Artykuły | Cyberbezpieczeństwo

Forum Bezpieczeństwa Banków, wojna hybrydowa i cyberbezpieczeństwo

Bohdan Szafrański | aleBank.pl
Forum Bezpieczeństwa Banków, wojna hybrydowa i cyberbezpieczeństwo
FBB 2022. Źródło: ZBP
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
W tym roku ponownie w formie stacjonarnej odbyło się "XI Forum Bezpieczeństwa Banków 2022". Pierwsza sesja nosiła tytuł "Zagrożenia i cyberincydenty związane z międzynarodowym konfliktem zbrojnym i wojną hybrydową".

Na wstępie XI FBB, Adam Tochmański, dyrektor Departamentu Systemu Płatniczego w NBP przedstawił działania Narodowego Banku Polskiego na rzecz bezpieczeństwa płatności w Polsce.

Bank centralny w systemie bezpieczeństwa płatniczego

Przypomniał o opracowanych w 2012 r. zasadach dotyczących infrastruktury rynków finansowych. Podejmowane działania pozwoliły zwiększyć odpowiedzialność prawną operatorów systemów płatności na wypadek niewypłacalności danego uczestnika rynku. Jednym z działań nadzorczych NBP jest monitorowanie incydentów, jakie wystąpiły w systemach płatności w schematach płatniczych.

Jak podkreślił, szczególne znaczenie dla systemu bezpieczeństwa płatniczego mają sprawy dotyczące cyberbezpieczeństwa. Wspomniał w tym kontekście o dyrektywie NIS przyjętej 6 lipca 2016 r., która jest pierwszym europejskim prawem w zakresie cyberbezpieczeństwa.

Przykładem regulacji NBP, w której wdrożono aspekty dotyczące bezpieczeństwa, jest Zarządzenie Prezesa NBP w sprawie sposobu przeprowadzania rozliczeń i rozrachunków międzybankowych, które obowiązuje od lutego 2018 r., czyli po uzupełnieniu delegacji ustawowej o zakres rozliczeń międzybankowych.

Adam Tochmański podkreślił rolę organów opiniodawczych działających przy zarządzie NBP takich jak Rada ds. Systemu Płatniczego i Rada ds. Obrotu Gotówkowego.

Działania podejmowane przez te organy to między innymi w 2013 r. przygotowanie rekomendacji dotyczących kart zbliżeniowych jako odpowiedzi na pojawiające się w społeczeństwie wątpliwości dotyczące bezpieczeństwa ich użytkowania.

Wspomniał o powołaniu w ostatnim czasie grupy roboczej, która ma ocenić różne aspekty bezpieczeństwa polskiego systemu płatniczego, w tym w szczególności dotyczących płatności detalicznych. Jak podkreślił, ważne jest zaufanie do polskiego pieniądza, a nasz system płatności uważany jest za bardzo bezpieczny i nowoczesny.

Cyberbezpieczeństwo i wojna hybrydowa

Zagrożenia i cyberincydenty związane z międzynarodowym konfliktem zbrojnym i wojną hybrydową były tematem pierwszej sesji FBB.

W zakresie tematycznym Sesji, poza głównym tematem, rozmawiano też o koordynacji działań polskiego sektora bankowego przez FinCERT.pl – Bankowe Centrum Cyberbezpieczeństwa ZBP i CSIRT KNF.

Wprowadzając do debaty jej moderator Piotr Balcerzak – dyrektor Zespołu Bezpieczeństwa Banków w ZBP stwierdził, że w obecnej sytuacji politycznej „rano nie wiemy, co się zdarzy wieczorem”, a wojna otworzyła przestrzeń dla przestępców i pojawiły się nowe rodzaje ryzyka.

W dyskusji panelowej udział wzięli: Maciej Ogórkiewicz – CISO, dyrektor Departamentu Bezpieczeństwa IT w ING Banku Śląskim, Grzegorz Poznaniak – Chief Information Security Officer w Santander Bank Polska, Jarosław Biegański – zastępca dyrektora Departamentu Bezpieczeństwa Banków w ZBP oraz Izabela Błachnio-Wojnowska – dyrektor biura ds. Programu Cyberbezpieczeństwa i Zarządzania Bezpieczeństwem Informacji w BNP Paribas Bank Polska.

