Raport BankTech | NASK | Symbioza systemów i danych w cyberbezpieczeństwie

Aleksandra Żurek
Sales and technology transfer support

Aneta Podczaszy-Kosmala
Senior Product Manager

Zmiana zasad gry – aktywna, a nie bierna ochrona

Aktualizacja danych o cyberzagrożeniach pozwala optymalizować zasoby firmy. Dzięki temu przestajemy działać po omacku i przewidujemy potencjalne ataki cyberprzestępców. Pozwala to skupić środki tam, gdzie aktualnie występuje najwyższe ryzyko ataku, zamiast rozpraszać je równomiernie na wszystkie chronione obszary. To proaktywne podejście do ochrony przed cyberprzestępczością na zmasowaną skalę, która często wykorzystuje wiele wektorów ataków równocześnie. To charakterystyczne dla obecnych zagrożeń w sektorze finansowym, ponieważ rozproszona uwaga utrudnia skuteczną obronę przed cyberzagrożeniami.

Proaktywne i zoptymalizowane podejście umożliwia także szybką reakcję, która jest istotna dla precyzyjnego odpierania ataków, zanim pojawią się konsekwencje. Informacje o pierwszych ruchach cyberprzestępców pozwalają na sprawniejsze zablokowanie niebezpiecznych działań, zanim staną się one widoczne dla klientów i narażą firmę na straty wizerunkowe i finansowe. Wczesne ostrzeżenia, oparte na wielopoziomowych danych, umożliwiają zespołom i systemom cyberbezpieczeństwa natychmiastowe wzmocnienie konkretnych zabezpieczeń w obszarach będących celem ataku – zanim ten osiągnie pełną skalę.

Prawdziwa przewaga pojawia się wtedy, gdy zespoły i systemy ochrony zasilane są zarówno szerokimi, jak i lokalnymi danymi ukierunkowanymi na konkretny podmiot. Do tego danymi, które są aktualizowane na bieżąco, nawet co 10 minut, jak w przypadku rozwiązania opracowanego przez NASK, czyli CTI Collective Threat Intelligence. To połączenie zmienia zasady gry, z której zwycięsko wychodzi zaatakowany, a nie atakujący. Wszystko za sprawą aktywnej ochrony danych.

Dane globalne, a lokalne – jaka to różnica?

Dane globalne pokazują trendy w atakach i kampania phishingowych prowadzonych na całym świecie. Stanowią fundament wiedzy o zagrożeniach. To cenne źródło wiedzy, jednak dla organizacji działających w Polsce większe znaczenie mają dane lokalne, które uwzględniają konteksty: językowy, kulturowy i technologiczny, typowe dla naszego rynku.

Cyberprzestępcy wykorzystują lokalne wydarzenia, nazwy tutejszych marek, aktualne tematy społeczne lub polityczne. Dane CTI, aktualizowane co 10 minut, dostarczają firmom w Polsce informacje uwzględniające właśnie kontekst lokalny. Dzięki temu banki współpracujące z NASK otrzymują niemal w czasie rzeczywistym ostrzeżenia o fałszywych stronach hostowanych na polskich serwerach, kampaniach smishingowych z lokalnymi numerami czy złośliwym oprogramowaniu rozpowszechnianym np. za pośrednictwem serwisów ogłoszeniowych.

Informacje te trafiają do systemów banku zanim zostaną zgromadzone, przeanalizowane i udostępnione w globalnych bazach danych, z których korzystają systemy ochrony oparte o globalne bazy sygnatur. Ten czas – liczony w godzinach, a niekiedy w dniach lub tygodniach – może decydować o tym, czy atak zostanie powstrzymany, zanim wyrządzi szkody.

Kontekst ma znaczenie również w cyberbezpieczeństwie

CTI NASK skupia się na tym, co istotne dla konkretnej marki i jej klientów. Czy ktoś właśnie próbuje podszyć się pod logo banku? Tworzy fałszywe domeny? Celuje w markę zmasowaną kampanią? CTI nieustannie monitoruje internet – od mediów społecznościowych i forów, przez aplikacje mobilne, aż po dark web – aby błyskawicznie wykrywać każdy przypadek ataku ukierunkowanego na markę.

