Bezpieczeństwo w instytucji finansowej: Warto testować

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter

Banki i instytucje finansowe to łakomy kąsek dla hakerów. Ich ataki są z reguły dobrze przygotowane, a same grupy przestępcze doskonale zorganizowane. Na dodatek obecnie nie można wykluczyć celowych działań skierowanych na destabilizację systemu finansowego niektórych krajów, w tym Polski.

Bohdan Szafrański

Najlepszym sprawdzianem odporności na ataki prowadzone w cyberprzestrzeni są testy i ćwiczenia. Można praktycznie przetestować nie tylko funkcjonowanie zabezpieczeń samej infrastruktury informatycznej, ale również przygotowania organizacji do radzenia sobie w takich sytuacjach. I tak, 29 października ubiegłego roku Fundacja Bezpieczna Cyberprzestrzeń przy współudziale Rządowego Centrum Bezpieczeństwa i firmy doradczej Deloitte zorganizowała Cyber-EXE Polska 2013. Ćwiczenie wspierały Ministerstwo Finansów, Narodowy Bank Polski, Komisja Nadzoru Finansowego i Związek Banków Polskich. Wzięło w nich udział sześć banków reprezentatywnych dla sektora pod względem formy własności oraz oferty bankowości internetowej i mobilnej.

Podobne ćwiczenia organizuje Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA), a jednym z postulatów po ćwiczeniach Cyber Europe 2010 było zorganizowanie podobnych ćwiczeń na poziomie narodowym w krajach członkowskich. Także i w USA organizuje się testy, do których przez dwa lata przygotowuje się kilkadziesiąt organizacji. W listopadzie 2013 r. w Wielkiej Brytanii już po raz drugi odbyły się ćwiczenia sektora finansowego, nastawione głównie na sprawdzenie ciągłości działania instytucji finansowych. Wcześniejsza edycja Cyber Europe 2012 dotyczyła również głównie sektora finansowego. Przeprowadzenie dużych ćwiczeń to koszty i wyzwanie organizacyjne, ale przecież jest to sprawdzian odporności gospodarki na zagrożenia płynące z cyberprzestrzeni.

Jak ćwiczono w Polsce?

W Cyber-EXE Polska 2013 wzięło udział pięć banków komercyjnych, wszystkie z grupy tzw. TOP 200, oraz jeden bank spółdzielczy. Organizatorzy, ze względów bezpieczeństwa, zdecydowali nie ujawniać ich nazw, podobnie zresztą było w przypadku Cyber Europe 2012. W trakcie ćwiczenia banki musiały odpowiedzieć na dwa symulowane ataki teleinformatyczne. Pierwszym z nich był atak typu DDoS, którego efektem było zablokowanie dostępu do stron internetowych i uniemożliwienie klientom przeprowadzania operacji bankowych. Drugim, bardziej zaawansowanym technologicznie, był atak typu APT (Advanced Persistant Threat). Jego celem było pozyskanie wrażliwych informacji i finansowy szantaż banku. Zdarzenia przewidziane w scenariuszu ćwiczenia wymagały dużego zaangażowania i błyskawicznego reagowania. Jednym z celów ćwiczenia, poza sprawdzeniem odporności banków na ataki, było zbadanie sposobów i umiejętności współdziałania podmiotów w skali całego sektora finansowego. Sprawdzano m.in. możliwości współpracy pomiędzy bankami i innymi instytucjami czy organizacjami, takimi jak: Ministerstwo Finansów, Narodowy Bank Polski, Komisja Nadzoru Finansowego i Związek Banków Polskich.

Przygotowane scenariusze ćwiczenia nie były oderwane od rzeczywistości. Dziś najbardziej zagrażają bankom ataki prowadzące do blokady serwisów internetowych związanych z bankowością elektroniczną, dodajmy, że w minionym roku mieliśmy ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI