BANK 2023/08

Bankowość i Finanse | Bezpieczeństwo | Akcja rodzi reakcję

Marcin Podleśny | Miesięcznik Finansowy BANK
Bankowość i Finanse | Bezpieczeństwo | Akcja rodzi reakcję
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Ludzie, technologia i odporność na socjotechnikę – tak w skrócie można ująć podstawę cyberbezpieczeństwa banku.

Aż 94% firm na świecie padło w minionym roku ofiarą cyberataku. Z badania, zleconego przez firmę Sophos na grupie 3 tys. menedżerów odpowiedzialnych za cyberbezpieczeństwo wynika, że najbardziej obawiają się oni wycieku firmowych danych. Wśród istotnych zagrożeń ankietowani wskazują także na phishing (wyłudzanie danych poprzez podszywanie się pod inne firmy lub osoby) oraz zainfekowanie złośliwym oprogramowaniem ransomware, za pomocą którego przestępcy najczęściej atakują firmy.

Jednak jednym z największych zagrożeń mogą być tzw. aktywni przeciwnicy. To cyberprzestępcy, którzy w czasie rzeczywistym dostosowują swoje techniki, taktyki i procedury do napotkanych zabezpieczeń. Według ankiety, jak dotąd, ok. 10% biznesów o rocznych przychodach poniżej 10 mln USD padło ofiarą tak zaawansowanych poczynań cyberprzestępców. Może to wskazywać, że hakerzy koncentrują się na celach z grubszymi portfelami.

Wykrywanie aktywnych przeciwników wcale nie jest proste – wymaga sporych umiejętności, zatem nie można wykluczyć, że rzeczywisty odsetek incydentów z ich udziałem jest jeszcze wyższy. 30% respondentów uznaje ten rodzaj ataków za jedno z głównych cyberzagrożeń w 2023 r.

Największe z zagrożeń

– Działania aktywnych przeciwników, często skutkujące zainfekowaniem oprogramowaniem ­ransomware i incydentami naruszenia bezpieczeństwa danych, są najtrudniejsze do powstrzymania. Jedna na pięć firm doświadczyła w ub.r. ataku z udziałem aktywnego przeciwnika. Odsetek ten był stały niezależnie od wielkości przedsiębiorstwa, wahał się w przedziale od 23 do 25%. Wykrywanie aktywnych przeciwników wymaga sporych umiejętności i prawdopodobne jest, że rzeczywisty odsetek incydentów z ich udziałem jest jeszcze wyższy – potwierdza Michał ­Sosinka, dyrektor w zespole cyberbezpieczeństwa Deloitte.

Z badania zleconego przez jedną z wiodących firm, zajmujących się zabezpieczaniem danych wynika, że respondenci najbardziej obawiają się wycieku firmowych danych. Ponad 2/3 badanych firm (71%) ma problemy z szybkim usuwaniem skutków cyberataku. Taki sam odsetek ankietowanych nie wie, jakie sygnały i alerty powinno się sprawdzać, aby zawczasu wyśledzić obecność cyberprzestępców w firmowej sieci. Według raportu średni czas potrzebny na wykrycie, zbadanie i zareagowanie na alert w przedsiębiorstwach zatrudniających od 100 do 3 tys. pracowników wynosi aż 9 godzin. Tam, gdzie pracuje od 3001 do 5 tys. osób, trwa to średnio niemal 15 godzin.

Banki mają świadomość, że cyberbezpieczeństwo jest ważne, a tę świadomość wymusza również szereg regulacji prawnych. Wiara w swoje absolutne bezpieczeństwo może być zgubna, dlatego należy nieustannie ulepszać systemy zabezpieczeń, aby coraz lepiej chronić się przed stratą pieniędzy i utratą danych. Niezbędny jest kompetentny zespół ludzi, który będzie w stanie wdrożyć odpowiednie systemy i reagować na zagrożenia. Kolejnym aspektem jest odporność na zabiegi socjotechniczne. Nie od dziś wiadomo, że podstawą cyberbezpieczeństwa banku jest technologia, ludzie i ich odporność na socjotechnikę. Oczywiście ważne są także procedury, dlatego zapewnienie bezpieczeństwa danych jest ujęte w planie ciągłości działania każdej instytucji finansowej. To dokument przedstawiany Komisji Nadzoru Finansowego. Jest zbiorem procedur i rozwiązań pozwalających m.in. zapobiegać utracie informacji.

Bank z reguły posiada różne fizyczne lokalizacje, w których dane klientów są przechowywane (w kilku kopiach) i przetwarzane. Informacje są replikowane w czasie rzeczywistym pomiędzy lokalizacjami, dzięki czemu w każdej z nich instytucja dysponuje pełnym i aktualnym zbiorem.

Zabezpieczenie danych, zarówno fizyczne, jak i technologiczne, podlega ocenie przez niezależnych audytorów (w tym przez Komisję Nadzoru Finansowego) i spełnia restrykcyjne wymagania regulacyjne i prawne, w tym wymagania przyjęte za standard w branży.

