Raport Specjalny | Forum Bezpieczeństwa Banków | Cybernetyczna prewencja wywiadowcza w służbie sektora bankowego
Adam Rafajeński
Cyber Practice Director, Deloitte
Wszelkie działania zwiększające cyberbezpieczeństwo instytucji finansowych będą w najbliższej przyszłości niezbędne. 61% respondentów badania Deloitte „Global Risk Management Survey” wskazało, że ich instytucje są wyjątkowo lub bardzo skuteczne w zarządzaniu tego typu ryzykiem, natomiast aż 87% stwierdziło, że poprawa ich zdolności w tym zakresie będzie niezwykle lub bardzo ważna w ciągu najbliższych dwóch lat. Odpowiedzią na potrzeby przedsiębiorców może zatem stać się biały wywiad cybernetyczny (ang. Cyber Threat Intelligence), który umożliwia wiele prewencyjnych działań, znacząco zmniejszających ryzyko internetowych ataków na instytucje finansowe.
Prewencyjne siły bezpieczeństwa informatycznego
Prowadzenie jakichkolwiek obronnych operacji wojskowych, bez dostępu do informacji wywiadu, może zakończyć się spektakularną porażką lub wręcz tragedią. Gdy nie posiadamy wiedzy o przeciwnikach, sposobie ich rozlokowania, a także uzbrojenia, jakim dysponują – ciężko przygotować się na atak.
Obszar cyberbezpieczeństwa nie różni się więc w tym aspekcie od operacji wojskowych. Organizacja jest w stanie zareagować o wiele sprawniej i przy użyciu mniejszych zasobów, kiedy wie, że określona grupa przygotowuje atak na aplikację biznesową, planuje rozsyłać phishing do pracowników czy handluje w darknecie danymi klientów lub współpracowników. Zdecydowanie łatwiej jest wiedzieć o tym, że ktoś buduje witrynę, podszywającą się pod rzeczywiście istniejącą, niż odpowiadać na reklamacje klientów przekonanych o tym, że skorzystali z tej właściwej. Instytucje mogą skuteczniej chronić swoje informacje, gdy wiedzą, który z dostawców kluczowych rozwiązań czy technologii znajduje się na celowniku grup przestępczych. O ile łatwiej zareagować, kiedy jest jasne, jaka to jest grupa, skąd pochodzi i jakich ma sponsorów, jaki jest ich sposób działania, techniki czy narzędzia. Co więcej, jakimi kanałami chcą uzyskać to, czego szukają i co najprawdopodobniej zrobią w przypadku sukcesu.
Szczegółowy i profesjonalnie przeanalizowany materiał wywiadowczy może uchronić organizację przed katastrofą finansową i wizerunkową. Skutecznie przeprowadzony wywiad jest również w stanie całkowicie zapobiec niebezpiecznej sytuacji albo umożliwić przeprowadzenie jej w kontrolowany sposób (w celu np. dezinformacji lub identyfikacji atakującego), a przede wszystkim daje poczucie pełnej kontroli nad sytuacją.
System monitoringu informatycznego na ogólnym poziomie weryfikuje tzw. Intellectual Property instytucji, szukając potencjalnych słabszych miejsc, w których może dojść do naruszenia zasad cyberbezpieczeństwa. Oto przykład – zespół Deloitte miał ostatnio okazję pomóc jednemu z banków, który planował wprowadzenie nowej aplikacji mobilnej, obsługującej jego system maklerski. Procedury przeprowadzone przez naszych ekspertów pozwoliły zlokalizować w darknecie, gdzie dostępne są nie zawsze legalne treści, fragmenty skryptu, przygotowanego specjalnie do zainfekowania tej aplikacji i pobrania danych użytkowników. Dzięki naszej pracy deweloperzy i specjaliści bankowi mogli zawczasu zmienić swój system tak, aby unieszkodliwić potencjalnie czyhające na niego zagrożenie.
Nastawienie wymaga zmiany
Współczesne systemy bezpieczeństwa informatycznego najczęściej zlokalizowane są za kolejnymi warstwami ochronnymi i czekają na potencjalny atak. Takie nastawienie wymaga weryfikacji. W ostatnich latach wiele zmieniło się w obszarze działań grup przestępczych – zarówno profil takiej aktywności, jak i sylwetka samych atakujących. Wirusów nie pisze się już dla żartu i nie jest to jedynie uciążliwe zagrożenie, które w większości przypadków można wyłapać i skutecznie unieszkodliwić podczas rutynowego skanowania antywirusowego.
W obecnych czasach taka aktywność jest podejmowana przede wszystkim z myślą o jak najwydajniejszej monetyzacji ataku. Co więcej, atakujący nie zważają na żadne aspekty dotyczące moralności czy przyzwoitości. Celem ataku może być zarówno osoba prywatna, jak i mała firma, ale najczęściej jest to korporacja, instytucja pożytku publicznego lub jednostka administracyjna. Przed atakami nie ustrzegą się ani szpitale, ani elektrownie, ani instytucje finansowe. Nie dają one szansy na obronę, od razu blokując całe systemy i żądając okupu za hasło umożliwiające dostęp do zasobów.
Niestety czasami dzieje się tak, że cyberprzestępcy wyprzedzają o krok specjalistów od zabezpieczeń i do niektórych ataków wykorzystują funkcjonalność sztucznej inteligencji. W liniach obronnych, trzymając się wojskowej terminologii, takie rozwiązania nie są jeszcze szeroko praktykowane. Co więcej, rozwój komunikacji i narzędzi informatycznych sprawia, że w obecnych czasach nawet nie trzeba tworzyć wirusów od podstaw – wystarczy kupić odpowiednie elementy składowe, z których, jak z klocków, buduje się wymyślone przez siebie narzędzie.
