Instytucje finansowe w Polsce są dobrze przygotowane do odpierania cyberataków – wynika z raportu CyberExe 2015. To sprawdziany organizowane przez Fundację Bezpieczna Cyberprzestrzeń, Deloitte i Rządowe Centrum Bezpieczeństwa. Dwa lata temu dla banków, rok temu dla telekomów, a w 2015 r. – dla instytucji finansowych – pięciu banków i dwóch ubezpieczycieli.

Reklama

– Kryzys zaczyna się wtedy, gdy kończą się procedury. Celem ćwiczenia było sprawdzenie, jak w momencie cyberataku działają obecne procedury, oraz jak poradzi sobie instytucja, gdy atak wykroczy poza te ramy – mówi Jakub Bojanowski, partner w Deloitte Polska.

– Generalnie rzecz biorąc, instytucje finansowe przygotowane są lepiej niż dwa lata temu. Widać znaczący postęp, zwłaszcza w obszarze miękkich kompetencji w zarządzaniu kryzysowym, np. w obszarze przepływu informacji między osobami zaangażowanymi w odparcie ataku – twierdzi Jakub Bojanowski.

Reklama

Zarządy firm biorących udział w sprawdzianie wiedziały, kiedy nastąpi pozorowany atak. To one decydowały, czy uprzedzą pracowników wcześniej, czy w momencie ataku. „Hakerzy” mieli jego scenariusz. W kodzie źródłowym aplikacji odpowiedzialnej za główne procesy firmy zaszyli fragment złośliwego oprogramowania. Pracownicy musieli dociec, co i gdzie się stało oraz jak temu zaradzić. Do banku zgłaszał się też szantażysta – oferował, że za opłatą wskaże fragment złośliwego kodu.

Drugi atak polegał na rozesłaniu pracownikom instytucji złośliwego oprogramowania, by zaszyfrować dyski ich służbowych komputerów. I znów – żądanie okupu w bitcoinach w zamian za zdjęcie blokady.

Reklama

O tym, jak może zaboleć szantaż, przekonał się w zeszłym roku Plus Bank. Haker „Polsilver” wykradł dane klientów i próbował wyłudzić kilkaset tysięcy złotych. Bank się nie złamał, a haker wpadł w ręce policji, ale sam fakt kradzieży naruszył zaufanie klientów.

Podczas ćwiczeń przed dwoma laty wszystkie banki zdecydowały, że nie ugną się przed szantażystą, a negocjacje prowadziły, by kupić sobie trochę czasu. Wówczas ćwiczenie ujawniło pewną lukę w procedurach. Nie było wiadomo, kto w okresie kryzysowym ma uprawnienia do podjęcia decyzji – płacimy lub nie.

– W mojej ocenie negocjacje z szantażystą wypadły lepiej niż przed dwoma laty. Widać, że od tamtego czasu w instytucjach finansowych poświęcono uwagę temu zagadnieniu – ocenia Mirosław Maj, prezes i założyciel Fundacji Bezpieczna Cyberprzestrzeń. Podkreśla jednak, że dużo zależy od współpracy instytucji z organami ścigania, a te nie brały udziału w ćwiczeniach. – Planujemy zorganizować spotkanie dla instytucji finansowych i organów ścigania, by wypracować zestaw wspólnych zasad, co robić, a czego nie robić w takich sytuacjach – dodaje.

Inna sprawa, że podczas ćwiczeń łatwiej podjąć trudną decyzję. Dlatego banki jak jeden mąż zamknęły bankowość internetową. Oczywiście „na niby”, by klienci ćwiczeń nawet nie odczuli. – Nie jest oczywiste, czy podobna decyzja zapadłaby, gdyby nie były to symulacje, tylko realny atak na systemy IT – mówi Jakub Bojanowski.

Instytucje pozytywnie zaskoczyły w kwestii komunikacji medialnej. Na potrzebę ćwiczeń podstawiono (fikcyjne) kanały komunikacji – portale internetowe i serwis udający Twittera. Pojawiały się „pozorowane” tweety klientów, którzy narzekali, że nie otrzymali potwierdzenia przelewu lub pytali, dlaczego nie działa bankowość online. – Na początku żadna z firm nie reagowała. Dopiero gdy w oskarżeniach internautów padały nazwy określonych instytucji, te odpowiadały. Zalecały kontakt z biurem obsługi klienta lub informowały o problemach technicznych i podkreślały, że pieniądze klientów są bezpieczne – mówi Paweł Majcher z Rządowego Centrum Bezpieczeństwa. – Banki bardzo szybko się zorganizowały i pod auspicjami ZBP chciały wydać wspólne oświadczenie – dodaje Paweł Majcher.

Największą słabością sektora jest komunikacja między firmami. Bank A nie przyznał się bankowi B, że jest atakowany. Do nieformalnych prób kontaktów doszło między informatykami różnych banków.

Jak wskazują autorzy raportu, nawet nie chodzi o to, że banki nie chcą rozmawiać. Po prostu nie mają jak – brakuje platformy czy instytucji, która mogłaby koordynować odpieranie ataków i udzielać koniecznych informacji od ręki, w sytuacji kryzysowej. Dlatego autorzy postulują stworzenie branżowej organizacji, np. CERT-u, która pomoże w przypadku prawdziwego ataku.

Jak podaje firma Kaspersky Lab, branża finansowa, obok medycznej czy handlowej, jest szczególnie narażona na ataki hakerskie. Przy czym hakerzy zdają sobie sprawę, że najsłabszym ogniwem jest człowiek, dlatego jednym z najpopularniejszych ataków jest tzw. phishing. Atakujący e-mailem rozsyła zainfekowany plik, podszywając się pod zaufaną instytucję, np. bank. Celem jest przejęcie wrażliwych danych (np. haseł do banku) lub „podstawienie” klientowi fałszywej strony do logowania, np. do bankowości elektronicznej. Eksperci przestrzegają, że liczba ataków będzie się tylko nasilać. Między innymi dlatego, że coraz częściej bankujemy przez internet. Z najnowszych wyliczeń ZBP wynika, że w trzecim kwartale ubiegłego roku z bankowości online w Polsce korzystało aktywnie ponad 14,6 mln klientów indywidualnych. To wzrost aż o 2 mln w porównaniu do analogicznego okresu 2014 r.