Następcami Kwinto są dziś hakerzy!

Witając gości Forum Andrzej Wolski, wiceprezes zarządu Centrum Prawa Bankowego i Informacji, przypomniał burzliwe dyskusje Rady Programowej „V Forum Bezpieczeństwa Banków”, aby tematy debat i prelekcji jak najlepiej oddawały realne zagrożenia sektora bankowego i państwa ze strony świata cyberprzestępców. Dlatego agenda Forum jest wyrazem oczekiwań banków i ZBP na jeszcze bliższą współpracę z KNF, resortem cyfryzacji, policją, ABW, CBŚ i NBP. Dr Mieczysław Groszek, wiceprezes Związku Banków Polskich otwierając Forum podkreślił aktywną rolę ZBP i środowiska bankowego w szkoleniu kadr policyjnych w Szczytnie, aby stróże prawa i prokuratorzy lepiej poznali współczesną bankowość, jej reguły prawa, najnowsze technologie. Zwrócił także uwagę na paradoks, że innowacyjność polskiego sektora bankowego w dziedzinie dostępu klientów do banków przez Internet i mobility, choć ułatwia życie klientom banków, to jednocześnie zwiększa ryzyko pozyskania danych przez hakerów np. do fałszywych przelewów. Aby temu przeciwdziałać bankowi eksperci do bezpieczeństwa od lat wymieniają się praktycznymi doświadczeniami podczas obrad Forum Technologii Bankowych, Rady Bankowości Elektronicznej, Forum Antyfraudowego etc. Wiceprezes ZBP podkreślił udany debiut Bankowego Centrum Cyberbezpieczeństwa podczas realizacji rządowego „Programu 500+”. Wyraził także nadzieję, że kolejnym ważnym krokiem we współpracy banków z rządem, będzie wspólne wdrożenie Narodowej Strategii Cyberbezpieczeństwa.

Cyberbariera to wymiana informacji
W swoim wystąpieniu generał Włodzimierz Nowak zwrócił uwagę, że w każdej architekturze bezpieczeństwa najsłabszym elementem są zawsze jego użytkownicy. Jego zdaniem krajowy system cyberbezpieczeństwa wymaga gruntownego uporządkowania. Dotyczy to zwłaszcza administracji rządowej, której trzeba zapewnić ochronę 24 godziny na dobę, przez 365 dni w roku. Można to zrobić przez stworzenie systemu wczesnego ostrzegania o zagrożeniach, rygorystyczne stosowanie wielopoziomowych procedur, edukację pracowników, powstanie specjalnego klastra do testowania nowatorskich rozwiązań oraz poprawienie ochrony danych osobowych. Choć jego zdaniem ten ostatni element cyberbezpieczeństwa państwa i tak działa najlepiej dzięki specjalnej ustawie. 

Ale zbyt wielu administratorów systemów informatycznych w urzędach nadmiernie ułatwia sobie pracę, co często skutkuje brakiem ochrony przed cyberatakami.  Dotyczy to zwłaszcza nadawanych haseł i reagowania na cyberzagrożenia po godzinach pracy. Dlatego należy stosować taki model wymiany informacji o zagrożeniach, aby przez sześć warstw (od fizycznej do aplikacyjnej) chronić infrastrukturę krytyczną państwa. W opinii generała Nowaka potrzebna będzie bliższa współpraca użytkowników końcowych, z dostawcami hardware’u oraz software’u, aby wspólnie szukać rozwiązań, gdy pojawi się nowy typ ataku skutkujący np. utratą danych. Nowak zwrócił uwagę, że świat przestępczy szybko ewoluuje szukając nowych rozwiązań, tymczasem procedura zakupu odpowiedniego oprogramowania np. dla ministerstw od wyboru po jego instalację trwa trzy lata. Dlatego resorty muszą korzystać z bazy danych i bazy wiedzy innych instytucji np. banków, firm z branży IT, telekomów, CERT-ów różnych firm. Wymaga tego choćby unijna dyrektywa NIS oraz rekomendacje M i D Komisji Nadzoru Finansowego.

