Bezpieczeństwo adekwatne do wyzwań

Bezpieczeństwo adekwatne do wyzwań
Forum Bezpieczeństwa Banków 2018
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Mottem VII Forum Bezpieczeństwa Banków 2018 były słowa Kevina Mitnicka - najsłynniejszego na świecie hakera - "możesz wydać fortunę na zakup technologii i usług, a twoja infrastruktura sieciowa może nadal być podatna na staroświeckie manipulacje".

Również i w tym roku do grona prelegentów zaproszono przede wszystkim doświadczonych praktyków. Konferencję prowadził Andrzej Wolski – wiceprezes zarządu Centrum Prawa Bankowego i Informacji.

Otwierając spotkanie Krzysztof Pietraszkiewicz, prezes Związku Banków Polskich, nawiązał do wyników badań, według których Polacy ufają bankom. Reputacja sektora poprawia się już od kilku lat, i to pomimo wielu w tym czasie ataków medialnych na banki. Dziś poziom ubankowienia w naszym kraju przekroczył 83%. Ogromne jest też tempo przyrostu liczby klientów korzystających z urządzeń mobilnych do kontaktu z bankami. Wdrażanie nowych technologii tworzy co prawda zagrożenia, ale sektor coraz lepiej sobie z tym radzi.

Sesja I

W trakcie pierwszej części Forum dyskutowano o bezpieczeństwie w erze open bankingu i przepisów związanych z regulacjami GDPR/RODO i PSD2. M.in. o tym, jakie są możliwe scenariusze i jakie korzyści oraz zagrożenia związane z bezpieczeństwem wnosi idea open bankingu. Debatę, w której udział wzięli: radca prawny dr Tadeusz Białek – dyrektor Zespołu Prawno-Legislacyjnego Związku Banków Polskich, dr Maciej Kawecki – dyrektor Departamentu Zarządzania Danymi Ministerstwa Cyfryzacji oraz Wojciech Pantkowski – dyrektor Zespołu Systemów Płatniczych i Bankowości Elektronicznej Związku Banków Polskich, moderował Włodzimierz Kiciński – wiceprezes zarządu ZBP.

Od lewej: Włodzimierz Kiciński, Maciej Kawecki, Tadeusz Białek oraz Wojciech Pantkowski.

Dr Maciej Kawecki stwierdził, że pakiet krajowy związany ze wdrożeniem RODO jest bardzo istotny z punktu widzenia instytucji w kontekście wprowadzanych przepisów. Przedstawił aktualny stan prac związanych z wdrażaniem w naszym porządku prawnym zmian ustawy o ochronie danych osobowych. Jeszcze 10 maja miało się odbyć głosowanie nad projektem w Sejmie, tak by ustawa mogła wejść w życie 25 maja. Co prawda pozostaje kwestia wprowadzenia aktów wykonawczych. Dyrektor Departamentu Zarządzania Danymi Ministerstwa Cyfryzacji omówił nowe zasady wykorzystania monitoringu. Jeśli np. zezwala się na korzystanie przez pracowników z poczty elektronicznej do celów prywatnych, to trzeba wprowadzić regułę oznaczania ich jako prywatnych i obejmuje ją wtedy zasada tajemnicy korespondencji. To nie są nowe rozwiązania, ale obecnie trzeba przestrzegać ich w praktyce. Maciej Kawecki wspomniał też o certyfikacji dotyczącej bezpieczeństwa związanego z RODO i zasadzie właściwego wyboru kontrahenta.

Dr Tadeusz Białek wyraził obawy w związku z opóźnieniami związanymi z wprowadzaniem przepisów krajowych i o prawnym zabezpieczeniu procesów wykorzystujących profilowanie w bankach. Chodzi o właściwe ramy prawne zabezpieczającej banki przed ewentualnymi możliwymi procesami po 25 maja br. Wspomniał o biometrii pracowniczej (RODO odsyła do przepisów prawa krajowego). Nadmienił, że ZBP przygotował kodeks dobrych praktyk i przepisy dotyczące przenoszalności danych. Dyrektor Zespołu Prawno-Legislacyjnego ZBP zauważył, że jego zdaniem jeszcze przed 25 maja banki – co wynika z przepisów RODO – mają jednorazowy obowiązek informacyjny o nowych zasadach przetwarzania danych osobowych.

Wojciech Pantkowski mówił o głównych założeniach opublikowanego 24 kwietnia br. interfejsu Polish API. Obecnie jest on w wersji 1.0. Jak poinformował, wersja 2.0, która ma być opublikowana we wrześniu br., obejmie też obsługę klientów korporacyjnych banków.

W kolejnych wystąpieniach w pierwszej sesji forum Alon Rosenthal, CEO w firmie SecuPi, mówił o praktycznej implementacji przepisów GDPR/RODO. W tym o technicznych aspektach usuwania danych osobowych z baz danych. Jak stwierdził, jego firma jest przygotowana do wypełnienia takich potrzeb. Natomiast o tym, jak dyrektywy GDPR/RODO oraz PSD2 wpłyną na możliwości profilowania klientów, opowiedział uczestnikom Konrad Antonowicz, specjalista ds. bezpieczeństwa IT w firmie Passus.

