Forum Bezpieczeństwa Banków 2023: wojna a tendencje w bezpieczeństwie informacji
Komitet zajmujący się bezpieczeństwem i cyberbezpieczeństwem – to również największy Komitet w strukturze ZBP i nie ma tu konkurencji pomiędzy bankami, a jest współpraca. Cyberprzestępcy stosują coraz bardziej wyspecjalizowane metody. Również w minionym roku nastąpił duży cyberatak z innego państwa po wybuchu wojny w Ukrainie.
Prezes ZBP dr Tadeusz Białek wspomniał również o udziale banków w funkcjonowaniu programów publicznych, takich jak choćby 500+.
Ważne jest także wzmacnianie odporności i neutralizacja działań dezinformacyjnych. Jak dodał, regulacje nie nadążają za rozwojem, na przykład dotyczy to wymiany informacji pomiędzy różnymi branżami. Rozwój międzybankowych systemów wymiany informacji jest jednym z priorytetów ZBP.
Bartosz Kublik, wiceprezes ZBP, będzie odpowiadał za obszar bezpieczeństwa i cyberbezpieczeństwa, poinformował dr Tadeusz Białek.
Na zakończenie tej części Forum Bezpieczeństwa Banków 2023 dyrektor Piotr Balcerzak wręczył Medale Mikołaja Kopernika Związku Banków Polskich.
Czytaj także: Co zmienia powstanie w Polsce drugiego centrum przetwarzania danych w chmurze?
Sesja I: Banki w obliczu wojny hybrydowej – wczoraj, dzisiaj i jutro
Piotr Balcerzak, dyrektor Zespołu Bezpieczeństwa Banków w ZBP w wystąpieniu wprowadzającym do dyskusji mówił o problemie związanym z zachowaniem ciągłości działania banków.
W dyskusji panelowej, którą moderował Piotr Balcerzak, udział wzięli: Izabela Błachnio-Wojnowska, dyrektor Biura ds. Programu Cyberbezpieczeństwa i Zarządzania Bezpieczeństwem Informacji w BNP Paribas Bank Polska; Krzysztof Dąbrowski, dyrektor zarządzający Pionem Bezpieczeństwa w Urzędzie Komisji Nadzoru Finansowego; Jarosław Górski, dyrektor Departamentu Bezpieczeństwa w mBanku; Krzysztof Justyński, dyrektor Pionu Bezpieczeństwa w PKO Banku Polskim; Wojciech Kordas, dyrektor Centrum Eksperckiego Przeciwdziałania Oszustwom w ING Banku Śląskim i Dominik Rozdziałowski, dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Obrony Narodowej.
Krzysztof Dąbrowski mówił o niepewności związanej z rozwojem wojny w Ukrainie i o tym, że podjęto działania wychodzące poza standardową rolę UKNF. Powstały zespoły, które miały za zadanie wzmóc odporność sektora.
Krzysztof Justyński podkreślił, że banki musiały podejmować trudne decyzje, a podjęte wtedy decyzje i działania mają również dziś znaczenie.
Jarosław Górski w trakcie dyskusji podkreślił znaczenie wsparcia urzędów UKNF a także NBP.
Izabela Błachnio-Wojnowska mówiła o pomocy Grupy, do której należy BNP Paribas BP, w przygotowaniu do trudnej sytuacji. Grupa miała doświadczenie z epidemią ebola w Afryce i przekazała informacje o zastosowanych rozwiązaniach, w tym dotyczących pracy zdalnej. To pomogło Bankowi przygotować się do pandemii i następnie do działania po wybuchu wojny w Ukrainie.
Krzysztof Justyński mówił o doświadczeniach ukraińskiego KredoBanku, którego właścicielem jest PKO Bank Polski. Podkreślił kwestię ciągłości działania. Plany trzeba cały czas doskonalić i być przygotowanym na różne scenariusze.
Jarosław Górski wspomniał o kolejnych falach ataków DDos i zapewnieniu dostarczanie usługi w kanale zdalnym. Zwrócił uwagę, że takie ataki się rozwijają i są coraz bardziej wyrafinowane Jeśli zaatakowany w nowy sposób bank podzieli się tym co się wydarzyło, to pozwala innym przygotować się na dany rodzaj ataku. Wspomniał też o nowych atakach DNS.
Jak stwierdził Wojciech Kordas – kwestia istnienia państwa, to jak się okazuje w kontekście wojny, też istnienie lub nie systemu finansowego. Jednak za budowę odporności na różne zagrożenia trzeba zapłacić.
W trakcie dyskusji mówiono ponadto o wadze dostępności do gotówki.
