FTBS 2023: cyberbezpieczeństwo banków – zagrożenia i nowe perspektywy
Prezentację FinCERT.pl, BCC ZBP przedstawił dr Jarosław Biegański, zastępca dyrektora Zespołu Bezpieczeństwa Banków w ZBP. Jak stwierdził, nigdy nie można być pewnym, kto jest po drugiej stronie urządzenia. Coraz częściej sprawca próbuje przeniknąć do organizacji i ją zinfiltrować. Używa innego kanału np. komunikatora, bo wie, że prezes firmy wyjechał, co tłumaczy inny niż zwykle sposób jego kontaktu z pracownikami. Wtedy może zlecić na przykład, że należy wykonać jakiś przelew, za coś zapłacić itp.
Jednak nawet jeśli po czasie zorientujemy się, że wykonano przelew na oszukańcze konto, to należy skontaktować się z bankiem, a ten może zadzwonić do FinCERT i można jeszcze zablokować płatność – nawet gdy środki trafiły już do innego, nawet zagranicznego banku. Ekspert podał przykład skutecznego zablokowania środków w banku w Hiszpanii.
Podkreślił także wagę wymiany informacji o fraudach i zagrożeniach w sektorze finansowym. Zachęcał do obejrzenia filmów dotyczących bezpieczeństwa przygotowanych przez Warszawski Instytut Bankowości (WIB): https://www.wib.org.pl/multimedia/.
Wyzwania w zakresie monitoringu bezpieczeństwa aplikacji bankowości mobilnych przedstawił Piotr Kot, zastępca dyrektora Działu Rozwoju Biznesu w NASK – Państwowym Instytucie Badawczym.
– BotSense to system stworzony przez ekspertów NASK, który od wielu lat skutecznie chroni użytkowników bankowości elektronicznej w kilkunastu dużych bankach. Efekty naszej pracy mają wymierne skutki, a jednym z nich jest np. zniwelowanie ataków MitB (Man in the Browser) w Polsce. To duże osiągnięcie nie oznacza jednak, że nasza praca jest skończona – wręcz przeciwnie.
Wciąż obserwujemy wzmożony rozwój narzędzi służących do nowych ataków na użytkowników bankowości mobilnej oraz rozwój scenariuszy socjotechnicznych związanych ze „zdalnym pulpitem” – powiedział Piotr Kot.
Jak stwierdził, priorytetem NASK jest bezpieczeństwo użytkowników, dlatego stworzono ofertę, dzięki której system jest dostępny dla różnej wielkości instytucji finansowych. Sądzi, że dynamicznie rozwijające się banki spółdzielcze znajdą rozwiązania, które uszczelnią procesy transakcyjne i zabezpieczą także ich użytkowników.
Już w 2022 roku rozpoczęto współpracę z pierwszą firmą dostarczającą usługi e-bankowości spółdzielczej, którą jest I-BS Sp. z o.o., aktualnie domykane są szczegóły z kolejnymi partnerami.
Jak to działa? Głównym zadaniem Systemu BotSense jest wykrywanie w czasie rzeczywistym aktywności złośliwego oprogramowania wykorzystywanego przeciwko użytkownikom bankowości elektronicznej kanału webowego oraz mobilnego. System BotSense wspomaga ochronę użytkowników bankowości elektronicznej, wykrywając różnego rodzaju próby ataków ukierunkowanych na cyfrowe kanały, w tym próby: przejęcia konta, kradzieży środków z kont bankowych czy kradzieży danych wrażliwych, w tym danych osobowych.
Oprócz wspomnianej ochrony przed atakami typu „zdalny pulpit” System BotSense zapewnia skuteczną ochronę przed m.in.: trojanami bankowymi typu MitB (Man-in-the-Browser), phishingiem, podmianą numeru konta z wykorzystaniem malware typu Bnatrix, VBKlip, malware mobilnym oraz przesłoną chronionej aplikacji (Mobile Overlay). Co ważne, rozwiązanie w aktualnej wersji nie zbiera żadnych informacji o klientach banku, pozostając w pełnej administracji i zarządzaniu w ramach infrastruktury partnerów.
