Raport Specjalny | Bezpieczeństwo Banków – Dell Technologies | Dlaczego banki powinny zacząć budować bunkry?
Cyberbezpieczeństwo jest jednym z głównych obszarów zainteresowania współczesnej bankowości. Zatrzymanie aktywności gospodarczej w wyniku pandemii COVID czy niestabilność geopolityczna w regionie Europy Środkowo-Wschodniej wykazały, że przestępcy wykorzystają każdą podatność i sytuację kryzysową na swą korzyść. Gdzie pańskim zdaniem należy upatrywać największych wyzwań w dziedzinie cyberbezpieczeństwa dla sektora finansowego?
– Pandemia faktycznie przyspieszyła migrację bankowych procesów, w szczególności obsługi klienta, do kanałów zdalnych. Wcześniej wiele czynności można było wykonać w aplikacji mobilnej, obecnie również poważniejsze zadania są dostępne online. To zaś stwarza nowe możliwości dla środowiska przestępczego. Sprawcy usiłują zarówno wyłudzać dane dostępowe poszczególnych klientów, jak i znaleźć luki w systemach bankowych, co pozwalałoby osiągnąć znacznie większe zyski z potencjalnego ataku. Banki to dostrzegają, w rozmowach z nami wszyscy bankowcy podkreślają kluczowe znaczenie cyberodporności. Mniej więcej od dwóch lat obserwujemy szereg projektów, mających za cel przygotowanie strategii, która pozwoliłaby odtworzyć dane po ewentualnym ataku. Do tej pory mieliśmy raczej do czynienia z budową murów – koncentrowano się, by nie dopuścić do ataku cyfrowego. Przez ostatnie trzy lata banki zorientowały się, że muszą dysponować planem B. Odpowiednio ukierunkowany, skuteczny atak cyfrowy przebije się przez wszystkie zabezpieczenia, także korzystając z insidera, którym nie musi być administrator czy dyrektor zarządzający. Firmy, w tym banki, dopuszczają świadomość, iż włamanie może mieć miejsce pomimo dużych nakładów finansowych i projektowych na unikanie tego typu ataków. Owo prawdopodobieństwo rośnie z dnia na dzień.
Co w tym obszarze mogą zaoferować bankom firmy technologiczne, jeśli wziąć pod uwagę, że przestępczość cyfrowa też się zdemokratyzowała? Dawniej ataki na instytucje, takie jak banki, były domeną najpotężniejszych grup przestępczych, dziś kampanię DDoS czy phishingową może zamówić dowolna organizacja w modelu crime as a service…
– Dziś każdy może paść ofiarą cyberataku. Dodać należy jeszcze rosnące zróżnicowanie celów ataków. Przykładowo, z terenu Rosji w ciągu ostatnich 12 miesięcy nasiliły się nie najpopularniejsze do niedawna ataki ransomware, tylko viperware. Ich celem nie jest szantaż i wymuszanie haraczy, tylko zniszczenie cyfrowego dobytku ofiary. Dzieje się to na terenach Ukrainy, ale tego typu ataki podejmowane są także wobec innych krajów. Dlatego tak ważne jest, aby zapewnić organizacji plan B. W obecnej sytuacji nie jest kwestią, czy incydent się zdarzy, tylko raczej kiedy. Stąd tak ważna jest strategia ochrony, która wymaga nie tylko sprzętu i oprogramowania, ale przede wszystkim wdrożenia odpowiednich procedur umożliwiających szybkie i bezpieczne przywrócenie infrastruktury po cyfrowym ataku. W przypadku incydentu na dużą skalę, liczą się pojedyncze minuty. Warto więc dysponować szczegółowym planem odtworzenia dla konkretnych, krytycznych systemów, by potem nie zastanawiać się i nie tracić cennego czasu.
Jak pogodzić skuteczne zapobieganie incydentom z udziałem insiderów z otwartym podejściem do pracownika, które stawia na elastyczność, kreatywność i samodzielność? Klasyczne procedury monitorowania i sztywne reguły to ostatnie, czego potrzebuje bank i jego załoga w dobie rywalizacji ze zwinnymi fintechami.
– Dell Technologies stworzyło rozwiązanie, zapewniające absolutną elastyczność, mobilność i otwartość środowiska pracy dla pracowników, ale także i klientów. Zakładamy, że podstawowe systemy i aplikacje, z których na co dzień korzystają pracownicy czy klienci, w najgorszym scenariuszu mogą zostać utracone: zaszyfrowane, skasowane, zmanipulowane. Dlatego trzeba mieć złotą kopię, utrwaloną w trybie offline w bezpiecznym miejscu, do której dostęp mają tylko nieliczni pracownicy oraz decydenci w firmach.
Przestępcy opracowali bardzo skuteczne metody ataków i dokładnie wiedzą, jak pracują struktury IT, szczególnie w środowisku bankowym. W tym, że wiele organizacji w swoim planie ciągłości działania uwzględnia przywrócenie dostępu do danych z kopii bezpieczeństwa. Każda próba ataku i wymuszenia okupu, która nie zakłada przede wszystkim ich zniszczenia, spowoduje co najwyżej kilkugodzinny czy kilkudniowy przestój. Dlatego skuteczne ataki zaczynają się od cichego niszczenia kopii zapasowych, żeby w momencie, gdy bank dostrzeże incydent i podejmie próby odtworzenia systemów, nie było to możliwe.