Generał Nowak zaapelował, aby osoby odpowiedzialne za bezpieczeństwo zwróciły większą uwagę na odporność na ataki hakerów ich back-up’ów systemów, zrozumienie konieczności stałego archiwizowania danych. Praktyka wymusza współdziałanie z dostawcami usług informatycznych, aby przeciwdziałać tzw. „inteligentnym atakom DDoS”, które polegają na ukrytym, rozproszonym w Sieci ataku na strony banków, za pośrednictwem kilku telekomów. W jego opinii tylko telekomy mogą razem, ale nie w pojedynkę odkryć podejrzany wzrost ruchu w Internecie.  Zdaniem generała Nowaka architektura bezpieczeństwa urzędów publicznych musi polegać na większej ochronie ich serwerów np. przez ograniczenie do tylko 2-3 starannie monitorowanych bramek dostępu do globalnej Sieci. Zwrócił uwagę na często pomijaną konieczność usprawnienia współpracy CERT-ów ze sobą, z policją oraz z telekomami. Chodzi głównie o ocenę zagrożenia ze strony samych klientów, bowiem zdecydowana większość komputerów, które pełnią rolę zombie do ataków na infrastrukturę banków, to typowe domowe pecety. Coraz bardziej liczy się szybkość reakcji na cyberzagrożenia. Specjalnie powołany do ochrony realizacji „Programu 500 +” warroom już po 12 godzinach potrafił wskazać policji i prokuraturze pierwszych hakerów, którzy podsyłali fałszywe linki do wniosków o pieniądze. To udany przykład współdziałania państwa z bankami i może być wzorem dla innych rozwiązań na zakończenie stwierdził z optymizmem generał Włodzimierz Nowak.

Jak jest i jak będzie?
W opinii Dariusza Polaczyka, dyrektora departamentu bezpieczeństwa Alior Banku S.A. statystyki jednoznacznie pokazują spadek bezpośrednich ataków na placówki bankowe, przy jednoczesnym wzroście prób okradania bankomatów ATM (bez monitoringu) oraz rosnące w iście geometrycznym tempie liczby wyłudzeń danych od klientów banków do dokonywania fałszywych przelewów. Dla przykładu w samym 2014 r. było 215 prób fizycznego okradzenia oddziałów banku, ale rok później było ich tylko 67….

Średnia „fizycznych” ataków na placówki banków jest w naszym kraju dwa razy mniejsza od średniej w Europie, najwięcej takich przypadków jest odnotowanych we Włoszech. Nad Wisłą nie ma także zbyt wielu spadkobierców słynnego kasiarza Kwinto. W ubiegłym roku odnotowano tylko 21 włamań do banków (straty oszacowano na 600 tys. zł). Gorzej było z polskimi bankomatami, które ucierpiały z powodu 125 włamań na łączną sumę 5 mln PLN. Wciąż problemem są oszustwa związane z kartami płatniczymi (np. w roku 2015 oszacowano je na 30 mln PLN). Jeszcze gorzej jest z fałszywymi przelewami, które przyniosły aż 16 mln PLN strat dla całego polskiego sektora bankowego. Aż 85 proc. różnego typu organizacji w Polsce przyznało się, że było ofiarami cyberprzestępców, podobnie było w przypadku 36 proc. naszych firm.

Dużym problemem są straty spowodowane wyłudzeniami kredytów na sfałszowane podpisy, podrobione dokumenty, ukradzione dowody tożsamości, prawa jazdy. Przy obecnie niskich cena takich „fałszywek” (np. „bazarowego” prawa jazdy za 500 zł), bardzo trudno dokonać weryfikacji klienta tylko na podstawie dokumentów. Potrzebne są dodatkowe informacji dotyczących jego znanych bankom kont, lub profilu klienckiego. W ubiegłym roku pojawił się po raz pierwszy jednorazowy przypadek procederu prania pieniędzy przez pracownika polskiego banku. Choć już wcześniej odnotowywano dość rzadkie zjawiska wyłudzeń kredytów, poświadczenia nieprawdy, fałszowania podpisów itp. przez samych pracowników banków. Najgorzej z perspektywy banków wygląda sytuacja dotycząca fałszywych przelewów na wskutek działalnością cyberprzestępców. Gdy porównamy rok 2014 do 2015 liczba fałszywych przelewów internetowych wzrosła aż o 331 procent! Widać rosnący trend spersonalizowanych ataków na najbogatszych klientów banków, także z wykorzystaniem socjotechnicznych technik manipulacji. „H-commerce”, czyli hakerzy coraz częściej próbują infekować komputery swoich ofiar spreparowanymi e-mailami z informacjami o pseudo nadpłatami od Urzędów Skarbowych, nieotrzymanymi na czas przesyłkami Poczty Polskiej, poleceniami przelewów od komorników, fakturami za rzekomo kupione produkty.

Dlatego aby walczyć z takimi zjawiskami potrzebna jest nie tylko ścisła współpraca banków (np. poprzez SWOZ), ale także konieczność wymiany informacji o pojawiających się zagrożeniach ze strony wszystkich uczestników obrotu gospodarczego. Oznacza to rosnącą rolę bankowych CERT-ów, analityków danych opierających się na BIG DATA, ekspertów od research’u wykorzystujących legalne źródła informacji ( tzw. „biały wywiad”), aby z wyprzedzeniem informować o podejrzanych firmach, domenach, nowego typu atakach.

Stanisław Brzeg-Wieluński