Czytaj także: FTBS 2023: rola banków zrzeszających dla rozwoju systemów IT bankowości spółdzielczej
Zrzeszenia a nowoczesne systemy ochrony danych
Wspólnie złammy MFA oparte o SMS i natychmiast wprowadźmy coś lepszego – tak zatytułował swoje wystąpienie Krzysztof Góźdź, Sales Manager w firmie Secfense.
Jak podkreślił banki spółdzielcze i zrzeszenia odgrywają kluczową rolę w zapewnieniu cyberbezpieczeństwa. Jest kilka istotnych działań, które powinny być podjęte w celu ochrony danych i minimalizacji zagrożeń.
Po pierwsze, konieczne jest inwestowanie w nowoczesne systemy ochrony danych. W dynamicznym środowisku zagrożeń cybernetycznych, posiadanie zaawansowanych narzędzi i rozwiązań technologicznych jest niezbędne. Systemy te powinny być zdolne do wykrywania i neutralizacji ataków, a także regularnie aktualizowane, aby być na bieżąco z najnowszymi zagrożeniami.
Po drugie wdrażanie odpowiednich procedur bezpieczeństwa jest kluczowe. Banki spółdzielcze i zrzeszenia powinny opracować i stosować polityki bezpieczeństwa, obejmujące zarządzanie dostępem do danych, monitorowanie transakcji, zabezpieczanie sieci komputerowych oraz szybką reakcję na incydenty. Regularne audyty bezpieczeństwa są nieodzowne dla identyfikacji słabych punktów i wprowadzenia niezbędnych poprawek.
Po trzecie, edukacja pracowników i klientów jest kluczowa dla skutecznej ochrony przed zagrożeniami cybernetycznymi. Banki spółdzielcze i zrzeszenia powinny regularnie szkolić swoich pracowników, zwiększając ich świadomość i umiejętności w identyfikacji potencjalnych zagrożeń. Ponadto dostarczanie klientom informacji na temat bezpiecznego korzystania z usług bankowych jest niezwykle ważne, tak aby byli w stanie rozpoznawać próby phishingu czy chronić swoje dane osobowe.
Istotna jest rola zrzeszeń w zapewnieniu współpracy i wymiany informacji między bankami spółdzielczymi. Zrzeszenia mogą pełnić rolę platformy, na której banki mogą dzielić się swoimi doświadczeniami i najlepszymi praktykami w zakresie cyberbezpieczeństwa. Organizowanie szkoleń, seminariów i konferencji może przyczynić się do podniesienia poziomu świadomości i wiedzy na temat zagrożeń cybernetycznych.
– Podsumowując, banki spółdzielcze i zrzeszenia muszą podejmować szereg działań w celu zapewnienia cyberbezpieczeństwa, takich jak inwestowanie w nowoczesne systemy ochrony danych, wdrażanie procedur bezpieczeństwa, edukacja pracowników i klientów oraz współpraca poprzez zrzeszenia w celu wymiany informacji i najlepszych praktyk – stwierdził Krzysztof Góźdź.
Platforma Biometrii Behawioralnej BIK
O biometrii behawioralnej w cyberbezpieczeństwie mówił Michał Łukasiewicz, Lider Strumienia Antyfraudowego w BIK.
– Bezpieczeństwo od zawsze było najważniejszym priorytetem bankowości, ale w obecnych realiach coraz bardziej cyfrowej gospodarki oznacza to również kompleksową opiekę nad klientem i jego osobistym bezpieczeństwem w świecie online. Począwszy od stworzenia dla niego świetnego produktu, poprzez zapewnienie bezpieczeństwa, jednocześnie dbając o jego pozytywne doświadczenia, aż po edukację.