Jak stwierdził Maciej Ogórkiewicz, z atakami z użyciem malware głównie przez kanał e-mail, zabezpieczenia radziły sobie dobrze. W Ukrainie już w połowie stycznia pojawił się malware (udający tylko ramsonware), który niszczył sektor uruchomieniowy dysków i pliki. Na początku konfliktu malware atakował centralne instytucje i infrastrukturę krytyczną Ukrainy.

Te ataki przeplatały się z atakami DDoS. Atakowano systemy przemysłowe i energetyczne.

Podkreślono, że Polska nie była celem tych ataków. Jak dodał Grzegorz Poznaniak, w pierwszych dniach wojny obserwowano dużą skalę skanowań infrastruktury. Jak stwierdzono w trakcie dyskusji, nasz sektor bankowy już od kilku miesięcy boryka się ze zwiększoną liczbą ataków typu odmowy usługi (DDoS).

Jednak trzeba na to zjawisko spojrzeć szerzej. Chodzi o coraz łatwiejszy dostęp do narzędzi służących do przeprowadzenia takich ataków. Dlatego bezpieczeństwo trzeba dziś budować holistycznie, np. współpracować z dostawcami infrastruktury telekomunikacyjnej.

W czasie wojny w Ukrainie nie zaobserwowano zwiększenia się liczby ataków tego typu. Wspomniano o rekomendacji przygotowanej w ZBP, w której zawarto check listę pozwalającą sprawdzić, czy dana organizacja ma odpowiednią odporność. Niektórych opóźnień nie da się szybko nadrobić, a trzeba niewiele, żeby zaufanie klientów nadwyrężyć.

Izabela Błachnio-Wojnowska mówiła o działaniach podejmowanych w Ukrainie (Grupa ma w tym kraju swój bank).

Jak się okazało, bankomaty i oddziały banków w Ukrainie w większości miejsc działały. Pracownicy pracowali zdalnie i to po doświadczeniach związanych z pandemią nie było sytuacją nieznaną wcześniej.

Uczestnicy debaty zwracali uwagę na potrzebę przeciwdziałania fake news. Po wybuchu pandemii też pojawiła się panika, że nie będzie pieniędzy w bankomatach i szybko zabrakło gotówki, bo zapotrzebowanie klientów wzrosło.

Grzegorz Poznaniak zwrócił uwagę na ważną rolę informacyjną mediów. Jak się okazało, nie wzrosła aktywność przestępców chcących wykorzystać okazję, jaką był wybuch wojny.

W pierwszych dniach wojny liczba ataków fraudowych na klientów prowadzona przez telefon się zmniejszyła. Powodem było zamknięcie możliwości ataków z przestępczych call center, których wiele było zlokalizowanych w Ukrainie. Rozpadły się też grupy przestępcze, w których działali razem Ukraińcy i Rosjanie. Miały one także problemy z transferami środków pochodzących z przestępstw.

Teraz działalność ta zaczyna się odbudowywać i obecnie stanowi już ok. 40 – 50% poprzedniego okresu. Obserwuje się próby zakładania kont na tzw. słupy – obywateli Ukrainy.

Można przewidywać wzrost skali ataków na Ukraińców, bo nie mają oni jeszcze doświadczenia w „bankowaniu” w naszym kraju. Jak stwierdzono, nasz sektor bankowy powinien wykazać się jeszcze większą empatią i tłumaczyć takim klientom zasady bezpiecznego korzystania z usług finansowych, np. jak zgłosić utratę dokumentów, kart płatniczych itp. Podsumowując debatę, za ważną uznano wymianę informacji pomiędzy urzędami oraz wymianę międzysektorową, na przykład dotyczącą tożsamości skompromitowanych, artefaktów i cyberataków.

