Raport specjalny Horyzonty Bankowości 2016: Szantażysta nie zarobił

Sławomir Dolecki

Ćwiczenia Cyber-EXE Polska 2015 odbyły się w październiku ub.r. Na udział w nich zdecydowało się siedem instytucji finansowych – pięć dużych polskich banków oraz dwie firmy ubezpieczeniowe. To druga edycja ćwiczeń przygotowana dla instytucji finansowych. Pierwsza odbyła się w roku 2013. Dzięki temu dziś można wyciągnąć wnioski nie tylko z bieżących działań, ale również – przez porównanie – spojrzeć na zmiany, jakie nastąpiły z zakresie cyberbezpieczeństwa na przestrzeni minionych dwóch lat.

Mówiąc najkrócej – i taki właśnie wniosek znalazł się w raporcie podsumowującym – „instytucje finansowe potrafią dobrze koordynować niezbędne działania podejmowane w chwili wystąpienia cyberataku. Nadal jednak istnieje dość duży problem we współpracy pomiędzy bankami, które w ograniczonym stopniu informują się nawzajem o zaistniałych zagrożeniach.”

Realne zagrożenie dla całego systemu

– Zagrożenia z cyberprzestrzeni nie są dla sektora finansowego nowością. Od wielu lat branża ta jest liderem we wprowadzaniu w życie nowoczesnych rozwiązań technologicznych. Doświadczenie to, wynikające także z analizy rzeczywistych incydentów, pozwoliło bankom i firmom ubezpieczeniowym na wypracowanie wielu procedur oraz technicznych systemów zabezpieczeń, i – jak pokazały ćwiczenia – potrafią one z nich skutecznie korzystać – uważa Mirosław Maj, prezes Fundacji Bezpieczna Cyberprzestrzeń, która – przy wsparciu Rządowego Centrum Bezpieczeństwa oraz firmy doradczej Deloitte – jest organizatorem Cyber-EXE Polska. Warto w tym miejscu podkreślić, iż patronat nad przedsięwzięciem przyjęły: Ministerstwo Finansów, Komisja Nadzoru Finansowego oraz Związek Banków Polskich.

– Wyzwanie było duże, ponieważ scenariusz zakładał działania, jakich banki w Polsce jeszcze na szczęście nie doświadczyły – przyznaje Jakub Bojanowski, partner Działu Zarządzania Ryzykiem w Deloitte. – Atak pojawił się bowiem równocześnie w kilku miejscach, co w założeniu miało spowodować problemy nie tylko poszczególnych instytucji, ale stworzyć realne zagrożenie dla całego systemu.

Scenariusz ćwiczenia opierał się na najbardziej istotnych dla sektora finansowego typach cyberataków i zakładał zagrożenie dla klientów oraz dla samych banków i firm ubezpieczeniowych. Pierwszy, główny atak, przewidywał dokonanie nieautoryzowanej zmiany w kodzie aplikacji odpowiadającej za logikę jednej z funkcji biznesowych. Zmiany tej dokonał szantażysta żądający okupu. Drugą fazą ćwiczeń był atak typu spear phishing skierowany do personelu, którego skutkiem było zaszyfrowanie dużej części stacji roboczych, w tym komputerów administratorów.

Kiedy organizowaliśmy Cyber-EXE dla instytucji finansowych po raz pierwszy, to widać było, że dla banków i firm ubezpieczeniowych jest to pewna nowość, ale przyznać trzeba, że wówczas ...