Ważne jednak, by wszystkie te elementy ze sobą współdziałały, bo bezpieczeństwo to jest ciągły proces. Produkt nie będzie doskonały, jeśli nie będzie odpowiednio zabezpieczony przed działaniami oszustów. A to i tak nie wystarczy, jeśli klient nie zostanie odpowiednio wyedukowany, jak ma reagować na próby wyłudzeń, coraz większą plagę naszych czasów – powiedział Michał Łukasiewicz.
Dlatego tak istotne w ochronie przed atakami cyberoszustów jest stosowanie wielowarstwowej ochrony, rozłożenie nad klientem parasola ochronnego, nie tylko podczas logowania, ale także w trakcie trwania całej sesji. Jest to jeden z kluczowych elementów, by znacząco podnieść bezpieczeństwo użytkownika, zminimalizować ryzyko nadużyć, m.in. coraz bardziej powszechnych oszukańczych transakcji.
Właśnie z myślą o tym powstała Platforma Biometrii Behawioralnej BIK – jako nowa warstwa zabezpieczeń. Ideą rozwiązania jest podniesienie bezpieczeństwa dostępu użytkownika do konta bankowego poprzez wykorzystanie jako zabezpieczenia jego własnego zachowania. Dzięki mechanizmom biometrii behawioralnej klient w trakcie wykonywania operacji w bankowości elektronicznej jest weryfikowany na podstawie tego, w jaki sposób korzysta z klawiatury, myszki, czy też telefonu. Atakujący ma zdecydowanie mniejsze szanse powodzenia na podjęcie działań na nie-swoim koncie, bo każdy z nas jest inny i biometria behawioralna to sprawdza.
Cała weryfikacja odbywa się w tle i nie wymaga od użytkownika dodatkowych działań w postaci przepisywania SMS czy instalowania oprogramowania.
– Co ważne, Platforma Biometrii Behawioralnej BIK zbudowana w oparciu o technologię dostarczoną przez Digital Fingerprints (spółkę z Grupy BIK) jest jedynym rozwiązaniem sektorowym umożliwiającym wymianę danych pomiędzy bankami w Polsce. Klient może być chroniony w równym stopniu w każdym banku, który przyłączy się do Platformy. Rozwiązanie zgodnie ze strategią BIK pozwala zwiększać bezpieczeństwo wszystkich uczestników rynku, a dodatkowo efekt skali zapewnia efektywność kosztową dla jej uczestników – dodał Michał Łukasiewicz.
Cyberbezpieczeństwo: doświadczenia SGB-Banku i Zrzeszenia
Czy sama technologia nam wystarczy dla obrony przed zagrożeniami – jak wesprzeć banki spółdzielcze – doświadczenia SGB? Na tak postawione pytanie odpowiedzieli: Daniel Krzywiec, dyrektor Departamentu Cyberbezpieczeństwa w SGB-Banku oraz Piotr Muszyński, dyrektor ds. Infrastruktury w Banku Spółdzielczym Ziemi Kaliskiej.
Jak stwierdził Daniel Krzywiec, w zawrotnym tempie zwiększa się poziom zaawansowania technologicznego w bankach Spółdzielczej Grupy Bankowej.
Tym samym priorytetem działań jest zapewnienie cyberbezpieczeństwa danych i środków finansowych klientów banków spółdzielczych. W 2022 r. uruchomiono usługę FDS, która automatyzuje proces monitorowania sesji, urządzeń i transakcji w usługach bankowości internetowej i mobilnej. W przypadku wykrycia podejrzanych aktywności proces obsługi zdarzenia realizowany jest przez dedykowane centrum kompetencyjne w banku zrzeszającym, bez angażowania pracowników banku spółdzielczego.
– W ramach usługi doskonalimy mechanizmy prewencyjne i detekcyjne, monitorujemy i analizujemy zachowania klientów oraz prowadzimy obsługę komunikacji z klientami w trybie 24/7 – powiedział Daniel Krzywiec.
