BANK 2020/08

Forum Technologii Bankowych | Wydanie Specjalne | Jak postępować w trakcie i po cyberataku

Maciej Kowal | Miesięcznik Finansowy BANK
Forum Technologii Bankowych | Wydanie Specjalne | Jak postępować w trakcie i po cyberataku
Fot. zenzen/stock.adobe.com
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Skuteczna reakcja na incydenty bezpieczeństwa może być dużym wyzwaniem dla każdej organizacji. W przypadku banków kluczowe znaczenie mają uprzednio przygotowane procedury i szybkość reakcji oraz to, czy, jak i kiedy informować klientów o incydencie.

Podstawą jest być dobrze przygotowanym, a to, w pierwszej kolejności, oznacza konieczność wypracowania właściwych procedur. Specjaliści od cyberbezpieczeństwa przekonują, że firmy muszą zapewnić odpowiednie zasoby, by szybko i skutecznie móc zareagować na każdą formę naruszenia bezpieczeństwa teleinformatycznego. Przede wszystkim należy mieć plan reagowania na incydenty. Niezbędna jest weryfikacja dokładności i sprawności działania systemów monitorujących, tylko w ten sposób można zapewnić sobie kompleksową analizę zagrożeń na bieżąco i w przyszłości.

Po wystąpieniu incydentów związanych z bezpieczeństwem należy też stale monitorować swoje sieci, by mieć pewność, że intruzi zostali w pełni zablokowani. Szczególnie zalecane jest przeprowadzenie przeglądu systemów po epizodzie, aby zidentyfikować niedociągnięcia w planowaniu i ocenić, jak przebiegała realizacja wcześniej przygotowanego planu reagowania. W tym kontekście niezwykle istotne jest dokładne dokumentowanie zdarzenia – od początku wystąpienia naruszenia do jego całkowitego usunięcia. Pozwoli to nie tylko dokładniej informować o problemie inne instytucje i kontrahentów, ale też poprawić własny plan reagowania na przyszłe, podobne incydenty.

Nasilenie zagrożeń

Sytuacja spowodowana pandemią COVID-19 zwiększyła liczbę ataków na banki. Przestępcy szczególnie ostro wzięli się za najsłabsze ogniwo systemu finansowego, jakim jest jego klient. W artykule, opublikowanym w kwietniu w brytyjskim serwisie „Fintech Futures„, Sharon Kimathi przedstawiła listę awarii IT i cyberataków, które miały miejsce w I kw. br. Przykładem może być Travelex, witryna wymiany walut z siedzibą w Londynie, która poddała kwarantannie stronę internetową i systemy wewnętrzne po cyberataku, przeprowadzonym w Sylwestra. Firma zamknęła swoje systemy, aby zapobiec rozprzestrzenianiu się wirusa.

Przestój negatywnie wpłynął na kilka głównych banków w Wielkiej Brytanii, w tym Barclays, Lloyds i Royal Bank of Scotland, ponieważ wykorzystują one Travelex do świadczenia usług wymiany walut. To dowód na to, w jak wielkim stopniu kłopoty poddostawców usług świadczonych przez banki mogą mieć wpływ na klientów tych instytucji.

Finastra, jeden z głównych światowych dostawców usług bankowych, przywrócił swoje serwery do trybu online po tym, jak firma padła ofiarą ataku ransomware 20 marca br. Dyrektor operacyjny wydał oświadczenie o wykryciu próby wprowadzenia złośliwego oprogramowania do sieci Finastry. Cztery główne banki na rynku greckim, Alpha Bank, Piraeus Bank, Eurobank i Narodowy Bank Grecji anulowały 15 tys. kart kredytowych i debetowych po styczniowym wykradzeniu danych kart płatniczych, używanych przez niektórych ich klientów na greckim portalu usług turystycznych. W tym przypadku instytucje wydały wspólne oświadczenie, w którym przyznano, że „kilkudziesięciu” klientów zostało obciążonych transakcjami, których nigdy nie dokonali, dlatego też postanowiono stopniowo anulować i wymienić wszystkie 15 tys. kart, użytych w serwisie turystycznym.

W maju Bank of America poinformował, że niektóre dane klientów mogły zostać ujawnione podczas realizacji… programu ochrony płatności – inicjatywy rządu USA, stworzonej w celu udzielania pożyczek biznesowych podczas pandemii COVID-19. Do wycieku mogło dojść prawie miesiąc wcześniej, gdy aplikację związaną z przyjmowaniem wniosków testowano i dane z instytucji przesyłano na platformę testową. Bank zaoferował osobom dotkniętym możliwym wyciekiem przedpłacone, dwuletnie członkostwo w usłudze ochrony przed kradzieżą tożsamości.

Informowanie klientów

Banki muszą dbać o reputację, by klienci mogli czuć się bezpiecznie, korzystając z ich usług. Coraz większa jest świadomość społeczna, że każdy z nas, jak również i każda instytucja finansowa, może paść ofiarą cyberataku. Informacje o jakimkolwiek zakłóceniu świadczenia usług drogą cyfrową bardzo szybko docierają do opinii publicznej poprzez serwisy społecznościowe. Dlatego dziś tak ważny jest szybki kontakt z klientami i informowanie o problemie, bo ci i tak mogą uzyskać stosowną informację z innego źródła, niekoniecznie przychylnego dla banku.

