un program rău intenționat care se reconstituie ca fiind util pentru utilizator

• Rootkit - un rootkit este o colectie de software special conceput pentru a permite aplicațiilor de tip malware care colectează informații acces în computer

• Ransomware - blochează accesul la datele unei victime, amenințând fie să le publice, fie să le șteargă până când se plătește o răscumpărare. Mai rău însă, nu există nici o garanție că

plata unei răscumpărări va returna accesul la date, sau va preveni ștergerea acestora de către atacator.

• Keyloggers - software care înregistrează toate informațiile care sunt tastate si stochează informațiile colectate și le trimite la atacator, care poate extrage apoi informații sensibile cum

ar fi numele de utilizator și parole, precum și detaliile cardului de credit.

• Adware – se manifestă de obicei prin anunțuri sub formă de popup-uri și ferestre care nu pot fi închise, si care prezinta aplicatii malițioase

• Spyware - este software-ul care în mod constant spionează/aduna informații despre o organizație și trimite aceste informații la o altă entitate, fără consimțământul victimei

Programele malițioase (Malware) reprezintă o categorie de aplicații proiectate să intrerupă sau să blocheze anumite operații, să obțina informații ce pot provoca pierderea confidentialității,

integrității sau disponibilității datelor sau să obtină acces neautorizat la anumite resurse informatice.

Răspândirea programelor malware

Programele malware pot fi instalate pe computer în mai multe moduri. Iată câteva exemple frecvente:

• descărcarea de pe internet a unor programe software gratuite care conțin, în secret, programe malware;

• descărcarea unor programe legitime care, în secret, vin la pachet cu programe malware;

• accesarea unui site infectat cu programe malware;

• click-ul pe un mesaj de eroare fals sau pe o fereastră de tip pop-up falsă, care duce la descărcarea unui program malware;

• deschiderea unui fișier atașat la e-mail care conține programe malware.

• conectarea unui dispozitiv mobil infectat in calculator (stick USB, CD/DVD, HDD extern)

Cum ne protejăm?

• Computerul și aplicațiile software trebuie să fie actualizate

• Dați dovadă de precauție când dați click pe linkuri sau descărcați ceva

• Fiți precaut când doriți să deschideți fișiere atașate la e-mailuri

• Fiți atenți la atașamentele criptate sau parolate primite pe e-mail dacă sunt dintr-o sursă necunoscută

• Nu aveți încredere în ferestrele de tip pop-up care vă solicită să descărcați programe software

Dacă ați observat un mesaj suspect, și nu sunteți sigur dacă este legitim sau nu, contactați Departamentul Securitate IT (it.security@otpbank.ro) sau raportati mesajul folosing butonul Report Phishing din Outlook

Ce este un atac ransomware?

Ransomware - blochează accesul la datele unei victime, amenințând fie să le publice, fie să le șteargă

până când se plătește o răscumpărare.

Cum te poți infecta cu un Ransomware?

• e-mail - descarcarea de atasamente malițioase deghizate în documente legitime (ex. factură, extras,

etc)

• click pe link-uri cu conținut malițios

Ce se intâmplă după ce ești infectat?

• criptează datele și solicită plata unei răscumparări in criptomonedă (de obicei Bitcoin) pentru

furnizarea cheilor de decriptare

• în funcție de versiune poate încerca să se răspândească în rețea, mărind astfel impactul negativ

asupra organizației

Ce faci când te infectezi?

• opriți imediat calculatorul, deconectați-l de la rețea si anunțați IT Security

• SFAT PENTRU ACASA! - păstrați fișierele criptate, s-ar putea sa fie posibil sa fie decriptate mai

târziu ( luni, ani).

A plăti sau a nu plăti pentru recuperarea fișierelor?

• nu există nici o garanție că plata unei răscumpărări va returna accesul la date, sau va preveni

ștergerea acestora de către atacator

Cum iți poți proteja fișierele împotriva acestor atacuri?