Przykładowy atak może więc zacząć się od obserwacji potencjalnej ofiary – szukania słabych punktów za pomocą phishingu czy algorytmów sztucznej inteligencji, w tym deepfake’ów, aby kogoś przekonać do udostępnienia danych dostępowych lub zainstalowani na komputerze podpiętym do infrastruktury informatycznej patcha. Sprawcy często próbują dostać się do dobrze strzeżonych systemów cyfrowych banków poprzez współpracujące z nimi firmy, w których zabezpieczenia IT są na niższym poziomie. Zyskawszy taki przyczółek, zaczynają niezauważenie rozszerzać swój wpływ, pracując wewnątrz organizacji, rekonfigurując ustawienia sieciowe i próbując zmieniać bądź szyfrować konfiguracje systemowe. Bardzo często próbują odwrócić uwagę od kierunku prawdziwego ataku poprzez działania o charakterze dywersyjnym. Mieliśmy do czynienia z klientem, którego hakerzy usiłowali zmylić, wykorzystując jego serwery do kopania bitcoinów. Kiedy dział IT skupił się na tym incydencie, w tym samym momencie hakerzy starali się szyfrować inne zasoby.
Aby zapobiec uszkodzeniu kopii bezpieczeństwa powstał system, który w Dell Technologies nazywamy cyfrowym bunkrem. Wynika to z faktu, że jest on skarbcem na najistotniejsze dane i konfiguracje. W efekcie własność intelektualna firmy spoczywa w fizycznie odizolowanym od podstawowej infrastruktury IT kompletnym środowisku z bardzo restrykcyjną kontrolą dostępu. Mając taką złotą kopię, w momencie incydentu można sprawnie i szybko – bezpośrednio z cyfrowego bunkra – przywrócić dostęp do danych i funkcjonowanie organizacji.
Jednym z kluczowych wyróżników współczesnego rynku, także finansowego, jest dalece posunięta współpraca międzysektorowa, bazująca na wymianie informacji czy wręcz tworzeniu ekosystemów różnych branż. Na ile rozwiązanie Dell Technologies uwzględnia ową specyfikę, zgodnie z którą odchodzi się od budowania murów i zamków?
– Cyfrowy bunkier – z racji swej koncepcji – nie ma wpływu na kontakty banków z partnerami spoza branży, w tym wymianę informacji. Jest on niewidoczny w środowisku produkcyjnym czy od strony operacji bankowych. Co więcej, nawet nie wszyscy pracownicy w banku muszą o nim wiedzieć. Nieliczni administratorzy odpowiedzialni za taki system mają zupełnie inne prawa dostępu w porównaniu do pozostałych pracowników. Mieliśmy przykład kilku powiązanych ze sobą spółek kapitałowych, które stwierdziły, że chcą stworzyć jeden cyfrowy bunkier – i skupić tam najistotniejsze zasoby z trzech różnych lokalizacji, rozproszonych geograficznie. W ten sposób podzieliły się m.in. kosztami implementacji systemu i zapewniły sobie wzajemne bezpieczeństwo.
Zgodnie z rynkową opinią, najsłabszym ogniwem systemu finansowego są klienci banków. Nasuwa się pytanie – czy cyfrowy bunkier może mieć przełożenie na bezpieczeństwo użytkownika końcowego?
– Co do zasady ten system jest stworzony do ochrony danych wewnątrz banku, co obejmuje także dane jego klientów. Nie chroni on jednak zasobów umieszczonych na urządzeniach wykorzystywanych przez użytkowników końcowych. Może natomiast przyczynić się do lepszego wypełnienia wymogów choćby w zakresie ochrony danych przed wyciekami, co jest obowiązkiem przewidzianym w RODO. Zabezpiecza również poszczególnych klientów przed przejęciem ich danych osobowych przez cyberprzestępców. W tym kontekście faktycznie, możemy mówić o wpływie na poziom bezpieczeństwa klienta, tym bardziej że nasz system nie modyfikuje dotychczasowych uprawnień i regulacji, które bank ma zaimplementowane.
Na koniec wybiegnijmy troszkę w przyszłość. Rozwój AI to szansa również dla przestępców, czy system Dell Technologies jest otwarty również na przyszłe zagrożenia, np. deepfake’ów, które już niebawem mogą być w powszechnym użyciu cyberprzestępców?
– System jest odporny na tego typu modyfikacje i podszywanie się pod inny rodzaj danych. Wynika to z faktu, że sami stosujemy algorytmy sztucznej inteligencji do skanowania informacji w naszym cyfrowym bunkrze. Na podstawie obserwacji środowiska jesteśmy w stanie wykryć niepokojące zmiany, które mogą być wywołane poprzez hakerów, szyfratory czy inne złośliwe oprogramowanie. W ramach codziennej analizy danych, sztuczna inteligencja ujawnia to, co może być pierwszym zwiastunem incydentu – i z dużym wyprzedzeniem może nas przed nim ostrzec. Wtedy system alarmuje, że coś podejrzanego dzieje się wewnątrz naszego skarbca, a tym samym w środowisku produkcyjnym. AI umożliwia także wskazanie na koniec dnia, które kopie danych – składowanych z wielotygodniową retencją – należy odtworzyć, a które są niezainfekowane i jednocześnie najaktualniejsze, tzn. dotyczą ostatniego dnia lub tygodnia w zależności od tego, jak poważny był incydent. Na podstawie tych informacji możemy odtworzyć najbardziej aktualne kopie danych i przywrócić je do systemów produkcyjnych.