Banki najlepiej zabezpieczone przed cyberprzestępcami, ale…
Robert Lidke: Jak Pani ocenia cyberbezpieczeństwo sektora bankowego w Polsce?
Jolanta Malak: Myślę, że wśród wszystkich sektorów gospodarczych w Polsce sektor bankowy jest najlepiej zabezpieczony przed cyberzagrożeniami. Wynika to z faktu, że banki pracują przede wszystkim na pieniądzu wirtualnym. Widzimy, że od wielu lat sektor bankowy najlepiej rozumie potrzebę zachowania cyberbezpieczeństwa.
Słyszymy jednak często o cyberatakach na polskie banki…
Rzeczywiście, były ataki na 5 czy 6 polskich banków, ale nie wynikały one z faktu, że banki nie były zabezpieczone, a stąd, że nie można się w 100 procentach ochronić przed cyberprzetępczością. Można jedynie rozwijać swój system bezpieczeństwa i… zastanawiać się, jak niwelować straty, jeśli one wystąpią. Nie ma miejsc, do których by nie dotarł jakiś ransomware czy inny malware. To jest tylko kwestia tego, jak jesteśmy przygotowani na taki atak, jak dobrze są wyedukowani ludzie, których zatrudniamy.
Mówi się, że najsłabszym obszarem w sektorze bankowym jest bankowość mobilna i ona stała się najłatwiejszym celem ataków przestępców.
Wydaje mi się, że nie należy pochodzić do problemu bezpieczeństwa wyłącznie od strony technologii. Najwięcej udanych ataków jest związanych z socjotechnikami, czyli z manipulacją skutkującą utratą danych użytkownika.
Wiele zależy od klientów bankowości internetowej. Czy używają jakichkolwiek zabezpieczeń, czy nie. Jednak zabezpieczenie to nie wszystko, a człowiek często ulega pokusie kliknięcia w to, czego nie powinien. W efekcie udostępni komuś swoje hasła dostępowe lub wpisuje je tak, że każdy może je podejrzeć, albo wybiera zbyt krótkie hasła, które można łatwo złamać. Problemem jest też korzystanie z jednego hasła zarówno na portalach społecznościowych, jak i w banku, w dostępie do służbowego lub domowego komputera i Wi-Fi. Wszędzie ludzie zostawiają za sobą ślady. Czasami drzwi są szerzej otwarte, czasami mniej, ale to wyłącznie ludzie doprowadzają do tego, że można się dostać do ich danych i do ich komputerów.
Ale przecież wielkie organizacje i instytucje także mogą być nieostrożne. Zdaje się, że jest problem z kartami SIM. Przestępcy podszywają się pod ofiarę i wyrabiają duplikat karty SIM. Dzięki temu uzyskują dostęp do numeru telefonu ofiary, a w konsekwencji dostęp do kodów służących do potwierdzania przelewów, które na numer klienta wysyła smsem bank. Ostrożność końcowego klienta telefonu nic tu nie pomoże.
Usługa wydawania duplikatu karty SIM została wymyślona po to, aby pomóc klientowi, który zgubił kartę. Ta usługa jest potrzebna, ale stosowana procedura okazuje się zbyt łatwa do obejścia przez osobę postronną.
Firmy telekomunikacyjne wdrażają mechanizmy, żeby dostęp do tego drugiego backupowego urządzenia SIM był trudniejszy. Ale to nie jest kwestia technologii, lecz procedur i sprytu, którym odznaczają się przestępcy.
Większość firm chce, aby jak najbardziej uprościć usługi dla klientów i uczynić je przystępnymi. Niestety te ułatwienia często są wprowadzane kosztem bezpieczeństwa. Projektowaniu i tworzeniu usług nie towarzyszy ważne podejście security by design. Polega ono na tym, że zanim dany produkt lub usługa zostanie udostępniona, to należy sprawdzić, czy jest bezpieczna. Natomiast obecnie tworzy się najpierw rozwiązanie, a dopiero potem nakłada różnego rodzaju mechanizmy bezpieczeństwa. Tymczasem nic lepiej nie zabezpiecza aplikacji, niż porządnie napisany kod, który nie pozwoli na przejęcie praw dostępu czy na przejęcie urządzenia.
