Bankowość i Finanse | Bezpieczeństwo – DAGMA ESET | Threat intelligence i cyberbezpieczeństwo instytucji finansowych | Jak w oparciu o dane zabezpieczać się przed atakami?

Jak wyglądają najpopularniejsze cyberzagrożenia wymierzone w sektor bankowy? W jaki sposób narzędzia z zakresu threat intelligence mogą pomóc w ich zwalczaniu?

Jakob Souček, Senior Malware Researcher, ESET: Jednym z najważniejszych zagrożeń wymierzonych w instytucje finansowe są ataki wykorzystujące złośliwe oprogramowanie ransomware. Instytucje z sektora bankowego są atrakcyjnym celem dla cyberprzestępców, a scenariusze ataków niekoniecznie zakładają bezpośrednią kradzież środków. Cyberprzestępcy często liczą, że z większym prawdopodobieństwem i pod presją będą one skłonne płacić okupy, np. za odblokowanie systemów. Jeszcze powszechniejszym zagrożeniem dla sektora bankowego są ataki wymierzone w klientów instytucji finansowych. Cyberprzestępcom łatwiej jest bowiem zaatakować właśnie klientów, niż próbować bezpośrednio narazić na szwank sam bank.

Ważnym zagrożeniem dla klientów banków są więc np. tzw. infostealery (typ złośliwego oprogramowania wykradającego dane). Szybko eksfiltrują poufne informacje i przechowywane dane uwierzytelniające, sprzedając je online temu, kto zaoferuje najwyższą cenę. Aby bronić się przed takimi zagrożeniami, należy wdrożyć uwierzytelnianie wieloskładnikowe, unikać przechowywania haseł w przeglądarkach i stosować typową ochronę przed phishingiem (ponieważ większość infostealerów dociera do atakowanych za pośrednictwem wiadomości phishingowych).

Duża część klientów banków (szczególnie w Europie) korzysta z bankowości mobilnej, więc fałszywe aplikacje na Androida, podszywające się pod oficjalne oprogramowanie, także stanowią poważne zagrożenie. Zazwyczaj rozpowszechniane są one za pomocą taktyk phishingowych czy socjotechnicznych i są trudne do odróżnienia od legalnych.

Kolejny znany problem to przekazy spreparowane przy użyciu technologii deep fake, wykorzystywane do podszywania się pod osoby publiczne i namawiania do skorzystania z fałszywych okazji inwestycyjnych. Inna sprytna technika ataku to vishing. Wówczas oszust podszywający się pod bankiera próbuje zmusić ofiarę do podjęcia działań w celu rzekomego zabezpieczenia jej aktywów finansowych.

W takich przypadkach, gdy techniczne możliwości ochrony bywają ograniczone, podstawową obroną jest podnoszenie świadomości użytkowników. Branża finansowa musi zachować czujność, stale aktualizując zabezpieczenia przed dobrze zorganizowanymi atakującymi. Wykorzystywanie narzędzi threat intelligence, które dostarczają szczegółowych danych o zagrożeniach, i wspieranie wymiany informacji to kluczowe strategie ochrony sektora.

Wspomniane strategie obrony można podzielić na dwie główne kategorie. Bank musi chronić własną infrastrukturę. Powinien jednak również monitorować zagrożenia wymierzone w jego klientów – informować ich o nich, zwiększać świadomość itp. To obszar, w którym threat intelligence może zapewnić pomoc. Obrona indywidualnych klientów to przede wszystkim rozwijanie rozwiązań bezpieczeństwa (w przypadku phishingu, infostealerów, trojanów bankowych) i świadomości (w przypadku vishingu lub inżynierii społecznej.

W jaki sposób instytucje na rynku finansowym wykorzystują obecnie narzędzia threat intelligence? Jak wygląda ich świadomość w tym zakresie?