Firma hSo, która zajmuje się wdrażaniem rozwiązań chmurowych i telekomunikacyjnych, radzi swoim klientom, żeby w pełni i od razu informowali swoich kontrahentów o problemach związanych z bezpieczeństwem, zwłaszcza kiedy dotyczyły one kradzieży danych. Wydawane komunikaty często nie informują w pełni o sytuacji, tylko zapewniają zainteresowane strony, że podejmowane są wysiłki, aby przywrócić bezpieczeństwo. Jako przykład podano LinkedIn w 2012 r. Wówczas haker infiltrował system i próbował sprzedać 6,5 mln haseł użytkowników. Wtedy firma milczała, co w konsekwencji spowodowało medialną „burzę ogniową„, a odzyskiwanie zaufania użytkowników serwisu trwało wiele lat.

Informacje o jakimkolwiek zakłóceniu świadczenia usług drogą cyfrową bardzo szybko docierają do opinii publicznej poprzez serwisy społecznościowe. Dlatego dziś tak ważny jest szybki kontakt z klientami i informowanie o problemie, bo ci i tak mogą uzyskać stosowną informację z innego źródła, niekoniecznie przychylnego dla banku.

Reagować szybko i zdecydowanie należy nawet wtedy, jeśli to ktoś inny ujawni naruszenie, zanim firma zda sobie z tego sprawę – co przecież może się zdarzyć. Nie ma bowiem na świecie systemu, który byłby w 100% bezpieczny i nawet dobrze przygotowane instytucje nie są odporne na błędy. Tymczasem dla klienta znaczenie ma nie tyle ustalenie winnego, ile skuteczna ochrona jego danych. Aktywnym należy pozostać także w mediach społecznościowych, ponieważ w nich informacje, zwłaszcza fałszywe, rozprzestrzeniają się niezwykle szybko. Również i obowiązujące przepisy wymuszają szybką reakcję w przypadku utraty danych klientów. Dotychczasowe doświadczenia z różnych sposobów reagowania i komunikacji z klientami w sytuacji kryzysu wywołanego atakiem potwierdzają, jak złe emocje budzi przypisanie dostawcy usług odpowiedzialności za naruszenie danych. Dlatego tak istotne jest, aby właściwie sformułować komunikat i określić odpowiedzialność za naruszenie bezpieczeństwa, ponieważ ma to bezpośredni wpływ na reputację.

Wymiana informacji

Jeśli chodzi o informowanie o ataku innych uczestników rynku, sytuacja wygląda nieco inaczej. Banki, choć na co dzień rywalizują ze sobą, mają świadomość, że w obszarze bezpieczeństwa więcej korzyści przynosi współpraca. W lipcu 2017 r. przy Związku Banków Polskich powstało Bankowe Centrum Cyberbezpieczeństwa, którego celem jest wykrywanie cyberzagrożeń, ich analiza i operacyjne przeciwdziałanie skutkom ataków hakerskich na systemy informatyczne banków i innych instytucji publicznych. W styczniu 2018 r. zarząd izby utworzył Zespół Bezpieczeństwa Banków ZBP, w ramach którego funkcjonuje jednostka operacyjna FinCERT.pl – Bankowe Centrum Cyberbezpieczeństwa ZBP (FinCERT.pl – BCC ZBP). Prowadzi ono stałą działalność operacyjną. Ważnym elementem prac jest budowanie właściwej polityki informacyjnej o incydentach naruszających bezpieczeństwo banków lub klientów korzystających z produktów i usług bankowych oferowanych w kanałach zdalnych.

Aktywowano też zespół analityczno-badawczy ds. cyberbezpieczeństwa, którego prace koncentrują się na zwiększaniu bezpieczeństwa sektora bankowego w obszarze ex ante oraz budowaniu strategii długoterminowej. W marcu br. Komenda Główna Policji i FinCERT.pl we wspólnym komunikacie ostrzegały np. o oszukańczych ogłoszeniach związanych z epidemią COVID-19, w których informowano o rzekomym przejęciu przez NBP środków klientów zdeponowanych w bankach. W celu zablokowania przejęcia całości zgromadzonych na rachunku środków należało wejść na stronę, poprzez którą wyłudzano informacje od klientów związane z logowaniem się w bankowości internetowej. To jeden z ostatnich przykładów działań FinCERT.pl. W naszym kraju funkcjonuje także Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni.

Niezależnie od tego, jakie działania o charakterze ochronnym będą podejmowane, zawsze niejako będą one odpowiedzią na inwencję i pomysłowość cyberprzestępców. Uczestnicy ubiegłorocznego Europejskiego Kongresu Finansowego zwracali uwagę nie tylko na konieczność zastosowania technologii umożliwiających zwinne działanie, ale też rozwiązań organizacyjno-prawnych, bazujących na współpracy i wewnątrz sektora, i międzysektorowej. Dziś przy świadczeniu usług finansowych obserwujemy tworzenie się całych łańcuchów dostaw, w których uczestniczą jednostki z różnych sektorów. Aby osiągnąć wymagany cel, potrzeba również zmian regulacyjnych, umożliwiających wymianę danych między organizacjami wewnątrz sektora finansowego oraz z instytucjami nadzoru. Wskazane byłoby również zacieśnienie współpracy z innymi jednostkami państwa, w tym NASK, oraz z sektorem telekomunikacyjnym w zakresie przeciwdziałania cyberprzestępczości.

Współpraca takowa jest bardzo ważna, jednak nie zdejmuje ona z menedżerów i organizacji obowiązku samodzielnego podejmowania kroków zapobiegających naruszeniu bezpieczeństwa. Nie da się tego zrobić bez inwestycji, także w obszarze szkolenia pracowników.

Źródło: Miesięcznik Finansowy BANK