Raport Specjalny | Bezpieczeństwo Banków – Deloitte | Zagrożenia stały się dziś codziennością

Biorąc pod uwagę pana doświadczenie w obszarze cyberbezpieczeństwa, możemy powiedzieć, że te zagrożenia, które zmaterializowały się w ostatnich kwartałach, mają charakter specyficzny? Innymi słowy, na ile różnią się od tych wyzwań, z jakimi mieliśmy do czynienia dotychczas?

– Wyodrębniłbym tu dwa główne obszary. Pierwszym są wektory ataku, które wskutek pandemii zdecydowanie się rozszerzyły. Dotyczą one głównie banków, które będąc instytucjami dość hermetycznymi, rzadko umożliwiały pracownikom funkcjonowanie w systemach transakcyjnych czy operowanie w systemach core’owych w trybie zdalnym. Mieliśmy specjalne odseparowane sieci i środowiska, tak jak ma to miejsce choćby w przypadku systemu SWIFT, który jest całkowicie oddzielony od sieci banku. Można powiedzieć, że to, iż dostęp do systemów core’owych był ograniczony, „chroniło” organizacje ze względu na te warstwy przed atakami infrastrukturalnymi. W momencie, w którym wybuchła światowa pandemia COVID-19, większość tych organizacji musiała dość szybko zmodyfikować środowiska, aby umożliwić swoim pracownikom funkcjonowanie w trybie zdalnym. To natychmiast otworzyło kolejne wektory ataków dla zorganizowanych grup przestępczych, niekiedy finansowanych przez rządy. Dało im to wektor ataku na konkretne osoby.

Sprawcy nie muszą już atakować instytucji jako takiej, wystarczy, że zdobędą kontrolę nad jednym komputerem lub innym urządzeniem, które pracuje u kogoś w domu – np. przez router, a o którym bank często nawet nie wie, w jaki sposób jest zabezpieczone. Zdobycie kontroli nad maszyną administratora lub osoby, która ma dostęp do core’owego systemu bankowego jest dla cybergangów niezwykle cenne. Równocześnie mamy do czynienia z rozwojem tzw. Initial Access Broker, czyli zespołów, które zajmują się handlem dostępami i odnajdują te podatności/możliwości wejścia, ale same z nich nie korzystają. To są te grupy entuzjastów, osób zaangażowanych w poszukiwanie dziur w systemach i handel tymi informacjami, co stanowi bardzo rozwojowy kierunek cyberprzestępczości. Duża część ataków, m.in. na polskie banki, polegała na tym, że dostęp nie został zdobyty, ale kupiony przez atakujących.

Kolejnym trendem jest ewolucja ransomware. Dotąd mieliśmy do czynienia z dość prostym mechanizmem szyfrowania danych i wymuszania okupu za ich odszyfrowanie. Oczywiście, organizacje miały dosyć dobre backupy, z których mogły odzyskać zasoby, nie płacąc haraczu sprawcom. Ten ransomware otrzymał ostatnio kolejną warstwę. Nawet 75% ataków polega nie tylko na szyfrowaniu, ale pierwotnym transferowaniu danych wrażliwych na zewnątrz organizacji i następnie zaszyfrowaniu. Jeżeli nie zapłaci ona wstępnego okupu i odzyska dane z backupu, to otrzymuje od szantażystów kolejną groźbę, tym razem upublicznienia danych dotyczących klientów czy celów strategicznych firmy. Może to być sukcesywne ujawnianie kolejnych informacji bądź też jednorazowy, duży „strzał”, kiedy są publikowane duże zasoby danych, aby udowodnić, że atakujący naprawdę je zdobyli. Ten wektor już dziś ma dużą przewagę i, moim zdaniem, to właśnie on zacznie pełnić wiodącą rolę w atakach. Ta specyfika mniej więcej od 2015 r. jest technicznie bardzo zbliżona, natomiast sposób użycia informacji ewoluował i w dużej części opiera się na monetyzacji tych danych, choć nie zawsze. Przykładem może być to, co stało się z Eqiufaxem, gdy skradzione miliony rekordów danych nigdy nie zostały publicznie ujawnione.

Porozmawiajmy o tym, co obserwujemy w ostatnich tygodniach. Dotychczas wydawało się, że cyberzagrożenia generowane były głównie przez jednostki lub środowiska kryminalne. Dziś na pierwsze miejsce wysuwa się współpraca z rządami państw niedemokratycznych. Czy ten pogląd znajduje odzwierciedlenie w rzeczywistości?

– Zespoły, które obserwujemy w ramach cybersecurity, takie jak: APT 10, APT 27 czy inne jednostki zajmujące się atakami, to nie są indywidualni hakerzy, tylko swoiste korporacje czy przynajmniej firmy, które specjalizują się we włamaniach. Często w ich DNA i źródłach finansowania są organizacje rządowe. Jeżeli widzimy zainteresowanie jakąś organizacją na forach, czy też badamy następstwa jakiegoś ataku, dokonujemy analizy tzw. TTP (ang. tools, technology and processes), które zostały wykorzystane do tego konkretnego ataku. W oparciu o te elementy – jakiego kodu użyto, jakiego typu exploita, jaki rodzaj komponentów został uruchomiony, czy w jaki sposób została ta sieć zaatakowana, jesteśmy w stanie zidentyfikować, że chodzi o konkretną grupę. Wiedząc, kto stoi za atakiem, mamy bazy danych, w których możemy sprawdzić, że to jest np. grupa powiązana z rządem kraju nam nieprzyjaznego. Wówczas, po pierwsze dowiadujemy się, czego jeszcze możemy się spodziewać, a po drugie – możemy zakładać, jaki będzie następny krok, po trzecie – wiemy, że to, co odkryjemy, nie jest swego rodzaju wabikiem, którym mamy się zainteresować, podczas gdy sprawcy szukają zupełnie czegoś innego.

Generalnie wywiad jest w tej chwili w naszym środowisku niesamowicie istotny, ponieważ to on daje nam usystematyzowane dane, które umożliwiają prewencję. Gdyby odpowiedzieć wprost na to pytanie, mamy w bardzo minimalnym stopniu do czynienia z jednostkami. Moim zdaniem, jeżeli chodzi o komercyjnie wykorzystywane włamania, to są to zorganizowane grupy, ponieważ sposób skomplikowania i ilość technologii czy mechanizmów, które trzeba użyć, ...