To wszystko musi być wymyślone na etapie tworzenia rozwiązania, a nie w momencie, kiedy już jest ono gotowe i udostępnione. Wymyślmy produkt, dajmy go klientom, a potem powiedzmy im, żeby sobie zainstalowali antywirusa – tak wygląda to obecnie i takie podejście nie zadziała. Musi istnieć cały system powiązanych ze sobą zabezpieczeń – dopiero wtedy możemy mówić o optymalnej ochronie.
Płynie stąd wniosek, że są to wymogi, które mogą spełnić tylko bogate przedsiębiorstwa, duże banki, ale już na przykład nie małe firmy.
To nie jest tak, że małe firmy tworzą rozwiązania dla siebie. Praktyka jest taka, że kupują je od dostawców. To oni, producenci oprogramowania, powinni zabezpieczać cały mechanizm związany z wdrażaniem i działaniem aplikacji. To oni przecież wiedzą, jak ta aplikacja jest skonstruowana i jak działa. Użytkownik nie zastanawia się, jakie mechanizmy zabezpieczające zastosowano w danej aplikacji. On tylko zakłada, że aplikacja jest bezpieczna i wystarczy wdrożyć odpowiednie procedury, aby prawidłowo działała.
Mamy teraz sytuację, w której dzięki dyrektywie PSD 2 podmioty trzecie będą miały dostęp do wrażliwych danych klientów banków i w ogóle dostęp do zasobów informatycznych w systemach bankowych. Czy ta dyrektywa niesie ze sobą zwiększone zagrożenia cyberprzestępczością?
Każdy dodatkowy użytkownik mający dostęp do danych to potencjalnie większe zagrożenie. Mechanizmy bezpieczeństwa, które są w tej chwili dostępne na rynku, pozwalają na zabezpieczenie wielu elementów infrastruktury. Mechanizmy VPN wykorzystujące szyfrowanie i tunelowanie pozwalają na to, by do tej infrastruktury dostać się bezpiecznie.
Powstaje pytanie, kto się do tej infrastruktury będzie dostawał? Czy wszystkie podmioty trzecie będą godne zaufania?
To są ważne pytania, bo technologia jest w stanie cały ten proces zabezpieczyć, ale wciąż pozostaje czynnik ludzki. Możemy mieć najlepsze rozwiązania, ale w momencie, kiedy trzeba dopuścić kogoś, kto przejrzy to, co mamy zgromadzone na dyskach, to rodzi się pytanie, co wiemy o osobie, której dajemy taki dostęp. Możemy mieć zaufanie do rozwiązania, do technologii, do instytucji, ale zawsze na końcu jest człowiek.
Tu mamy jednak sytuację, że jest podmiot trzeci i jest klient banku. Klient banku podejmuje decyzję o wpuszczenie do systemów bankowych podmiotu trzeciego, a bank nie może się temu przeciwstawić.
Bank może w takim przypadku jedynie śledzić, co dana osoba robi w jego zasobach informatycznych. Jest to wielkie wyzwanie, tym bardziej, że nie ma standardów, które pokazywałyby, jak taka „wizyta” podmiotu trzeciego powinna wyglądać. Oczywiście są API, są miejsca, gdzie podajemy, w jaki sposób dostać się do infrastruktury, ale prawda jest taka, że cyberprzestępcy wystarczy jeden fragment, żeby się dostać do intersujących go obszarów. Kiedy włamie się on do systemu, to będzie myślał o tym, jak poruszać się po nim dalej. Oznacza to, że każdy punkt, który otwieramy dla podmiotu trzeciego, musi być przez nas udostępniany w „galwaniczny” sposób.
