Bezpieczeństwo cybernetyczne – czy banki, domy maklerskie, inwestorzy indywidualni i instytucjonalni boją się hakerów?

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter

O wielkim włamaniu do lodówki... W dzisiejszych czasach, liczba urządzeń łączących się z Internetem jest powalająca. Nawet nasza lodówka może zdać raport ze swojej zawartości, wyświetlić na wmontowanym tablecie listę spotkań lub nagłówki maili, a dzięki wbudowanej aplikacji mobilnej możemy dostać się, nomen omen przez lodówkę właśnie do naszego rachunku inwestycyjnego i zarządzać pieniędzmi.

Jest to niewątpliwa wygoda i gigantyczny krok technologiczny, który pozostawia „owocowe” magnesy w zapomnianym rogu szuflady. Ma on jednak także swoje wady. Nasza mobilna lodówka ze wszystkimi swoimi aplikacjami może stać się celem ataku hakerów, a Ci na magnesik w kształcie arbuza ataków nie przeprowadzali… Brzmi jak rodem z filmu science fiction? Nic bardziej mylnego.

Obawy, motywacje i zaufanie…

Czy instytucje finansowe i banki boją się ataków hakerów? Oczywiście, że tak! I właśnie ta obawa często motywuje je do budowania możliwie najlepszych zabezpieczeń, które są dobre tak długo, aż ktoś ich nie złamie. Zabezpieczenia te przypominają szyfr. Ktoś tworzy go, by ukryć treść, którą ktoś inny będzie chciał koniecznie poznać. Nie ma nieprzeniknionych szyfrów i nie ma zabezpieczeń nie do złamania. Są jednak takie kody, które pozwalają spać spokojnie bez martwienia się, czy aspirujący haker-nastolatek z komputerem podłączonym do WiFi w fastfoodzie włamie nam się na rachunek. Mimo to, że nie ma zabezpieczeń doskonałych, gwarantujących maksymalne bezpieczeństwo, to hasło, które składa się z wielkich i małych liter, zawiera dziewięć znaków, w tym znaki specjalne, zapewnia wspomniany wcześniej spokojny sen.

Podstawą działań instytucji finansowych, takich jak m.in. banki czy domy maklerskie, jest zaufanie na linii Klient-Instytucja. Klienci, powierzając bankom swoje środki ufają, że będą one bezpieczne. Banki i instytucje finansowe dbają więc o swój wizerunek i starają się, by rachunki ich oraz ich klientów miały możliwie najlepsze zabezpieczenie.

Cyberprzestępstwa stają się coraz bardziej powszechne. Na celowniku hakerów nieustannie znajdują się największe banki w Polsce i na świecie, a także domy maklerskie. Niestety, minęły już czasy, gdy ataki miały na celu pokazanie – TO JA! ZROBIŁEM! UDAŁO MI SIĘ!, a nie kradzież danych, dlatego też w każdej instytucji zawsze będą traktowane bardzo poważnie przez specjalistów od cyberzabezpieczeń.

Rekomendacja D a użytkownicy  

Banki, stosując się do wydanego przez KNF w 2013 roku rozporządzenia, wprowadziły Rekomendację D, dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, która dotyczy szeroko rozumianych zabezpieczeń informatycznych, takich jak zarządzanie danymi (w tym ich jakością), zasady współpracy pomiędzy obszarami biznesowymi i technicznymi, system informacji zarządczej obszarów technologii informacyjnej i bezpieczeństwa teleinformatycznego oraz tzw. „przetwarzanie w chmurze” (ang. cloud computing).  Odpowiada ona w swych 61 stronach na największe obawy internautów, którzy najbardziej boją się kradzieży z kont online, haseł i poufnych informacji. Wiele badań pokazuje jednak, że działają oni wbrew swoim obawom i często to właśnie użytkownicy są najsłabszym ogniwem, nie stosując się do zaleceń Rekomendacji D. „A zbliżeniowo można?” – czyli wygoda vs bezpieczeństwo, to doskonały przykład obrazujący, że przez nieuwagę możemy być podatni na straty finansowe. Prawda jest taka, że dobrze ukryty terminal w rękawie kurtki może pobrać nam z rachunku niewielką kwotę. Co więcej, nie zarejestrujemy jej bez dokładnej analizy naszych wydatków.

Cyberdane, rachunki, złotówki

Biorąc pod uwagę, jak bardzo cybernetyczne stało się obracanie pieniędzmi – od płatności kartą aż po przelewy i inwestycje online, banki i instytucje powinny w trosce o swoich klientów oraz  własny wizerunek dbać o bezpieczeństwo. Skutecznym narzędziem może być token, długie hasła o złożonej numeryczno-alfabetycznej konstrukcji, przesyłanie osobnymi kanałami potwierdzeń do przelewu. Takie elementy zapewnią klientowi odpowiednie bezpieczeństwo na części frontendowej – czyli tej, z którą styczność mamy na co dzień. Pozostaje jeszcze gigantyczna backendowa część, o której przysłowiowy Kowalski nie ma pojęcia. Być może domyśla się o jej istnieniu, ale jej konstrukcja i model to dla niego prawdziwa tajemnica.

A jest tego niemało. Wystawiana do klienta część, panele do logowania, piny, aplikacje stanowią około 10% całego informatycznego świata instytucji finansowych. Sieć informatyczna w bankowości elektronicznej jest niewiarygodnie rozbudowana i wędrują po niej dane o rozmiarach setek tysięcy gigabitów na sekundę.

Serwery inwestycyjne odpowiadające ze przesyłanie zleceń inwestorów czy wyświetlanie aktualnych cen, to setki maszyn zajmujących wielkie przestrzenie i pochłaniających niewyobrażalne ilości prądu. Wymieniają się one danymi z prędkością, która pozwala na to, by inwestor w Warszawie mógł kupić to samo i w tej samej cenie, co inwestor w Dubaju, Chinach czy nawet antypodycznej Australii.

DDoS’y, phishingi i inne

Specjaliści w Bankowych Biurach Bezpieczeństwa odpierają dziesiątki ataków dziennie. Czasem są to proste i nieprzemyślane działania hakerów bez doświadczenia, a czasem zakrojone działania na szeroką skalę, jak np. GozNym, który zaatakował w Polsce siedemnaście banków i przekierowywał użytkowników z domen (ponad 230 adresów URL) bankowych na łudząco podobne domeny, które wyłudzały dane do logowania. Ten odkryty w kwietniu przez specjalny dział IBM X-force malware jest przykładem działania, które gromadząc dane do logowania, potrafi skutecznie ominąć zabezpieczenia banków oparte na bardzo skomplikowanych hasłach. Jeśli nie zauważamy, co się dzieje i nie jesteśmy w stanie błyskawicznie zareagować, nasze hasła podamy hakerom niemal na srebrnej tacy.

Innym rodzajem cyberprzestępstwa jest tzw. DDoS, czyli masowy atak na daną domenę jednocześnie setek tysięcy komputerów. Serwer, na którym domena „stoi”, musi dostarczyć każdemu zewnętrznemu komputerowi pewną cześć swoich zasobów. Oczywiście, serwery bankowe nie mają problemu z wizytą setek klientów na raz. Inaczej wygląda sytuacja, w której kilkaset tysięcy komputerów próbuje błędnie zalogować się do systemu lub też gdy te same kilkaset tysięcy, jak szalone „klika po stronie”, generując gigantyczny ruch.  Mimo swojej olbrzymiej przepustowości i wielkości, nawet bankowe serwery potrafią się poddać.

Działania prewencyjne są niezbędnym minimum, aby ograniczyć ryzyko. W Polsce, krok w kierunku edukacji klientów usług finansowych zrobiła Komisja Nadzoru Finansowego. Poradnik pt. „Bezpieczeństwo finansowe w bankowości elektronicznej – przestępstwa finansowe związane z bankowością elektroniczną” jest ogólnodostępny i każdy może zapoznać się z nim. Porusza on kluczowe pojęcia i przedstawia zasady bezpiecznego korzystania z bankowości elektronicznej.

Instytucje finansowe konsekwentnie wdrażają nowe rozwiązania, aby obronić się przed hakerami. Banki coraz częściej tworzą rezerwy na ukradzione pieniądze. W wielu krajach, w tym w Polsce, prężnie działa cyberpolicja. Liczba przestępstw popełnianych w Internecie gwałtownie rośnie, dlatego odpowiednie służby współpracują ze sobą także w wymiarze globalnym.

Rozwój bankowości i inwestycji online

Bankowość, inwestycje i technologia zawsze sobie towarzyszyły. Dzięki rozwojowi technologii i konsekwentnemu przyzwyczajaniu społeczeństwa do Internetu, jako narzędzia „do wszystkiego”, na rynek usług bankowych wkroczyły przelewy i rachunki z dostępem online. Na potrzeby inwestorów odpowiedziały firmy, dostarczając platformy inwestycyjne. Giełda, która jeszcze do niedawna kojarzyła się z „Panem Maklerem” w czerwonych szelkach i operacjami przeprowadzanymi przez wyselekcjonowaną grupę „magików”, trafiła na ekran laptopa tylko po to, by w ciągu kilku lat rozprzestrzenić się na ekrany telefonów czy nawet wmontowanego w drzwi lodówki tabletu.

Ataki hakerskie na pewno nie zatrzymają rozwoju instytucji finansowych w obszarze usług internetowych. Banki oraz pozostałe instytucje finansowe muszą i na szczęście dbają o swoje systemy i edukację klientów, jednocześnie zabezpieczając swoje aplikacje i serwisy w najlepszy możliwy sposób. Klienci, którzy zachowają odpowiednie środki ostrożności, nie powinni mieć zatem kłopotów. Ważne, aby minimalizować ryzyko, z dystansem podchodzić do otrzymywanych maili, cyklicznie aktualizować oprogramowanie i systemy antywirusowe. Banki nie wysyłają wiadomości z prośbą o podanie hasła lub loginu, ale cyberprzestępcy coraz częściej atakują systemy operacyjne domowych komputerów, dlatego wszyscy użytkownicy Internetu muszą zdawać sobie sprawę, że są narażeni na niebezpieczeństwo.

Bolesław Michalski
Dyrektor zarządzający
Patron FX