NU poți evita astfel de atacuri, dar poți lua o serie de măsuri de prevenție generală:

• Backups (copii de siguranță) – asigurați-vă ca fișierele importante sunt salvate pe directoarele de

rețea specifice departamentului) ATENȚIE – fișierele de pe stația locală nu sunt incluse in politica

de backup OBR

• nu deschideți atașamente si nu faceți click pe link-uri suspicioase sau din surse necunoscute

• ACASA puteți folosi un HDD extern pentru salvarea periodica a documentelor dvs. importante

• aplicați actualizările de securitate

Gestionare incidente

Incidentul de securitate reprezintă o schimbare defavorabilă în securitatea sistemului informatic, în urma căreia confidenţialitatea,integritatea, autenticitatea sau disponibilitatea datelor administrate în sistemul informatic s-a deteriorat sau poate fi deteriorată.

Toți angajatii băncii sunt responsabili pentru raportarea promptă a incidentelor de securitate cunoscute sau suspectate, inclusiv “slăbiciuni”observate sau suspectate în sistemele sau serviciile OBR, prin telefon, e-mail, sau personal, catre Departamentul de Securitate IT(it.security@otpbank.ro) sau către serviciul de Suport IT (suport.it@otpbank.ro).

La momentul raportării incidentului, angajatul trebuie să furnizeze următoarele informații:

• nume, prenume, nr. de telefon, și departamentul din care face parte

• descrierea incidentului de securitate cu cât mai multe detalii posibil

• data și ora depistării activitații suspecte

• dovada activității suspecte (jurnale de sistem / aplicație, mesaje de SPAM primite, antetul complet în cazul unor mesaje de mail suspecte,mesaje de hărtuire / amenințare, etc).

Gestionare incidente

Incidentele de securitate cu privire la datele cu caracter personal

În cazul în care are loc o încălcare a securității datelor cu caracter personal, banca notifică acest lucru ANSPDCP, în termen de max. 72 de ore de la data la care

a luat cunoștință de aceasta, cu excepția cazului când încălcarea nu generează un risc pentru drepturile și libertățile persoanelor fizice.

Notificarea trebuie sa conțină cel puțin urmatoarele aspecte:

- descrierea caracterului încălcării securității datelor cu caracter personal

- categoriile și numărul aproximativ al persoanelor vizate în cauză

- categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză

- numele și datele de contact ale responsabilului cu protecția datelor

- consecințele probabile ale încălcării securității datelor cu caracter personal

- măsurile luate sau propuse spre a fi luate de banca pentru a remedia problema încălcării securității datelor cu caracter personal si pentru atenuarea

eventualelor sale efecte negative.

Daca încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor vizate, operatorul

informează persoana vizată fără întârzieri nejustificate.

Informarea transmisă persoanei vizate va include:

numele și datele de contact ale DPO

consecințele probabile ale încălcării securității datelor cu caracter personal

măsurile luate sau propuse spre a fi luate de banca

• O atenție deosebită va fi acordată vizitatorilor. Aceștia nu

trebuiesc lăsați nesupravegheați în incinta băncii și trebuie

să vă asigurați că nu expuneți informații sensibile în prezența

persoanelor neautorizate (Informațiile de pe monitor, parola,

documente listate la imprimantă, etc).

• Verificați ca la plecare să închideți sistemele informatice,

documentele, dispozitivele token, cheile de criptare

hardware, etc. în fișete, si să nu fie păstrate pe birou sau în

alte spații nesecurizate.

