Konwent na rzecz Współpracy i Rozwoju Polskiej Bankowości Spółdzielczej o walce z cyberzagrożeniami
W panelu, moderowanym przez dr Tadeusza Białka, wiceprezesa Związku Banków Polskich, uczestniczyli dr Jarosław Biegański, Zastępca Dyrektora (BCC) Bankowego Centrum Cyberbezpieczeństwa ZBP, Bartosz Kublik, Prezes Zarządu Banku Spółdzielczego w Ostrowi Mazowieckiej, Krzysztof Karwowski, Prezes Zarządu Banku Spółdzielczego w Szczytnie oraz Daniel Krzywiec, Dyrektor Departamentu Strategii i Cyberbezpieczeństwa SGB Banku S.A.
Kot w roli cyberprzestępcy
Nigdy nie wiesz, kto jest po drugiej stronie – tę prostą prawdę o funkcjonowaniu kanałów zdanych przypomniał dr Jarosław Biegański, podając jako przykład sytuację zagubienia przezeń telefonu.
Próby połączenia z utraconym urządzeniem kończyły się odsłuchaniem wiadomości głosowej, co niedwuznacznie wskazywało, iż aparat mógł dostać się w niepowołane ręce. W końcu okazało się, że telefon został w domu, a w rolę hakera wcielił się…kot, który skorzystał z możliwości, by wreszcie pobawić się tak atrakcyjnym świecidełkiem bez zgody posiadacza.
W tym akurat przypadku wszystko skończyło się szczęśliwie, niemniej tysiące Polaków regularnie doświadczają ataków ze strony prawdziwych cyberprzestępców.
Groźna socjotechnika
I choć w wielu przypadkach nadaktywność sieciowych złodziei tłumaczona jest upowszechnieniem gospodarki zdalnej w czasie pandemii, to przedstawiciel BCC podkreślał, że hakerzy dawali sobie radę i bez koronawirusa, czego przykładem są tak bezczelne fake newsy jak sprzedaż biletów na koncert, o którym nie wiedzieli nawet rzekomo występujący na nim artyści.
Socjotechnika staje się dziś problemem nr 1, bowiem coraz liczniejsze są przypadki wyłudzenia z użyciem silnego uwierzytelnienia
Dziś coraz poważniejszym wyzwaniem jest nie tylko wspomniany już spoofing, ale również wszelkie działania socjotechniczne mające na celu skłonienie ofiary do instalacji zdalnego pulpitu, czy to pod pretekstem zabezpieczenia środków klienta przez rzekomym atakiem hakerskim, czy też zarządzania jego środkami w ramach inwestycji w kryptowaluty.
Coraz powszechniejszym działaniem jest też sfingowana korespondencja, kierowana do osób odpowiadających za przepływy pieniężne w spółkach. Spreparowany mail, sygnowany przez członków zarządu firmy, zleca takiemu pracownikowi niezwłoczne płacenie faktury na podany w korespondencji numer rachunku, należący oczywiście do oszustów.
Jarosław Biegański podkreślił, że socjotechnika staje się dziś problemem nr 1, bowiem coraz liczniejsze są przypadki wyłudzenia z użyciem silnego uwierzytelnienia, a to oznacza, że klienci banków sami zapewniają dostęp przestępcom do rachunków bankowych.
Czasy się zmieniły, ale bank nie może odpowiadać za wszystko
-Generalnie jednak pandemia przyczyniła się do lawinowego przechodzenia klientów do kanałów zdalnych, tymczasem wiele osób niekorzystających uprzednio z bankowości elektronicznej nie miało po temu należytych kompetencji – przypomniał Krzysztof Karwowski.
Sądy z reguły biorą stronę klienta tradycyjnie traktowanego jako słabsza strona
To nie jedyny problem, na jaki zwrócił uwagę reprezentant banku ze Szczytna. W kontekście niestabilnej sytuacji za wschodnią granicą i ogłoszonego przez szefa polskiego rządu cyberalertu należy spodziewać się nie tylko działań zwykłych grup przestępczych, ale też ataków terrorystycznych na elementy infrastruktury krytycznej, której bankowość jest częścią.
