Nařízení DORA přináší požadavky pro celý finanční sektor (např. banky, pojišťovny, poskytovatelé platebních služeb nebo i poskytovatelé služeb spojených s virtuálními aktivy), ať již v oblasti řádného řízení IT rizik, testování systémů, vztahů s dodavateli řešení (vč. požadavků na obsah outsourcingových smluv) apod. Evropská unie si stanovila za cíl do roku 2024 digitálně transformovat finanční sektor. Aby toho bylo řádně dosaženo, je součástí priorit bezpečnost digitální finanční infrastruktury a služeb. Tu má zajistit zejména nové nařízení DORA – nařízení o digitální provozní odolnosti. V rámci příspěvku probereme strukturu nařízení a rozebereme povinnosti, které chce návrh do finančního sektoru přinést.

V roce 2020 bylo globálně odcizeno 1,8 miliardy uživatelských jmen a hesel. Pro prolomení do účtů uživatelů útočníci používají automatizační nástroje, botnety nebo nástroje pro manuální fraud. Cílem je napodobit zařízení legitimního uživatele a jeho chování, úspěšně prorazit existující kyberochranu a převzít účet uživatele. MFA, vyžadovaná PSD2, je navíc prolomitelná ať už pomocí malwaru v telefonu nebo díky sociálnímu inženýrství. Na prezentaci se dozvíte, jak chránit vaše aplikace před finančním fraudem, jak využít behaviorální biometriku a TRA (Transation risk analysis) pro silnou autentizaci uživatelů a jejich transakcí, jak zabezpečit API a tím komunikaci s agregátory a fintech společnostmi. A v neposlední řadě jak získat přehled o struktuře provozu a útocích a také jak zlepšit uživatelskou zkušenost.

Základním kamenem kyberbezpečnosti organizace je zajištění digitální identity svých zaměstnanců. Tím se myslí především zajištění bezpečného, multifaktorového přihlášení do počítačů, systémů a cloudů se silným šifrováním. Dalším úkolem je ochrana samotné infrastruktury a identity jednotlivých prvků. Tyto problémy řeší technologie Public Key Infrastructure, doplněná o nástavbové moduly pro řízení digitálních certifikátů. Toto řešení bylo implementováno uvnitř největších českých bank a pomáhá jim chránit jejich kyberprostor.

Proces riadenia incidentov už dávno nie je len o odstránení incident. Je to proces, ktorý zahŕňa analýzu, obranu a vyriešenie incidentu, zahŕňajúc aj ďalšie procesy. Príkladom procesov, ktoré musia kooperovať s Bezpečnostným incident manažmentom je komunikácia do vnútra firmy a na klientov, zahrnutie BCM a Disaster recover procedúru. Prednáška vám predstaví špecifický USE CASE zabehaný v Tatra banke, a.s. s ohľadom a s príkladmi z reálneho prostredia.

Služby BankID mohou firmy využívat od 1.6. a za těch pár měsíců více jak 50 firem začalo tyto služby využívat. V přednášce si řekneme co jsou ty nejčastější scénáře využití BankID, s čím se firmy nejvíce potýkají a naopak co si vychvalují. Neopomeneme ani veřejnou správu, kde využití bankovní identity má stále více scénářů.