Jak przechytrzyć hakera?

– Wielkość banku nie wpływa na poziom zagrożenia; liczy się tylko i wyłącznie poziom zabezpieczenia – tym wymownym stwierdzeniem rozpoczął swe wystąpienie Tomasz Piwowarski, dyrektor Departamentu Inspekcji Bankowych, Instytucji Płatniczych i Spółdzielczych Kas Oszczędnościowo-Kredytowych w Komisji Nadzoru Finansowego. Odwołał się do wyników badań organizacji CERT Polska, jednoznacznie wskazujących, iż w naszym kraju liczba hakerskich ataków rośnie z roku na rok. Przeważająca liczba działań sieciowych przestępców skierowana jest na najsłabsze ogniwo w systemie – czyli klientów lub pracowników instytucji finansowych.

W jaki sposób współcześni następcy kasiarzy pustoszą bankowe skarbce? Jednym z największych problemów jest phishing. Przedstawiciel KNF przyznał, że znaczna część skarg kierowanych do komisji przez klientów instytucji finansowych wiąże się właśnie z phishingiem. To problem nie tylko dla nieostrożnych konsumentów, ale i dla instytucji finansowych – przestępcy uciekają się niekiedy do tak wyrafinowanych metod, że trudno mówić o rażącym niedbalstwie ofiar, a konsekwencją tego jest przesunięcie odpowiedzialności z klienta na bank. Wymownym dowodem na to, że cyberprzestępca jest w stanie przechytrzyć nawet profesjonalne podmioty są udane ataki dedykowane na jednostki samorządu terytorialnego, w których sprawcy podszywali się pod system zarządzania samorządowymi budżetami BESTI@. Innym problemem są luki w systemach operacyjnych; problem ten dotyczy również urządzeń mobilnych. Przykładowo – starsze wersje systemu Android pozwalały hakerom na niezauważalne dla klienta wtargnięcie do systemu i zainstalowanie malware przejmującego kontrolę nad urządzeniem. Jaki z tego wniosek? Zdaniem Tomasza Piwowarskiego banki, oferując dostęp do nowych technologii powinny zbadać świadomość klienta, a w niektórych przypadkach wręcz odmówić udostępnienia np. kanału mobilnego. Przedstawiciel KNF potwierdził również kluczową rolę systemów ochrony instytucjonalnej w podwyższaniu poziomu bezpieczeństwa teleinformatycznego w sektorze spółdzielczym.

Ewolucję cyberprzestępczości potwierdził również Piotr Balcerzak, doradca zarządu Związku Banków Polskich. Osławiony Szpicbródka przechodzi zdecydowanie do historii; w ubiegłym roku odnotowano jedynie trzy włamania do banków, podczas których złodziejom udało się skraść zaledwie 650 tys. zł. Nieco więcej przestępców decyduje się na atak w stylu Dzikiego Zachodu – w kilkudziesięciu rozbojach, jakie miały miejsce w roku 2015 sprawcy zrabowali około 1 mln 400 tys. zł. Ale to wszystko i tak nic przy zalewie ataków phishingowych czy złośliwego oprogramowania. W tym przypadku złodzieje idą nie tylko w ilość, ale również w jakość – nie należy do wyjątków stworzenie łudząco podobnej strony do serwisu transakcyjnego banku, na domiar złego z adresem odróżniającym się od prawdziwego wyłącznie jednym, na domiar złego wizualnie podobnym znakiem (np. „f” zamiast „t”). Coraz większym problemem jest również wykrycie malware – przestępcy oszukują systemy antyfraudowe nie dodając załączników a linki do zainfekowanych stron.

Od lewej: Andrzej Kawiński, Dariusz Kołodziejski, Tomasz Piwowarski, Piotr Balcerzak, Piotr Karolak, Rafał Wyroślak i Dariusz Fornal.

Zdjęcia: ZBP/M. Stokłosa

Przedstawiciele firmy I-BS.pl – Henryk Mierzwiński, prezes zarządu oraz Bartłomiej Skoczylas, konsultant handlowy – poświęcili swą prezentację systemom z zakresu BCM i ich znaczeniu dla bezpieczeństwa. Problemem dla ciągłości działania są nie tylko cyberzłodzieje; prelegenci wskazali na przypadek, w którym wadliwe umieszczenie klimatyzatora spowodowało uszkodzenie bankowego serwera. – Dlatego nie należy skupiać się wyłącznie na samej procedurze backupu, ale również brać pod uwagę na ile przyjęta technika gwarantuje odzyskanie danych z kopii. Ważne jest odtworzenia a nie tylko złudne poczucie bezpieczeństwa związane z posiadaniem kopii zapasowych – podkreślił Henryk Mierzwiński.

Prezentacja bryg. Dr. inż. Jacka Zboiny, zastępcy dyrektora ds. Certyfikacji i Dopuszczeń w Centrum Naukowo-Badawczym Ochrony Przeciwpożarowej poświęcona była zapobieganiu zagrożeniom pożarowym we współczesnym banku. Pożar rozprzestrzenia się mniej więcej w 12 minut – natomiast wejście ekipy strażaków do opancerzonego niczym sejf bankowego oddziału nierzadko zająć może znacznie więcej czasu. Rozwiązaniem mogą być tzw. kasety straży pożarnej, pozwalające na pogodzenie wymogów akcji ratowniczo-gaśniczej z zabezpieczeniem bankowego sejfu i zasobów teleinformatycznych.

Szansą na wymianę opinii była debata ekspercka, moderowana przez Andrzeja Kawińskiego, prezesa Instytutu Analiz i Prognoz Rynkowych Uczestniczyli w niej: Tomasz Piwowarski, Piotr Balcerzak, Dariusz Kołodziejski, wiceprezes zarządu Banku Spółdzielczego w Ostrowi Mazowieckiej, Piotr Karolak reprezentujący Bank Polskiej Spółdzielczości S.A., Dariusz Fornal, wicedyrektor Departamentu Bezpieczeństwa i Administracji w Banku Polskiej Spółdzielczości S.A. oraz Rafał Wyroślak, dyrektor ds. bezpieczeństwa w firmie Trafford IT. Podczas debaty omówiono m.in. kwestie związane z edukacją klientów. Rafał Wyroślak przypomniał, że we współczesnym świecie ofiarami złodziei padają nie tylko klienci niewyedukowani. Socjotechnika grup przestępczych jest na tak wysokim poziomie, że czasami dają się złapać nawet osoby ostrożne i w pełni świadome zagrożeń czających się w sieci. Piotr Karolak zwrócił uwagę na inny aspekt problemu: w przypadku urządzeń mobilnych bank udostępnia aplikację na urządzenie klienta, którego poziom bezpieczeństwa pozostaje nieznany. Ale nie tylko klientom brakuje wystarczającej wiedzy w starciu z mafiami XXI wieku; zwalczanie tego rodzaju przestępczości pozostaje niemałym wyzwaniem również dla policji czy prokuratury.

Karol Jerzy Mórawski