Instytucje finansowe w Polsce są dobrze przygotowane do odpierania cyberataków – wynika z raportu CyberExe 2015. To sprawdziany organizowane przez Fundację Bezpieczna Cyberprzestrzeń, Deloitte i Rządowe Centrum Bezpieczeństwa. Dwa lata temu dla banków, rok temu dla telekomów, a w 2015 r. – dla instytucji finansowych – pięciu banków i dwóch ubezpieczycieli.
– mówi Jakub Bojanowski, partner w Deloitte Polska.
– twierdzi Jakub Bojanowski.
Zarządy firm biorących udział w sprawdzianie wiedziały, kiedy nastąpi pozorowany atak. To one decydowały, czy uprzedzą pracowników wcześniej, czy w momencie ataku. „Hakerzy” mieli jego scenariusz. W kodzie źródłowym aplikacji odpowiedzialnej za główne procesy firmy zaszyli fragment złośliwego oprogramowania. Pracownicy musieli dociec, co i gdzie się stało oraz jak temu zaradzić. Do banku zgłaszał się też szantażysta – oferował, że za opłatą wskaże fragment złośliwego kodu.
Drugi atak polegał na rozesłaniu pracownikom instytucji złośliwego oprogramowania, by zaszyfrować dyski ich służbowych komputerów. I znów – żądanie okupu w bitcoinach w zamian za zdjęcie blokady.
O tym, jak może zaboleć szantaż, przekonał się w zeszłym roku Plus Bank. Haker „Polsilver” wykradł dane klientów i próbował wyłudzić kilkaset tysięcy złotych. Bank się nie złamał, a haker wpadł w ręce policji, ale sam fakt kradzieży naruszył zaufanie klientów.
Podczas ćwiczeń przed dwoma laty wszystkie banki zdecydowały, że nie ugną się przed szantażystą, a negocjacje prowadziły, by kupić sobie trochę czasu. Wówczas ćwiczenie ujawniło pewną lukę w procedurach. Nie było wiadomo, kto w okresie kryzysowym ma uprawnienia do podjęcia decyzji – płacimy lub nie.
– ocenia Mirosław Maj, prezes i założyciel Fundacji Bezpieczna Cyberprzestrzeń. Podkreśla jednak, że dużo zależy od współpracy instytucji z organami ścigania, a te nie brały udziału w ćwiczeniach. – – dodaje.
Inna sprawa, że podczas ćwiczeń łatwiej podjąć trudną decyzję. Dlatego banki jak jeden mąż zamknęły bankowość internetową. Oczywiście „na niby”, by klienci ćwiczeń nawet nie odczuli. – – mówi Jakub Bojanowski.
Instytucje pozytywnie zaskoczyły w kwestii komunikacji medialnej. Na potrzebę ćwiczeń podstawiono (fikcyjne) kanały komunikacji – portale internetowe i serwis udający Twittera. Pojawiały się „pozorowane” tweety klientów, którzy narzekali, że nie otrzymali potwierdzenia przelewu lub pytali, dlaczego nie działa bankowość online. – – mówi Paweł Majcher z Rządowego Centrum Bezpieczeństwa. –– dodaje Paweł Majcher.
Największą słabością sektora jest komunikacja między firmami. Bank A nie przyznał się bankowi B, że jest atakowany. Do nieformalnych prób kontaktów doszło między informatykami różnych banków.
Jak wskazują autorzy raportu, nawet nie chodzi o to, że banki nie chcą rozmawiać. Po prostu nie mają jak – brakuje platformy czy instytucji, która mogłaby koordynować odpieranie ataków i udzielać koniecznych informacji od ręki, w sytuacji kryzysowej. Dlatego autorzy postulują stworzenie branżowej organizacji, np. CERT-u, która pomoże w przypadku prawdziwego ataku.
Jak podaje firma Kaspersky Lab, branża finansowa, obok medycznej czy handlowej, jest szczególnie narażona na ataki hakerskie. Przy czym hakerzy zdają sobie sprawę, że najsłabszym ogniwem jest człowiek, dlatego jednym z najpopularniejszych ataków jest tzw. phishing. Atakujący e-mailem rozsyła zainfekowany plik, podszywając się pod zaufaną instytucję, np. bank. Celem jest przejęcie wrażliwych danych (np. haseł do banku) lub „podstawienie” klientowi fałszywej strony do logowania, np. do bankowości elektronicznej. Eksperci przestrzegają, że liczba ataków będzie się tylko nasilać. Między innymi dlatego, że coraz częściej bankujemy przez internet. Z najnowszych wyliczeń ZBP wynika, że w trzecim kwartale ubiegłego roku z bankowości online w Polsce korzystało aktywnie ponad 14,6 mln klientów indywidualnych. To wzrost aż o 2 mln w porównaniu do analogicznego okresu 2014 r.