Stare i nowe zagrożenia

Nikt dziś nie poddaje w wątpliwość konieczności ciągłego analizowania statystyk oraz sposobów działania cyberprzestępców. W kolejnych prelekcjach i prezentacjach w trakcie VII edycji Forum Bezpieczeństwa Banków, eksperci połączyli teorię ze studiami konkretnych przypadków. Zaprezentowali najnowsze osiągnięcia technologiczne w dziedzinie bezpieczeństwa, ale także proste i skuteczne metody, o których nigdy nie powinni zapominać użytkownicy internetu.

Sesja II

 

W tej części rozmawiano o starych i nowych zagrożeniach bezpieczeństwa. Moderatorem był Piotr Balcerzak – dyrektor Zespołu Bezpieczeństwa Banków w Związku Banków Polskich.

Wstępem do sesji było wystąpienie dyrektora Biura do Walki z Cyberprzestępczością Komendy Głównej Policji, kom. Dominika Rozdziałowskiego. Poinformował on, że zespół liczy obecnie 60 funkcjonariuszy. Może się pochwalić wieloma sukcesami, w tym ostatnio rozbiciem w naszym kraju chińskiej grupy hakerów. Podkreślił też wysoki poziom profesjonalizmu działów IT banków. W minionym roku tylko trzy banki kontaktowały się z policją w sprawie wycieku danych. Jak się okazało, w jednym dane wykradł pracownik, w drugim zaś firma podwykonawca zlecenia.

 

Kom. Rozdziałowski zwrócił uwagę, że w obowiązującym obecnie porządku prawnym zagrożenie wysokością kary przy kradzieży danych jest bardzo niskie. Kolejnym problemem jest produkowanie dokumentów tożsamości do tzw. celów kolekcjonerskich, co wciąż jest legalne. Policja nie może interweniować, dopóki nie zostaną one wykorzystane do popełnienia przestępstwa. Choć ma bazy z danymi o takich dokumentach, to nie może się nimi dzielić. A szkoda, bo mogłyby być one wykorzystane np. przy tworzeniu systemów antyfraudowych w bankach.

 

O danych osobowych dostępnych na czarnym rynku i o tym, jak monitorować potencjalne zagrożenia mówił Piotr Narczyk, Business Development Menager w firmie Experian Polska. Większość z nas, zwłaszcza ludzie młodzi udostępniają w serwisach społecznościowych bardzo dużo prywatnych informacji o sobie. W sieci jest ogromna liczba danych, takich jak adresy e-mail, numery kart kredytowych lub dokumentów tożsamości, które zostały wykradzione i można je kupić oraz posługiwać się nimi, podszywając się pod właścicieli. Posiadanie cudzego adresu e-mail pozwala np. zarejestrować się w wielu serwisach internetowych.

Piotr Narczyk mówił też o narzędziu firmy, które monitoruje sieć Darknet i o tym, jakie informacje są w niej oferowane do kupienia lub sprzedaży. Korzystając z takiego narzędzia, bank może monitorować, czy jego dane nie są elementem sprzedaży bądź kupna. Firma pomaga też bankom edukować klientów pod względem bezpieczeństwa.

 

Kolejny prelegent, Robert Dąbrowski, CISSP SE Manager w firmie FORTINET, przedstawił m.in. wyniki badań laboratorium bezpieczeństwa FortiGuard. Mówił o sposobach ochrony przed znanymi i jeszcze nieznanymi zagrożeniami. Według niego wiele organizacji nie ma wypracowanej strategii postępowania w przypadku szantażu. Czy płacić, czy nie jeśli dane na dyskach zaatakowanych komputerów zostały zaszyfrowane. Prelegent zwrócił uwagę, że cyberprzestępczość to dziś bardzo duży biznes. Pojawiają się nowe zagrożenia, np. po wejściu na stronę internetową jakiegoś serwisu w przeglądarce użytkownika otwierają się ukryte okna, w których uruchamiane są programy służące do „kopania” kryptowalut. Wykorzystuje się w ten sposób zasoby zaatakowanego komputera (moc obliczeniową i pośrednio energię elektryczną).

Sesja III

W jej trakcie mówiono o kompetencjach niezbędnych do zarządzania bezpieczeństwem. Moderatorem był Tomasz Chlebowski – CEO w firmie ComCERT.

 

W tematykę wprowadził Mirosław Maj, prezes zarządu Fundacji Bezpieczna Cyberprzestrzeń. Przedstawił ćwiczenia Cyber-EXE i wnioski oraz rekomendacje z nich wynikające. Podkreślił, że przebieg ćwiczeń można wykorzystać do doskonalenia własnych procesów zarządzania incydentami i przygotowania na nie organizacji. Ważna jest zdolność do reakcji w przypadku skierowanego na nią ataku. Ocenia się również współzależności pomiędzy organizacjami. Przykładem takiego działania były np. negocjacje Atlanty z szantażystą, prowadzone nie po to, żeby zapłacić haracz, ale w celu spowolnienia jakiegoś jego kolejnego działania i zyskania czasu na obronę. Trzeba być gotowym, na podjęcie takich działań.