Juraj Knapec, Product Manager, ESET: Instytucje finansowe mogą wykorzystywać TI w dwojakim celu: do ochrony własnej infrastruktury oraz do podnoszenia świadomości i zapewniania pomocy swoim klientom, którzy częściej są celem ataków. Jeśli chodzi o świadomość, w przypadku instytucji finansowych jest ona na wysokim poziomie. Zdają sobie one bowiem sprawę, że infrastruktura cyfrowa jest podstawą ich działalności. W erze cyberzagrożeń i stale ewoluujących typów ataków nie zadowalają się więc poprawnością i rozwiązaniami spełniającymi najniższe wymagania. Zwykle sięgają po te, zapewniające wyższe standardy.

Jak wygląda specyfika działań threat intelligence dla naprawdę wymagających klientów z sektora bankowego i finansowego, którzy są narażeni na najwyższy poziom zagrożeń?

Jakob Souček: W sektorze bankowym i finansowym wymagający klienci dostrzegają ogromną wartość TI jako strategicznego zasobu. Wykorzystując threat intelligence, klienci ci są w stanie proaktywnie przewidywać i przeciwdziałać potencjalnym zagrożeniom, wyprzedzając agresorów w stale zmieniającym się krajobrazie cyberzagrożeń.

Threat intelligence służy tym klientom jako potężne narzędzie, umożliwiające im identyfikację pojawiających się zagrożeń i luk w zabezpieczeniach, zanim zostaną one wykorzystane przez złośliwe podmioty. Wyprzedzając cyberprzestępców, mogą oni podjąć środki zapobiegawcze w celu ochrony krytycznych zasobów, w tym wrażliwych danych finansowych, własności intelektualnej i informacji o klientach. Takie proaktywne podejście nie tylko wzmacnia ich obronę przed cyberatakami, ale także minimalizuje potencjalny wpływ naruszeń bezpieczeństwa na ich działalność i reputację.

Wykorzystanie TI pozwala instytucjom bankowym i finansowym utrzymać zaufanie swoich klientów. W branży, w której to zaufanie jest najważniejsze, proaktywne podejście do cyberbezpieczeństwa gwarantuje klientom, że ich transakcje finansowe i dane osobowe są chronione z najwyższą starannością i troską. To z kolei sprzyja silniejszym relacjom z klientami i wzmacnia reputację instytucji jako wiarygodnego i godnego zaufania partnera w zakresie usług finansowych.

Threat intelligence umożliwia także klientom z sektora bankowego i finansowego skuteczniejsze spełnianie wymogów regulacyjnych i standardów. Dzięki ciągłemu monitorowaniu i analizowaniu cyberzagrożeń, mogą oni wykazać zgodność z przepisami i standardami branżowymi, unikając w ten sposób kosztownych kar i utraty reputacji związanej z nieprzestrzeganiem przepisów.

Zasadniczo dla wymagających klientów z sektora bankowego i finansowego TI nie jest tylko środkiem reaktywnym, ale proaktywną strategią, która pozwala im pewnie poruszać się w złożonym i dynamicznym krajobrazie cyberbezpieczeństwa.

Czy istnieją jakieś specyficzne dla sektora bankowego wyzwania, związane z wdrażaniem narzędzi threat intelligence i jak można im sprostać?

Jakob Souček: Wdrażanie tego typu narzędzi stanowi wyjątkowe wyzwanie, ze względu na pracę z wrażliwymi danymi, rygorystyczne wymogi dotyczące zgodności z przepisami, złożoną infrastrukturę IT i stale ewoluujący krajobraz zagrożeń. Skutecznie radząc sobie z tymi wyzwaniami, banki mogą wykorzystać threat intelligence jako strategiczny zasób, w celu ochrony krytycznych aktywów, ograniczenia ryzyka cybernetycznego i utrzymania zaufania klientów i interesariuszy.