Kiedy taki incydent zostanie wykryty, eksperci z Zespołu NIRT (NASK Incident Response Team) natychmiast go analizują, klasyfikują i reagują. Bank nie tonie w zalewie nieistotnych informacji, a skupia się na tym, co najważniejsze: skutecznej ochronie swojej marki, reputacji, zasobów i klientów. To podejście ułatwia też spełnienie wymogów regulacyjnych (UKSC, NIS2, DORA), zapewniając dostęp do aktualnej i dopasowanej do kontekstu bazy zagrożeń.

Od sygnału do zablokowania cyberataku

Wyobraźmy sobie, że CTI wykrywa nowy wariant złośliwego oprogramowania atakującego aplikacje mobilne banków w Polsce. Informacja ta trafia do systemu BotSense – rozwiązania anti-fraud od NASK. Dzięki niej BotSense może natychmiast zaktualizować swoje mechanizmy detekcji i zacząć rozpoznawać nietypowe wzorce zachowań charakterystyczne dla tego konkretnego złośliwego oprogramowania. Gdy klient banku, nieświadomy zagrożenia, uruchomi zainfekowaną aplikację, BotSense wykryje podejrzaną aktywność i zablokuje transakcję lub ostrzeże bank – zanim dane czy środki zostaną skradzione. I zanim szkodliwe działanie cyberprzestępców wpłynie na bank i jego klientów.

Zintegrowane podejście do cyberbezpieczeństwa

W cyberbezpieczeństwie stawiamy na zautomatyzowane systemy, które działają równolegle, dostarczając komplementarną ochronę. Cyber Threat Intelligence (CTI) pełni rolę wywiadowczą – odpowiada za rozpoznanie środowiska zagrożeń. Zbiera i strukturyzuje dane o phishingu, malware, oszustwach, podatnościach czy kampaniach podszywających się pod markę. Zautomatyzowany strumień danych zasila systemy bezpieczeństwa (SIEM, IPS, EDR) w czasie niemal rzeczywistym, a proces jest nadzorowany przez ekspertów z zespołu NIRT (NASK Incident Response Team).

Równolegle bank chroniony jest przez system BotSense – narzędzie zaprojektowane do identyfikacji użytkownika w kanałach cyfrowej bankowości. Jego zadaniem jest analiza zachowania osoby logującej się do systemu. System ocenia, czy użytkownik jest tym, za kogo się podaje, a nie np. kimś, kto uzyskał nieautoryzowany dostęp przy użyciu wykradzionych danych uwierzytelniających lub przez zdalne przejęcie pulpitu. BotSense wykrywa ataki typu MiTB (Man-in-the-Browser), trojany bankowe oraz złośliwe oprogramowanie mobilne, co pozwala zapobiegać próbom podszywania się pod użytkowników.

Oba produkty działają niezależnie, jednak dane zebrane przez CTI dostarczają systemowi BotSense dodatkowego rekonesansu i pomagają w lepszym przygotowaniu do obrony przed potencjalnym atakiem. To skraca czas reakcji i zwiększa skuteczność w zapobieganiu oszustwom. Ciągły monitoring i analiza stosowanych wcześniej taktyk w kampaniach phishingowych umożliwiają lepsze zrozumienie zmian w krajobrazie zagrożeń. Wiedza o taktykach i wektorach ataków przekłada się na lepszą skuteczność systemów zarówno dziś, jak i w przyszłości.

Zastosowanie obu systemów równolegle wzmacnia ochronę przed cyberatakami, których liczba stale rośnie. Nowe technologie, takie jak generatywna sztuczna inteligencja (genAI), zwiększyły możliwości cyberprzestępców: bardzo łatwy dostęp do narzędzi, uproszczone przygotowanie fałszywych kampanii i znacznie niższe niż kiedyś koszty działania powodują, że skala przestępstw rośnie w sposób dotąd niespotykany. W tej sytuacji precyzja strategii obrony zależy bezpośrednio od jakości i aktualności posiadanych danych o zagrożeniach.

Proaktywne cyberbezpieczeństwo w sektorze finansowym

Dobre decyzje to mniejsze straty w przypadku aktywnych oszustw. A szybka reakcja to możliwość zablokowania oszukańczych kampanii jeszcze zanim spowodują szkody dla marki i jej klientów.

Cyberprzestępcy nie zwalniają tempa. Skuteczna ochrona wymaga traktowania cyberbezpieczeństwa jako procesu ciągłego – obejmującego działania przed, w trakcie i po ataku. Praktyka ekspertów NASK pokazuje, że proaktywne podejście to najskuteczniejsza forma ochrony dla firm z sektora finansowego, który nieprzerwanie znajduje się w centrum zainteresowania przestępców.