Jak dodał, do końca 2023 r. sfinalizowany zostanie kolejny etap rozwoju usługi FDS – automatyzacji procesu monitorowania transakcji kartowych. Równolegle pracuje się także nad rozszerzeniem analiz o technologię biometrii behawioralnej.
– Dzięki współpracy i zaangażowaniu banków spółdzielczych, implementujemy nowoczesne rozwiązania oraz optymalizujemy nakłady na cyberbezpieczeństwo w ramach grupy. Banki spółdzielcze SGB korzystają z najnowocześniejszej technologii, kompetencji eksperckich oraz współpracują z liderami rynku w obszarze cyberbezpieczeństwa – podkreślił Daniel Krzywiec.
Natomiast Piotr Muszyński zwrócił uwagę, że aby systemy mogły efektywnie pracować, potrzebne są dane. Nie wystarczy zbierać je wewnątrz infrastruktury, zwłaszcza tylko na poziomie banku. To nie oddaje ataków, które są w sektorze, bo pojedynczy bank w ciągu roku doświadcza niewielu ataków, dlatego trzeba pozyskiwać informacje na poziomie zrzeszenia, ale też z całego sektora, w tym z banków komercyjnych, żeby wiedzieć, czym i w jaki sposób są atakowane inne banki.
Ekspert podkreślił, że nie tylko transakcje budują profil klienta, ale też takie zmiany jak na przykład zmiany limitów na koncie itp. Zapowiedział dołożenie w tym roku, do listopada ’23, informacji związanych z kartami płatniczymi. Usługa ma wykrywać anomalie. Zbierane są profile techniczne np. z jakiej przeglądarki korzysta klient, drugi to profil transakcyjny np. do jakich odbiorców wykonuje często przelewy. System może sprofilować takie działania i jeśli pojawi się coś, co definiowane jest jako anomalia, to system może prewencyjnie zadziałać.
Dzięki profilowi technicznemu można ograniczyć liczbę fałszywych alarmów, bo wiadomo, że klient wykonuje taką nietypową operację, ale z urządzenia, które znamy. Piotr Muszyński poinformował także o dodaniu zabezpieczenia przed wykorzystaniem zdalnego pulpitu – zgodnie z zaleceniem KNF wysłanym do banków spółdzielczych.
Czytaj także: FTBS 2023: czy obecnie stosowane rozwiązania odpowiadają oczekiwaniom rynku i klientom?
Co kojarzy się z w pierwszej kolejności z bezpieczeństwem w kontekście banków spółdzielczych?
W panelu dyskusyjnym, który moderował Piotr Balcerzak, dyrektor Zespołu Bezpieczeństwa Banków w ZBP (FinCERT.pl BCC ZBP), uczestniczyli:
dr Jarosław Biegański z ZBP, dr Sławomir Czopur, prezes zarządu w Spółdzielni Systemu Ochrony Zrzeszenia BPS, Piotr Esman, kierownik Kontroli IT, Departament Bezpieczeństwa w Banku Polskiej Spółdzielczości, Daniel Krzywiec, dyrektor Departamentu Cyberbezpieczeństwa w SGB-Banku i Michał Ołdakowski, prezes zarządu w Spółdzielczym Systemie Ochrony SGB.
Piotr Balcerzak zapytał uczestników debaty, co kojarzy im się z w pierwszej kolejności z bezpieczeństwem w kontekście banków spółdzielczych?
Odpowiadając na to pytanie, w trakcie dyskusji zwrócono uwagę na między innymi źle skonfigurowane zasoby banków, „powystawiane do Internetu”. Nasila się łatwy dostęp do paneli i usług. Takich incydentów identyfikowanych jest coraz więcej w ostatnich miesiącach.