Czytaj także: Generał Mieczysław Bieniek o cyberbezpieczeństwie infrastruktury bankowej
Jednak szczególnie ważna jest stabilizacja – dla klientów banków i utrzymania usług finansowych. Jak podkreślono, wojna hybrydowa trwa i będzie trwała niezależnie od sytuacji na wojnie w Ukrainie. Nie powinniśmy skupiać się tylko na obiektach takich, jak choćby serwerownie, ale też zwracać uwagę na usługi krytyczne – na przykład na komunikację lub dostawy energii. Operatorzy infrastruktury krytycznej mogą liczyć na większą ochronę i priorytety ze strony państwa.
Dominik Rozdziałowski podkreślił wagę współpracy pomiędzy strukturami państwa.
W trakcie dyskusji podjęto problematykę poboru do wojska specjalistów z banków oraz wiedzy o tym, którzy pracownicy będą powołani do wojska. Mówiono także o zatrudnieniu osób niepełnosprawnych w działach bezpieczeństwa – nie będą oni służyć w wojsku w trakcie konfliktu zbrojnego. Wspomniano również o przewożeniu gotówki, posiadaniu alternatywnych źródeł zasilania i dostępu do paliwa dla generatorów. Wspomniano o ochronie informacji i wykorzystaniu rozwiązań chmurowych. Także o obsłudze masowego napływu uchodźców przez sektor bankowy, który przebiegł sprawnie i udało się uniknąć zagrożeń, w tym np. związanych z praniem brudnych pieniędzy.
Czytaj także: Banki przeniosą się do Metaversum?
Praktycy o cyberbezpieczeństwie
Bezpieczeństwo w banku – gdzie szukać: najsłabszego ogniwa? Na tak postawione pytanie odpowiedział Dominik Wcibisz, Regional lmplementations Lead w firmie Iron Mountain. Mówił o procesie ITAD (IT Asset Disposition) czyli rewitalizowaniu sprzętu wycofywanego z eksploatacji. Jeśli nie jest to możliwe uzyskuje się elementy elektroniczne oraz odzyskuje materiały.
W ramach procesu ITAD prowadzi się czyszczenie dysków z danych (wykonuje się je trzykrotnie). Podał, że 20% organizacji nie usuwa danych z dysków w ramach procesu. Mówił o certyfikowanym usuwaniu danych, co pozwala takie nośniki danych przekazać do dalszej odsprzedaży. W Polsce organizacje boją się pozbywania takich nośników, choć poza naszym krajem raczej się je po usunięciu danych odsprzedaje. ITAD to możliwość odzyskania części kosztów i ochrona środowiska naturalnego.
Wyzwania w zakresie monitoringu bezpieczeństwa aplikacji bankowości mobilnych przedstawił Piotr Kot, z-ca dyrektora Działu Rozwoju Biznesu w NASK – Państwowym Instytucie Badawczym. Polska jest na trzecim miejscu wśród krajów targetów dotyczących użytkowników mobilnych. Ekspert mówił o złośliwym oprogramowaniu i zmieniających się jego funkcjonalnościach. Wspomniał o serwisach typu Malware as a Service (MaaS). Przedstawił ATS – Automatic Transfer System – obecnie dedykowane też dla systemów mobilnych takich jak Android. Mówił również o kodach QR przenoszących do zainfekowanych stron internetowych. Przedstawił systemy Overlay. NASK udostępnia narzędzie BotSens.
Każdy użytkownik jest użytkownikiem uprzywilejowanym – mówił Tomasz Janiak, Sales Engineer w firmie Delinea. Jak stwierdził, 85% ataków zaczyna się od punktu końcowego w tym dotyczy to też systemów linux itp. Ekspert przedstawił tzw. privileged accounts i sposób jak je zabezpieczyć. Każdy pracownik musi mieć dostęp do systemu, ale potrzebuje go w określonym zakresie i na określony czas. Mówił o historii haseł – wykorzystywanych już w starożytnym Rzymie. Jak podkreślił, po pierwsze trzeba dowiedzieć się jakie są hasła w organizacji i przywileje z nimi związane. Jak stwierdził, Vault nie jest już wystarczający. Wspomniał o rozwiązaniu MFA dla UNIX/Linux oraz Windows.
Zautomatyzowane ataki na aplikacje bankowe – jak ochronić się przed zmorą dzisiejszych czasów? – na tak postawione pytanie odpowiedział Piotr Tkaczyk, Senior Solutions Engineer w firmie F5. Mówił o tym jaki jest koszt niechcianego ruchu (BOTs). Automaty kupują produkty, które pojawiają się w promocjach. Ataki też mogą być zautomatyzowane przez boty. Jak odsiewać ziarno od plew, czyli usunąć ruch generowany przez boty? Jednak musimy do naszej strony WWW dopuścić „dobre” boty np. od Google, które pozycjonują strony. Jak się okazuje boty potrafią już nawet udawać rzeczywistego użytkownika. Tradycyjne metody zabezpieczeń się już nie sprawdzają. Ekspert omówił również nowoczesne rozwiązania firmy F5. Przedstawił WAAP-as-a-Service.