Firmy technologiczne i ich oferta dla sektora finansowego

W kolejnej części Forum uczestnicy mogli zapoznać się z prezentacjami dotyczącymi rozwiązań związanych z zapewnieniem wysokich standardów bezpieczeństwa w sektorze finansowym.

Filip Zwierzyński – Systems Engineer w firmie Dell Technologies przedstawił podejście firmy Dell, które jest odpowiedzią na coraz bardziej złożone ataki na infrastrukturę informatyczną firm z sektora finansowego.

Jak wynika z badania, które objęło 4 tys. klientów z 16 krajów, aż 1/3 z nich ma obawy związane z cyberbezpieczeństwem.

Nawet prosty komponent sprzętowy ma dziś swój firmware, czyli oprogramowanie, które może być sposobem na przeniknięcie przestępcy do infrastruktury firmy. Dlatego ważne jest zaufanie do jej dostawcy.

Dell stosuje najlepsze praktyki przy pisaniu bezpiecznego kodu. Śledzi wszystkie elementy, chroniąc przed wprowadzeniem do nich zmian przez nieupoważnione osoby. Już na poziomie hardware są zaszyte funkcje związane z bezpieczeństwem. Nie jest np. możliwa zmiana UEFI na nieautoryzowany. Dell oferuje też tzw. Cyfrowy Bunkier. Przedstawiciel firmy Dell mówił również o praktycznym wdrożeniu zasady Zero Trust.

Jak szybko wprowadzić uwierzytelnianie wieloskładnikowe (MFA) w całej organizacji? Na tak postawione pytanie, na przykładzie rzeczywistego case study wdrożenia w banku BNP Paribas Polska, odpowiedzieli Krzysztof Góźdź – dyrektor sprzedaży w firmie Secfense i Karolina Czwarno-Kos – Lead Security Officer w banku BNP Paribas Polska.

Prelegenci zwrócili uwagę, że już kilka lat temu Google wyposażył wszystkich (wtedy 85 tys.) pracowników w klucze sprzętowe do uwierzytelniania się w systemach informatycznych. Microsoft wprowadził usługę Windows Hello, a teraz rozszerza ją do logowania się do ich usług aplikacji w Internecie.

Ostatnio też prezydent Biden wydał dekret i wymógł obowiązek dwuskładnikowego uwierzytelnienia we wszystkich instytucjach federalnych. Przedstawiono, jak w praktyce wygląda uwierzytelnienie wieloskładnikowe. Bank BNP Paribas Polska ma obecnie ok. 150 systemów krytycznych, a do 70 z nich jest możliwy dostęp z Internetu.

Już w czasie pandemii ważne było zachowanie bezpieczeństwa niezależnie czy ktoś pracował zdalnie, czy w oddziale. Jak się okazuje, ponad 80% włamań zaczyna się od przejęcia konta użytkownika. System oferowany przez Secfense pozwala na zabezpieczenie dowolnej aplikacji.

Zero Trust

Kontrola podstawą bezpieczeństwa, czyli kryzys zaufania tożsamości w systemach informatycznych – to temat prezentacji Jakuba Jagielaka, pełniącego obowiązki Cybersecurity Team Technology Leader w firmie Atende.

Instytucja finansowa, która komunikuje się ze swoim klientem, nie może pozwolić sobie, żeby jej usługa przestała z jakiegoś powodu funkcjonować. Jak stwierdził, najwięcej ataków jest związanych z błędem ludzkim i to najczęściej celowym ze strony osoby wewnątrz organizacji.

Dlatego też powstała filozofia Zero Trust. Zgodnie z nią każdy jest dla systemu potencjalnym przestępcą.

Prelegent przedstawił ewolucję systemów cyberbezpieczeństwa, które dziś obejmują zakres od ochrony sprzętowej poprzez stacje końcowe do ochrony danych.

Mówił o potrzebie pozyskania wiedzy, na przykład kto (lub jakie urządzenie) i przy pomocy jakiego narzędzia loguje się do systemu. Przedstawił narzędzia firmy Fortinet, które można w tym celu wykorzystać.

Źródło: aleBank.pl