Trudno też przeciwdziałać, jeśli klient jest zmanipulowany przez przestępców i wykonuje ich polecenia. Zwrócono uwagę na transakcje, które były autoryzowane przez klienta, ale on się zorientował i cofnął swoją zgodę. Klienci dzielą się też informacjami wrażliwymi z osobami, które o to poproszą. W dyskusji podniesiono też sprawę zainteresowania przestępców danymi klientów banków, a nie tylko ich środkami.
Rozmawiano też o brakach kadrowych, jeśli chodzi o specjalistów w przypadku wdrożenia DORA. Piotr Balcerzak wspomniał też o braku możliwości wymieniania się informacjami dotyczącym bezpieczeństwa pomiędzy różnymi sektorami. Jak dodał, jeśli chodzi o bezpieczeństwo, do Komitetu Cyberbezpieczeństwa Banków w ostatnim roku przystąpiło 15 banków spółdzielczych, które chciały integracji strefowej. Nie jest to konkurencja w stosunku do banków zrzeszających, ale jest to komplementarna współpraca, która wzmacnia banki jako system.
Jak stwierdził dr Sławomir Czopur, ponieważ tak często korzystamy z technologii, to ufamy, że to co wyświetli się na monitorze komputera lub telefonu komórkowego jest prawdziwe – „bo zawsze tak było”.
Ostatnio okazało się, że mogą się wydarzyć rzeczy, których nie przewidywaliśmy, takie jak pandemia, wojna. Nagle przestawiamy się z płatności mobilnych, kartowych na gotówkę i nie jesteśmy gotowi, żeby ją dostarczyć klientom. Ufamy, że dane, które mamy w systemach informatycznych są nam dostępne. Jednak to, że zabraknie energii w całym kraju, nie jest już takie nieoczywiste.
Ekspert podkreślił przewagę bankowości spółdzielczej — relacyjność polegającą na tym, że poza tym, że dane są w komputerze, to również są w segregatorze. Dlatego cyberbezpieczeństwo trzeba rozumieć dużo szerzej, też jako możliwość zapewnienia ciągłości działania.
Daniel Krzywiec ocenił, że w Zrzeszeniu SGB nastąpił od pewnego czasu bardzo dynamiczny rozwój technologii, jeśli chodzi o aplikacje mobilne i usługi bankowości internetowej realizowane w ramach strategii. Cyberbezpieczeństwo zostało włączone w te projekty strategiczne.
Równolegle z tymi nowoczesnymi rozwiązaniami i technologiami wdrażane są od razu zabezpieczenia. Od samego początku w projekcie są zaangażowane banki spółdzielcze, które definiują model usługi. Zwrócił uwagę na potrzebę ograniczania kosztów i tu rozwiązaniem może być centralizowanie usług.
Dr Jarosław Biegański przypomniał o swoim wcześniejszym wystąpieniu, w którym stwierdził, że nie możemy być pewni, kto jest po drugiej stronie urządzenia, jednak w bankowości spółdzielczej działa się lokalnie, blisko doradców.
Nawet jeśli ktoś do kogoś zadzwoni i spróbuje zmanipulować klienta, to zawsze jest interakcja z bankowcem, który jest „po drugiej stronie ulicy”. Może się jednak okazać, że weryfikacja KYC jest trzy razy bardziej skuteczna niż w dużej korporacji.
– Pojawienie się informacji o cyberataku w odniesieniu do pojedynczego banku przekłada się na wizerunek wszystkich banków jako instytucji zaufania publicznego. Choć inwestycje w nowoczesne systemy i procedury bezpieczeństwa oraz edukacja pracowników i klientów w zakresie cyberbezpieczeństwa zmniejszają ryzyko, to jednak może to nie wystarczać ze względu na dynamikę i innowacyjność działań podejmowanych przez cyberprzestępców. I tu bardzo duże znaczenie ma szybkość i wystandaryzowanie wymiany informacji o zagrożeniach oraz wiedza o sposobach skutecznego ich niwelowania – powiedział Piotr Esman.