Stajemy się coraz bardziej „cyfrowi” – czy może się okazać, że w którymś momencie ten cyfrowy świat przestanie działać, dlatego że np. hakerzy zdetonują jakąś „cybernetyczną” bombę atomową?
Taki scenariusz stał się podstawą dla wielu filmów i książek. Ja patrzę na to z perspektywy tego, co kiedyś wymyślono i tego, co dzieje się dzisiaj. Oczywiście, wiele czarnych scenariuszy się sprawdza. Jestem w stanie uwierzyć, że nie będzie prądu w całym kraju albo nawet na całym kontynencie. I jednocześnie nie jestem sobie w stanie wyobrazić, jakie tego mogą być konsekwencje…
Wszystkie mechanizmy, które przygotowujemy po to, aby się zabezpieczać przed cyberatakami, nie są równomiernie implementowane. Weźmy pod uwagę operatorów telekomunikacyjnych. Każdy ma swoje rozwiązania. Każdy z nich musi korzystać ze swoich urządzeń telekomunikacyjnych i działa na różnych systemach CRM. W związku z tym mnogość rozwiązań powoduje, że są one wzajemnie splecione.
Wyjeżdżamy za granicę i włączamy roaming. Nasz operator jest w Polsce, a my w innym kraju – potrzebujemy, aby usługa działała i nie zwracamy uwagi na to, że się przemieszczamy. I owszem, usługa roamingu łączy nas z naszym operatorem, ale przez kilku innych „pośredników”.
Może być tak, że nasz operator sprosta zadaniu, ale środowisko wokół niego – już nie. I w związku z tym ten operator też jest poszkodowanym.
Obecnie tak naprawdę bezpieczne są tylko systemy w firmach, które… jeszcze niczego nie wdrożyły i wciąż są na etapie papieru. Oczywiście można powiedzieć, że jeśli zdarzy się pożar, to papier spłonie i nie ma kopii zapasowej. Jednak nasze przyzwyczajenie do tego, że elektronika zawsze działa, jest tak wielkie, że gdyby nas od tego nagle odciąć, to nie wiedzielibyśmy, jak się zachowywać.
Brak prądu powoduje, że są korki na ulicach, nie ma dostępu do wody czy do ogrzewania – piece wymagają nie tylko gazu, ale też prądu. To jest cały system rzeczy ze sobą powiązanych, co powoduje, że nie możemy się z tego wyzwolić.
Czy technologia blockchain mogłaby nas uchronić przed utratą danych w przypadku takiego cybernetycznego kataklizmu?
Blockchain też jest teraz atakowany przez cyberprzestępców. To nie jest tak, że wymyślimy jakąś technologię i ona będzie odporna na ich działania. Pamiętajmy, że z każdej nowinki, np. ze sztucznej inteligencji, mogą korzystać obie strony mocy; można więc zrobić wiele dobrego, ale też i złego.
Blockchain miał doprowadzić do tego, że będziemy sobie ufali w sieci. Ta konstrukcja jest stworzona po to, aby autoryzować różne transakcje. W ciągu ostatnich kilku lat widzieliśmy już próby przejęcia kontroli nad takimi mechanizmami działającymi np. w sieci Bitcoin. Jedne z pierwszych ataków były skonstruowane w oparciu o znane nam mechanizmy DDoS (Direct Denial of Service), które polegały na wysyłaniu ogromnych ilości małych i wadliwych transakcji, które miały zatrzymać działanie na prawdziwych transakcjach.
Chyba nie ma możliwości, aby człowiek wymyślił technologię, która jest nie do złamania. Zawsze znajdzie się drugi człowiek ze złymi intencjami i będzie szukał sposobu na ominięcie wszelkich zabezpieczeń. Najbardziej skutecznym mechanizmem będzie jednak zawsze atak na człowieka.