Banki, jako wysoce dojrzałe organizacje, są ogólnie dobrze przystosowane do przyjmowania rozwiązań TI. Instytucje te zdają sobie sprawę z kluczowego znaczenia ochrony swoich operacji przed cyberzagrożeniami. Wdrażając TI, mogą proaktywnie identyfikować i ograniczać ryzyko, zapewniając bezpieczeństwo swoich systemów, danych i informacji o klientach.

W jaki sposób banki mogą zrównoważyć potrzebę zwiększonego bezpieczeństwa z zapewnieniem wysokiej jakości doświadczeń cyfrowych dla klientów?

Jakob Souček: Można to osiągnąć za pomocą różnych strategii. Obejmują one wdrażanie przyjaznych dla użytkownika metod uwierzytelniania, takich jak biometria i uwierzytelnianie wieloskładnikowe, projektowanie usprawnionych interfejsów użytkownika dla platform cyfrowych oraz zapewnianie spersonalizowanej kontroli bezpieczeństwa. Ciągłe monitorowanie i adaptacyjne środki bezpieczeństwa umożliwiają bankom wykrywanie zagrożeń i reagowanie na nie w czasie rzeczywistym, a przejrzysta komunikacja z klientami na temat środków bezpieczeństwa sprzyja zaufaniu.

W jaki sposób instytucje bankowe i finansowe powinny współpracować w zakresie analizy zagrożeń z zewnętrznymi dostawcami? Które zadania powinny im zlecać, a które powinny realizować we własnym zakresie, biorąc pod uwagę charakter branży, regulacji i zagrożeń?

Juraj Knapec: Poprzez outsourcing zadań, takich jak gromadzenie informacji o zagrożeniach, analiza, wykrywanie, monitorowanie, reagowanie na incydenty. Zewnętrzni dostawcy oferują specjalistyczną wiedzę, narzędzia i dostęp do szerszego zakresu źródeł informacji o zagrożeniach, umożliwiając bankom korzystanie z cennych spostrzeżeń i możliwości wykrywania zagrożeń w czasie rzeczywistym, bez konieczności znacznych inwestycji wewnętrznych.

Testy penetracyjne również odgrywają kluczową rolę w ochronie tych instytucji. Symulując rzeczywiste ataki, testy penetracyjne identyfikują luki w infrastrukturze IT. Regularne prowadzone testy pozwalają firmom proaktywnie eliminować te luki, zanim zostaną one wykorzystane przez atakujących.

Jakie są najsilniejsze wyróżniki ESET w zakresie TI, które są szczególnie ważne dla sektora finansowego?

Juraj Knapec: Usługa ESET Threat intelligence gromadzi dane na temat szerokiego spektrum złośliwego oprogramowania, znajduje podobieństwa lub cechy szczególne, podkreśla to, co się wyróżnia oraz monitoruje łańcuchy ataków i wszelkie zmiany w TTP. Ta automatyzacja odbywa się w czasie rzeczywistym, stale aktualizowane są wszystkie kanały, aby zapewnić klientom końcowym najważniejsze i natychmiastowe informacje na temat zagrożeń w nich wymierzonych. Wyniki te są również syntetyzowane w konkretne raporty APT, co zapewnia klientom otrzymywanie istotnych informacji bez przytłaczania ich nadmiarem danych.

Nasze raporty APT (ang. advanced persistent threat, pol. zaawansowane, uporczywe zagrożenia) mają nie tylko charakter informacyjny. Jesteśmy dumni ze wskaźników wydajności, związanych z nimi. 100-procentowy wskaźnik odnowień tej usługi to dowód na zaufanie, jakim darzą nas klienci. Mówi wiele o dostarczanej przez nas wartości. Warto też podkreślić nasz silny zasięg geograficzny i wynikającą z niego widoczność w regionie Europy Środkowo-Wschodniej. Ta strategiczna przewaga sprawia, że wyróżniamy się unikatowym wglądem w obecny krajobraz zagrożeń, który skutecznie wykorzystujemy podczas opracowywania raportów APT.