 

Bezpieczeństwo jest dziś skoncentrowane na ludziach – tak stwierdził w kolejnym wystąpieniu Alexander Raczyński, Sales Engineering North East Europe w firmie Forcepoint. Zastanawiał się, co możemy osiągnąć poprzez studiowanie i profilowanie zachowania upoważnionych użytkowników, którzy mają rutynowy dostęp do danych. Omówił wykrywanie incydentów bezpieczeństwa oraz dotychczasowe systemy SIEM. Mówił o nowych narzędziach typu UEBA (User and Entity Behavior Analytics), czyli analizujących zachowanie użytkowników oraz urządzeń, na których są wykonywane. Dzięki temu można wykryć anomalie odbiegające od profilu typowych zachowań.

W ostatnim w tej sesji wystąpieniu Krzysztof Grabczak, Sales Director Enterprise Security, Identity Governance w firmie Oracle, przedstawił dobre praktyki minimalizacji ryzyka przy przetwarzaniu danych w chmurze obliczeniowej. Można to osiągnąć, wykorzystując technologię uczenia maszynowego i przetwarzania dużych ilości danych (Big Data).

Sesja IV

Inspiracja, twórczy ferment czy nowe zagrożenie? Taki był temat kolejnej części FBB. Andrzej Kroczek, Manager Systems Engineering Eastern Europe w firmie F5 Networks, mówił o tym jak chronić komunikację aplikacji. Przekonywał, że można zwiększyć bezpieczeństwo wymiany informacji dzięki wykorzystaniu interfejsu API (ang. Application Programming Interface). Omówił elementy autoryzacji oraz uwierzytelnienia. Dane, które przesyłamy, mogą być dodatkowo zaszyfrowane. Wspomniał też o rozpoznawaniu „dobrych” i „złych” botów oraz o weryfikacji ataków DDoS.

Hubert Ortyl, Business Development Manager w firmie Advantech, wprowadził w tematykę, zaś Marcin Spychała, Cyber Security Consultant Poland & Baltics, IBM omówił zagadnienia związane z już funkcjonującym systemem SIEM, przedstawił też dalszy jego rozwój. Wspomniał, że wykrywanie zagrożeń i podatności jest bardzo ważne, ale to dopiero początek. Zaprezentował nowe trendy w bezpieczeństwie, takie jak wykorzystanie mikroserwisów zamiast gotowych dużych aplikacji oraz zastosowanie sztucznej inteligencji.

 

Od lewej: Dariusz Polaczyk, Piotr Balcerzak, Marcin Kobyliński, Jerzy Kosiński oraz kom. Dominik Rozdziałowski.

W debacie poprowadzonej przez Dariusza Polaczyka – dyrektora Biura Przeciwdziałania Przestępstwom w Departamencie Bezpieczeństwa Getin Noble Banku oraz przewodniczącego Rady Bezpieczeństwa Banków ZBP – udział wzięli: Piotr Balcerzak, Marcin Kobyliński – ISSA Polska, dr hab. inż. Jerzy Kosiński – profesor Akademii Marynarki Wojennej im. Bohaterów Westerplatte w Gdyni oraz kom. Dominik Rozdziałowski. W trakcie dyskusji stwierdzono, że bezpieczeństwo jest jedno, dlatego tak ważna jest współpraca wielu działów instytucji. Marcin Kobyliński zwrócił uwagę, że usługi banków składają się z mnóstwa komponentów, również powszechnie używanych. Trzeba wrócić do podstaw związanych z dokumentowaniem kodu. Problemem dla bezpieczeństwa banków jest brak wiedzy po stronie klientów. Dominik Rozdziałowski mówił o narastaniu przypadków z wykorzystaniem socjotechnik. Wspomniano też, że technologicznie internet rzeczy (IoT) może coraz częściej być wykorzystywany do generowania ataków. Jak wynika z informacji posiadanych przez policję, przestępczość kryminalna związanie z cyberzagrożeniami rośnie. Odpowiadano też na pytania, jakie przesłali organizatorom uczestnicy forum, wykorzystując do tego celu smarfony.

Na zakończenie Konferencji podpisano porozumienie o partnerstwie w projekcie edukacyjnym „Bezpieczeństwo w Cyberprzestrzeni”. Do programu przystąpiła firma Allegro. To już dziewiąta instytucja uczestnicząca w tym projekcie.

Włodzimierz Kiciński, ZBP i Bogna Niklasiewicz, Allegro Sp. z o.o., podpisują porozumienie o partnerstwie w projekcie edukacyjnym „Bezpieczeństwo w Cyberprzestrzeni”.

VII Forum Bezpieczeństwa Banków podsumował Włodzimierz Kiciński, wiceprezes ZBP. Jak stwierdził, takie regulacje jak PSD2 i RODO stwarzają nowe możliwości i wyzwania. Dlatego tak ważne jest prawidłowe projektowanie procesów cyberbezpieczeństwa.

Bohdan Szafrański

Zdjęcia: ZBP / M. Stokłosa