Dodatkowo w banku działa zespół reagowania, który cały czas monitoruje sieć i reaguje natychmiast na każdy sygnał związany z potencjalnym zagrożeniem bezpieczeństwa. Wszystkie przypadki są przez nas zgłaszane do organów ścigania oraz do międzynarodowych zespołów CERT, które zajmują się zwalczaniem naruszeń bezpieczeństwa komputerowego, jak również przeciwdziałaniem tego typu oszustwom w przyszłości – podkreśla Piotr Kalbarczyk, dyrektor Departamentu Cyberbezpieczeństwa PKO Banku Polskiego.

Zwinni przeciwnicy

Przestępcy stale zmieniają swoje metody oszustw, dostosowując się do zmieniającej się rzeczywistości. Ataki typu ransomware należą do tych, których organizacje obawiają się szczególnie, bo ich istotą jest w szczególności zdobycie okupu od atakowanego podmiotu, zazwyczaj w związku z blokadą lub zaszyfrowaniem danych.

W ostatnim czasie coraz więcej mówi się o wiperze – złośliwym oprogramowaniu, który niszczy dane. W przypadku dobrze zabezpieczonych banków, które tworzą odpowiednie kopie umożliwiające odtworzenie danych ryzyko, które może wzbudzać największe obawy to ich kradzież oraz upublicznienie skradzionych informacji. Wiele wskazuje na to, że ataków ransomware nie wyprą te prowadzące do nieodwracalnego uszkodzenia danych, bo one są prowadzone z zupełnie innej motywacji. O ile atak ransomware wynika z chęci uzyskania okupu, o tyle ataki typu wiper mają zazwyczaj na celu destabilizację sytuacji polityczno-ekonomicznej. Ich głównym tłem są konflikty polityczne, dlatego teraz – gdy trwa wojna za wschodnią granicą – odnotowywany jest wzrost ataków tego typu.

Cyberprzestępcy dostosowują metody działań do tego, jaki cel im przyświeca. Ataki motywowane finansowo z pewnością nie znikną, jednak warto być przygotowanym na różne scenariusze i stale udoskonalać obszar zabezpieczeń przed cyberprzestępczością – przekonuje Piotr Kalbarczyk.

Z aktywnymi przeciwnikami spotykamy się głównie przy atakach DDoS (ang. Distributed Denial of Service). W tych atakach cyberprzestępca – wysyłając dużą ilość zapytań – stara się zablokować dostęp do serwera, usługi czy serwisu. Przy czym zapytania mogą być całkowicie prawidłowe, a mimo to systemy – ze względu na ich ilość – nie radzą sobie z nimi. Mogą one również być skonstruowane w taki sposób, by nadmiernie obciążyć specyficzną aplikację czy serwis.

W przypadku aktywnego przeciwnika cyberprzestępca zmienia formę ataku, np. adres, z którego atakuje; aplikację czy też generuje duży ruch itp. W czasie ataku wprowadza on zmiany w używanych narzędziach, robi przerwy w atakach starając się w ten sposób zmylić systemy bezpieczeństwa. Zdarza się to szczególnie, gdy atakujący chce zaszkodzić konkretnej instytucji. Sparaliżować jej pracę. Ataki te charakteryzują się również tym, że trwają niekiedy wiele dni – wyjaśnia Mariusz Rezler, ekspert ds. bezpieczeństwa operacyjnego IT w Credit Agricole Banku Polska.

Zagrożenie stwarzane przez aktywnego przeciwnika jest trudniejsze do zwalczania, ponieważ odparcie każdego rodzaju ataku wymaga czasu. Konieczne jest zidentyfikowanie typu ataku, przygotowanie zabezpieczeń i wdrożenie ich w życie. Serwis zaatakowany w ten sposób okresowo przestaje działać, systemy są niestabilne. Może się zdarzyć tak, że zaatakowana firma nie będzie mogła świadczyć żadnych usług przez wiele dni.

Aktywny przeciwnik działa według różnych scenariuszy i na bieżąco je modyfikuje. Przeciwdziałanie to przede wszystkim utrzymywanie w gotowości wielu różnie działających i uzupełniających się nawzajem systemów bezpieczeństwa oraz ciągłe ich doskonalenie. Niezbędne jest także poszerzanie wiedzy o bieżących typach zagrożeń i sposobach ich zwalczania – zauważa Mariusz Rezler.

Co warto podkreślić, banki stosują wiele różnego rodzaju, wieloetapowych zabezpieczeń. Bardzo ściśle współpracują między sobą i wymieniają się informacjami. To pozwala na ograniczenie skali działania przestępców.

Budowanie świadomości bezpieczeństwa pracowników na każdym poziomie organizacji poprzez wdrożenie odpowiedniej polityki cyberbezpieczeństwa; zrozumienie zagrożeń oraz odpowiednia ocena ryzyka, wzmocnienie postaw poprzez zarządzanie podatnościami, poprawkami, ale również odpowiednią architekturę (ZeroTrust). To najważniejsze działania, które należy podjąć, aby chronić organizacje. Widocznym trendem jest również przedefiniowanie roli CISO w organizacji, tak aby oddzielić ją od IT i zapewnić możliwość bardziej strategicznego działania – podkreśla Michał Sosinka.

Źródło: Miesięcznik Finansowy BANK