Tego typu zagrożenia stały się w ostatnim czasie tak powszechne, że można mówić o powstaniu całego systemu i specjalistycznych firm, które umożliwiają prowadzenie skomplikowanych negocjacji i dają nadzieję na skuteczne rozwiązanie danego problemu.
Skala i rodzaj czyhającego zagrożenia wymagają zasadniczej zmiany mentalności, która często niechętnie patrzy na rozwiązania niedające jednoznacznej odpowiedzi w arkuszach kalkulacyjnych. Wywiad cybernetyczny nie pozwala wyliczyć potencjalnej straty ani ewentualnych oszczędności, a dla wielu CFO oznacza on podnoszenie dodatkowych kosztów. To z pewnością inwestycja, z której zwrot jest niemierzalny. Nie ma też żadnej gwarancji, że tego typu działania przyniosą efekt, ale z pewnością dostarczają one bardzo wartościowe informacje. Wiedza, w tym przypadku nt. potencjalnych zagrożeń, a nie konkretnego ataku, jest najlepszą walutą. Z naszych wyliczeń wynika, że zadbanie o bezpieczeństwo w momencie tworzenia danej aplikacji, projektu czy systemu jest pięciokrotnie tańsze niż dodawanie takich funkcjonalności do już istniejącego produktu.
W świecie specjalistów zajmujących się utrzymaniem sieci firmowych istnieje takie powiedzenie, że ludzie dzielą się na tych, którzy sumiennie robią backup swoich danych i zasobów informatycznych, i tych, którzy dopiero będą to robić, nauczeni przykrymi doświadczeniami. I rzeczywiście, podniesienie się po ataku jest prostsze, jeśli instytucja na bieżąco dba o archiwizowanie i tworzenie kopii zapasowych swoich danych. Wtedy wystarczy ręcznie uzupełnić dane do czasu backupu. Jeśli takowego nie ma – firma zmuszona jest zapłacić, co wcale nie oznacza, że może być pewna odzyskania straconych zasobów. Również w tym obszarze konieczna jest generalna zmiana podejścia, co ułatwi instytucjom funkcjonowanie, nawet jeśli do ataku rzeczywiście dojdzie.
Zrozumieć, monitorować, wyprzedzić atak
Aby skutecznie zapobiegać zagrożeniom informatycznym, w ramach Cyber Threat Intelligence wykorzystywana jest globalna sieć centrów, praktyków oraz analityków zajmujących się cyberbezpieczeństwem, którzy wspólnie wspierają klientów za pomocą zlokalizowanych informacji wywiadowczych. Przeprowadzana przez nich analiza, łączy wiedzę specjalistyczną w zakresie badań nad złośliwym oprogramowaniem, spostrzeżenia geopolityczne, różnorodne umiejętności językowe, regionalne krajobrazy zagrożeń i grupy podejmujących takie działania. W tym celu internet, a także darknet, są w trybie ciągłym monitorowane, filtrowane i analizowane. Wszystko zaczyna się jednak od gruntownego zrozumienia działalności danej instytucji i zbudowania specyficznego dla niej profilu ryzyka cybernetycznego. Zwykle wiąże się to ze zbieraniem informacji na temat ryzyka biznesowego, marek i spółek zależnych, profilu aktywów krytycznych, zewnętrznego śladu cybernetycznego, przeszłych poważnych incydentów i innych szczegółów. Część tych procedur przebiega w trybie zautomatyzowanym, finalnie jednak dochodzi do weryfikacji przeprowadzonego przez analityków wywiadu w celu usunięcia fałszywych alarmów. Właściwa ocena potencjalnych ryzyk pozwala wyprzedzić planowany atak i zlikwidować cyberzagrożenia, zanim będą miały one bezpośredni wpływ na daną instytucję.
Przemysław Szczygielski
partner, lider sektora finansowego w Polsce, Deloitte
Pomiar ryzyka rynkowego i kredytowego, postrzegany jako podstawa w działalności bankowej, jest obecnie bardzo rozwinięty. Znacznie więcej wyzwań przynosi pomiar, kontrolowanie i wyznaczenie apetytu na poszczególne niefinansowe rodzaje ryzyka, w tym właśnie z zakresu cyberbezpieczeństwa. W warunkach pandemicznych jest to jedno z tych zagrożeń, które wymaga od instytucji finansowych większej czujności i staranności w aktywnym monitorowaniu sytuacji. COVID-19 przyspieszył prace w wielu obszarach, jak choćby badanie wzorców naszych behawioralnych zachowań czy biometrii. Jako klienci zostawiamy coraz więcej danych w sieci. W Deloitte widzimy potrzebę kompleksowego wspierania klientów w ich największych wyzwaniach, dlatego dynamicznie rozwijamy ofertę związaną z „personalizowanym” białym wywiadem (Client – Specific Cyber Threat Intelligence) oraz rozwiązaniem przeprowadzania testów i systemów ocen bezpieczeństwa mogących mieć zastosowanie w organizacjach stosujących zwinne metodyki projektowe czy programistyczne.
Gwałtowne spowolnienie gospodarcze w połączeniu z nagłymi zmianami zachowań konsumentów i strategii biznesowych przedsiębiorstw oznaczają, że także w obszarze cyberbezpieczeństwa dotychczasowe modele działania oparte na danych sprzed kryzysu wywołanego przez COVID-19 mogą już nie odpowiadać rzeczywistości post pandemicznej.