Forum Bezpieczeństwa Banków 2022, konflikt zbrojny i wojna hybrydowa a bezpieczeństwo sektora bankowego
Karol Mórawski: Ten rok jest szczególny, co widać w programie Forum. Dotąd dyskusje na temat cyberzagrożeń koncentrowały się wokół zorganizowanej przestępczości, obecnie na pierwsze miejsce wysuwają się zagrożenia związane z rosyjską agresją. Pytanie, na ile ten system cyberbezpieczeństwa w sektorze finansowym, budowany pod kątem przeciwdziałania atakom stricte kryminalnym, sprawdzi się w obliczu nowej zimnej wojny?
Maciej Ogórkiewicz: Według mnie sektor finansowy jest przygotowany do radzenia sobie z różnego rodzaju zagrożeniami. Przez lata banki były w awangardzie wobec innych obszarów gospodarki, dlatego, że wymuszał to na nas rynek, klient, ale również regulacje czy też poczucie własnej odpowiedzialności banków jako instytucji zaufania publicznego.
Nie zakładaliśmy, kto konkretnie będzie chciał zrobić coś nielegalnego wobec banku jako organizacji. Dla ludzi, których celem jest zapewnienie bezpieczeństwa bankowi jako organizacji i zasobom, powierzonym przez klientów nie ma szczególnej różnicy, czy ataku dopuszcza się zorganizowana grupa przestępcza kierująca się motywami typowo kryminalnymi, czy też grupa działająca na zlecenie obcego państwa.
Nigdy nie wiadomo, czy jesteśmy stuprocentowo przygotowani na ewentualne wyzwania, cytując stare powiedzenie wojskowych, że generałowie są gotowi na wojny, które się już odbyły
Techniki stosowane w obu przypadkach są analogiczne, jest tylko kwestia tego, na ile ten atak będzie zaawansowany, w jakim stopniu będzie wykorzystywał podatności albo luki, wreszcie czy zostaną na to położone większe środki niż przy standardowym działaniu kryminalnym.
Jeśli celem jest zmonetyzowanie ataku, to sprawcy nie będą na ten cel przeznaczać nieproporcjonalnie dużych środków, z kolei jeśli motywacje są inne, np. szpiegostwo czy rozkład funkcji państwa czy sektora bankowego, wtedy można się pokusić o większe zaawansowanie.
Podsumowując, nigdy nie wiadomo, czy jesteśmy stuprocentowo przygotowani na ewentualne wyzwania, cytując stare powiedzenie wojskowych, że generałowie są gotowi na wojny, które się już odbyły.
Warto jednak podkreślić, że banki inwestowały znacznie więcej w cyberbezpieczeństwo niż inne działy gospodarki.
Czytaj także: Forum Bezpieczeństwa Banków 2022. Kluczowe kierunki zmian w przepisach dotyczących prania pieniędzy
Jakie zatem główne wyzwania wysuwają się na pierwszy plan w obliczu sytuacji za naszą wschodnią granicą?
Aspektem, któremu należy przyjrzeć się w kontekście ewentualnych zagrożeń natury militarnej jest odporność państwa czy całego systemu naczyń połączonych, przede wszystkim infrastruktury krytycznej.
W sytuacji ewentualnego konfliktu zbrojnego, który będzie się toczył również w cyberprzestrzeni, jakiekolwiek przerwy w działaniu dwojaki wymiar.
Aspekt, który przede wszystkim mnie niepokoi, to są takie ataki czy zdarzenia, których my nie widzimy i nie jesteśmy im w stanie przeciwdziałać
Przede wszystkim system przestaje działać, w związku z czym musimy sobie z tym radzić na zasadzie incydentu.
Druga kwestia to jest wymiar wizerunkowy. Na wszelkie niedostępności, czy zaobserwowane problemy z ciągłością funkcjonowania kluczowych sektorów gospodarki niezwłocznie reagować będzie społeczeństwo, czy to wybierając gotówkę z banku, czy też zabezpieczając waluty bądź paliwa. To przekłada się później na różnego rodzaju problemy operacyjne.
Drugi aspekt, który przede wszystkim mnie niepokoi, to są takie ataki czy zdarzenia, których my nie widzimy i nie jesteśmy im w stanie przeciwdziałać.
Chodzi przede wszystkim o rok 2021, w którym mieliśmy do czynienia z dużą liczbą incydentów czy ataków z użyciem luk, które nie są znane dostawcom – luki 0-day.
Wcześniej mieliśmy do czynienia z takimi atakami, które nie były kierowane przeciw konkretnej ofierze, czyli nie bezpośrednio na dany podmiot, ale poprzez pośredni atak na podmiot współpracujący w zakresie rozwiązań serwisowych czy jako dostawca oprogramowania.
W takich przypadkach można mieć do czynienia np. z wykorzystaniem luk i słabości systemów dostawców lub lukami i błędami w kodzie dostarczonym wraz z zakupionym rozwiązaniem IT.
