Bezpieczeństwo w instytucji finansowej: Warto testować

Bohdan Szafrański

Najlepszym sprawdzianem odporności na ataki prowadzone w cyberprzestrzeni są testy i ćwiczenia. Można praktycznie przetestować nie tylko funkcjonowanie zabezpieczeń samej infrastruktury informatycznej, ale również przygotowania organizacji do radzenia sobie w takich sytuacjach. I tak, 29 października ubiegłego roku Fundacja Bezpieczna Cyberprzestrzeń przy współudziale Rządowego Centrum Bezpieczeństwa i firmy doradczej Deloitte zorganizowała Cyber-EXE Polska 2013. Ćwiczenie wspierały Ministerstwo Finansów, Narodowy Bank Polski, Komisja Nadzoru Finansowego i Związek Banków Polskich. Wzięło w nich udział sześć banków reprezentatywnych dla sektora pod względem formy własności oraz oferty bankowości internetowej i mobilnej.

Podobne ćwiczenia organizuje Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA), a jednym z postulatów po ćwiczeniach Cyber Europe 2010 było zorganizowanie podobnych ćwiczeń na poziomie narodowym w krajach członkowskich. Także i w USA organizuje się testy, do których przez dwa lata przygotowuje się kilkadziesiąt organizacji. W listopadzie 2013 r. w Wielkiej Brytanii już po raz drugi odbyły się ćwiczenia sektora finansowego, nastawione głównie na sprawdzenie ciągłości działania instytucji finansowych. Wcześniejsza edycja Cyber Europe 2012 dotyczyła również głównie sektora finansowego. Przeprowadzenie dużych ćwiczeń to koszty i wyzwanie organizacyjne, ale przecież jest to sprawdzian odporności gospodarki na zagrożenia płynące z cyberprzestrzeni.

Jak ćwiczono w Polsce?

W Cyber-EXE Polska 2013 wzięło udział pięć banków komercyjnych, wszystkie z grupy tzw. TOP 200, oraz jeden bank spółdzielczy. Organizatorzy, ze względów bezpieczeństwa, zdecydowali nie ujawniać ich nazw, podobnie zresztą było w przypadku Cyber Europe 2012. W trakcie ćwiczenia banki musiały odpowiedzieć na dwa symulowane ataki teleinformatyczne. Pierwszym z nich był atak typu DDoS, którego efektem było zablokowanie dostępu do stron internetowych i uniemożliwienie klientom przeprowadzania operacji bankowych. Drugim, bardziej zaawansowanym technologicznie, był atak typu APT (Advanced Persistant Threat). Jego celem było pozyskanie wrażliwych informacji i finansowy szantaż banku. Zdarzenia przewidziane w scenariuszu ćwiczenia wymagały dużego zaangażowania i błyskawicznego reagowania. Jednym z celów ćwiczenia, poza sprawdzeniem odporności banków na ataki, było zbadanie sposobów i umiejętności współdziałania podmiotów w skali całego sektora finansowego. Sprawdzano m.in. możliwości współpracy pomiędzy bankami i innymi instytucjami czy organizacjami, takimi jak: Ministerstwo Finansów, Narodowy Bank Polski, Komisja Nadzoru Finansowego i Związek Banków Polskich.

Przygotowane scenariusze ćwiczenia nie były oderwane od rzeczywistości. Dziś najbardziej zagrażają bankom ataki prowadzące do blokady serwisów internetowych związanych z bankowością elektroniczną, dodajmy, że w minionym roku mieliśmy ...