Accesul vizitatorilor și politica “Biroului Curat”

Conform normei interne de Protectie a Informațiilor in cadrul OTP Bank România, informațiile sunt clasificate pe 4 nivele:

• public• uz intern• secret profesional• secret de serviciu (eticheta se va utiliza doar pentru documentele letrice)

Pentru a încadra corect o informație în una din cele 4 categorii sus-menționate, se va consulta nomenclatorul aflat pe pagina de intranet la sectiunea:

Reglementari interne – Directia Securitate Bancara – Protectia informatiilor in cadrul OBR (N028/2016)

Clasificarea informațiilor

Transmiterea informatiilor clasificate:

• informațiile publice pot fi trimise in mod liber fară restricții, indiferent de destinatar

• este interzisa scoatere din banca a documentelor de uz intern, secret profesional, secret de serviciu fara un scop legitim precum indeplinirea atributiilor de serviciu.

Protecția datelor

Atribuțiile personalului băncii

Responsabilitatile SALARIATILOR :

- sa respecte Politica OBR pentru prelucrarea și protecția datelor cu caracter personal

- să acceseze și să proceseze numai informații care conțin date cu caracter personal necesare îndeplinirii sarcinilor lor

- să informeze și să consulte DPO (Responsabil/Ofiter protectia datelor), cu privire la orice subiect care are impact asupra prelucrarii datelor

personale

Responsabilitatile DIRECTORILOR si SEFILOR DE DEPARTAMENT :

- se asigura că angajații aflați în coordonarea lor accesează numai informații care conțin date cu caracter personal necesare îndeplinirii

sarcinilor lor și procesează date cu caracter personal în conformitate cu Politica OBR pentru prelucrarea și protecția datelor cu caracter

personal

- se asigura că regulile de arhivare sunt respectate în cadrul direcției / departamentului coordonat

Administratorii de date cu caracter personal (Data Stewards):

- desemnati la nivelul unitatilor organizatorice ale bancii

- informeaza DPO cu privire la activități / proiecte / colaborări care implică prelucrarea datelor cu caracter personal

- acorda suport DPO în desfasurarea activitatilor sale

Conformitatea cu protecția datelor cu caracter personal este responsabilitatea fiecarui angajat al bancii

Protecția datelor

DATE CU

CARACTER

PERSONAL

- orice informație referitoare la o persoană fizică identificată sau identificabilă (persoana vizata)

- informatii de orice natura si cu orice continut, stocate in orice format si pe orice mediu

(date din documentele de identitate, informatii financiare sau medicale, orientari politice, sexuale, culturale sau

religioase etc.)

PERSOANĂ

VIZATĂ

- persoana fizica identificată sau identificabilă la care se referă datele cu caracter personal

- persoana identificabila – persoana care nu este clar delimitata, insa identificarea sa este posibila

In mod direct - prin nume, CNP, numar de la masina, numar de telefon etc.

In mod indirect - prin combinarea mai multor elemente de identificare

(fie ca sunt toate detinute de catre operatorul de date sau nu)

PRELUCRARE - colectarea

- organizarea, structurarea

- stocarea

- adaptarea sau modificarea

- extragerea, consultarea, utilizarea

- divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod

- alinerea sau combinarea

- restricţionarea

- ştergerea sau distrugerea

CREAREA DE

PROFILURI

- prelucrare automată a datelor cu caracter personal

- evaluarea anumitor aspecte referitoare la persoanele fizice (performanţa la serviciu, situaţia economică, starea

de sănătate, preferinţele personale, interesele, comportamentul, locul unde se află sau deplasările)

Accesul la “Internet” se face doar în scop de business și este monitorizat de către administratorii de sistem/rețeași ofițerii de securitate.

Persoanele care au acces la internet trebuie să fie conștiente de pericolele prezente în această rețea și să nu seangajeze în activități care pot pune în pericol rețeaua băncii.

Utilizarea accesului la internet

Activități interzise:

• toate activitățile considerate ilegale conform legislației în vigoare

• copierea neautorizată de materiale supuse legii copyright-ului

• traficul materialelor cu conotatie sexuală, rasistă sau xenofobă

• transferul și instalarea de aplicații neautorizate pe sistemele băncii

• transferul informațiilor confidențiale sau de uz intern fără autorizație

• jocurile on-line