Dodał również, mówiąc o nowych rozwiązaniach technologicznych, nowych procedurach oraz szybkich kanałach komunikacji, by nie zapominać, że efektywność ich funkcjonowania w ramach zapewnienia bezpieczeństwa cyberprzestrzeni zależy od wiedzy, doświadczenia i zaangażowania pracowników wszystkich współpracujących podmiotów.
Banki spółdzielcze Zrzeszenia BPS i bank zrzeszający mają ogromny potencjał pracowniczy w tym obszarze. Celem w Zrzeszeniu jest takie zorganizowanie współpracy, by pracownicy banków spółdzielczych mieli możliwość nie tylko wymiany doświadczeń, potrzeb, wiedzy, ale by efektywniej współdziałali i reagowali, jeśli chodzi o cyberzagrożenia. To przyniesie nie tylko wzrost efektywności w zakresie przeciwdziałania cyberzagrożeniom, ale też pozwoli obniżyć koszty w ramach całego Zrzeszenia.
– W ramach Grupy BPS działania związane z cyberbezpieczeństwem prowadzimy na dwóch głównych obszarach. Pierwszy to wspólna przestrzeń banków spółdzielczych i Banku BPS (m.in. zrzeszeniowa poczta elektroniczna, systemy transakcyjne, systemy rozliczeniowe, waluty i skarb, wnioski online, itd.) – to bank zrzeszający zabezpiecza cały obszar od strony cyberbezpieczeństwa.
Drugi jest poza przestrzenią zrzeszeniową, czyli pomiędzy bankiem spółdzielczym a siecią Internet (klienci, dostawcy). Jako bank zrzeszających sukcesywnie przekazujemy bankom spółdzielczym informacje o zidentyfikowanych podatnościach i nowo zidentyfikowanych zagrożeniach mogących mieć negatywny wpływ na klientów – podkreślił Piotr Esman.
Jak stwierdził Michał Ołdakowski, kiedyś, aby zrealizować transakcję finansową, trzeba było udać się do banku. Bezpieczeństwo pieniędzy zależało wówczas od dobrego skarbca, profesjonalnych pracowników i zaufanych konwojentów.
Dziś, gdy bank kojarzy nam się głównie z aplikacją mobilną lub stroną internetową, gdy głównym kanałem do realizacji wszelkich operacji jest Internet, a przestępcom zależy równie mocno na pieniądzach, jak na danych klientów, cyberbezpieczeństwo staje się absolutnym priorytetem.
Zagrożenia i wektory ataków zmieniają się dynamicznie, a kreatywność przestępców jest ogromna. Coraz częściej interesują ich również mniejsze podmioty, w nadziei na łatwiejsze przełamanie zabezpieczeń. Na szczęście banki spółdzielcze należą do instytucji dobrze przygotowanych na te wyzwania. Jest to możliwe dzięki spójnemu ekosystemowi bezpieczeństwa zbudowanemu na współpracy pomiędzy bankami spółdzielczymi, bankiem zrzeszających, System Ochrony oraz podmiotami branżowymi (FinCERT.pl — Bankowe Centrum Cyberbezpieczeństwa ZBP) i instytucjami zewnętrznymi. Każdy w tym ekosystemie ma specyficzną rolę do odegrania, a ich funkcje oraz zadania muszą być spójne i komplementarne.
Jak dodał Michał Ołdakowski, wyzwań w obszarze technologii informacyjno-telekomunikacyjnych jest mnóstwo: od wspomnianej już kreatywności przestępców, przez dostępność oraz koszty niezbędnych technologii i specjalistów po sprostanie kształtującym się dynamicznie wymogom regulacyjnym (m.in. DORA).
Nie mam wątpliwości, że aby temu wszystkiemu sprostać konieczna będzie jeszcze większa współpraca pomiędzy poszczególnymi instytucjami, inteligentne alokowanie coraz większych zasobów oraz skuteczna edukacja zarządów, pracowników i klientów.