Problemem są też fraudy wewnętrzne, które nie omijają również lokalnych instytucji finansowych. Wszystkie te wyzwania generują problemy nie tylko w postaci utraty środków, ale i uszczerbku wizerunkowego czy wreszcie sporów z klientami, które nierzadko kończą się przed sądem, podczas gdy w wielu przypadkach to właśnie zaniedbania i niefrasobliwość ze strony użytkownika rachunku prowadzi do opłakanych dla niego konsekwencji.
Rzecz w tym, że sądy z reguły biorą w takich przypadkach stronę klienta, tradycyjnie traktowanego jako słabsza strona.
Prezes Banku Spółdzielczego w Ostrowi Mazowieckiej, Bartosz Kublik wskazał trzy przepisy, przywoływane w takich sytuacjach przez składy orzekające. Pierwszy z nich to art. 845 kodeksu cywilnego, dotyczący tzw. depozytu nieprawidłowego, kolejny to art. 35 kc odnośnie do dochowania należytej staranności, i wreszcie kluczowy art. 471 kc, zgodnie z którym usługodawca, który nienależycie wykonał usługę, zobowiązany jest do naprawienia szkody.
Do tego dochodzi fatalnie przetłumaczony z dyrektywy unijnej zapis ustawy o usługach płatniczych, mylący uwierzytelnienie użytkownika z autoryzacją transakcji, przez co na banki nakłada się obowiązek, którego nie są one stanie spełnić, i to wbrew prawu europejskiemu.
Bartosz Kublik podkreślił, że takie pojmowanie przepisów miało sens w dobie bankowości oddziałowej, dziś, gdy klient wiele operacji wykonuje samodzielnie w kanałach zdalnych, straciło rację bytu.
Z tego powodu, jak wspomniał panelista, niezbędne jest uświadamianie prawodawcy, ale też organom ścigania i sądom, iż bankowość zmienia się diametralnie, a stare schematy nie pasują do nowych uwarunkowań.
Nadchodzą posiłki ze zrzeszeń
O tym, w jaki sposób zrzeszenia i wytworzone przez nie, specjalistyczne struktury wspierają lokalne instytucje w działaniach na rzecz cyberbezpieczeństwa mówił Daniel Krzywiec.
Wspomniał on o szeregu działań, podejmowanych przez centrum kompetencyjne funkcjonujące w ramach Departamentu Strategii i Cyberbezpieczeństwa SGB Banku.
Do działań tych zalicza się między innymi pozyskiwanie i analiza informacji o zagrożeniach pochodzących ze źródeł zewnętrznych, takich jak CERT-y czy detekcja złośliwego oprogramowania na styku z Internetem.
Korzystanie z systemów wymiany informacji pozwala na sprawniejsze wykrycie skompromitowanych zasobów
Do tego dochodzą testy penetracyjne, projektowanie zabezpieczeń dla instytucji finansowych czy bieżące śledzenie przestępczej aktywności i w efekcie wskazanie potencjalnych celów ataku ze strony cybergangów.
Wiedza ta jest następnie przekazywana bankom spółdzielczym choćby w postaci tzw. alertów SGB. Centrum redaguje też cotygodniowy biuletyn, informujący zarówno o aktualnych zagrożeniach, jak i zmianach w przepisach dotyczących bezpieczeństwa w sieci.
Przedstawiciel SGB-Banku wskazał też, że coraz więcej banków przystępuje do usług zrzeszeniowych.
Spotkanie zakończył dr Jarosław Biegański, który przypomniał, że korzystanie z systemów wymiany informacji pozwala na sprawniejsze wykrycie skompromitowanych zasobów.
Podobną rolę odgrywają samoregulacje, dzięki którym poszczególne banki są w stanie zawczasu przygotować się na odparcie zagrożenia, nawet jeśli nie miały z nim uprzednio do czynienia.