Raport Specjalny | Horyzonty Bankowości 2023 – Veritas LLC / Comtegra SA | Stopniowe przechodzenie w kierunku rozwiązań zero trust
Architektura bezpieczeństwa w bankach przez lata przypominała średniowieczne zamki. Wraz z rozwojem technologii cyfrowych, pracy zdalnej i uświadamiania sobie podatności pracowników na ataki socjotechniczne, model ten zaczął ewoluować w kierunku zero trust. Jakie rozwiązania bezpieczeństwa cyfrowego są dziś rekomendowane w bankach?
– Zmiany geopolityczne, zwłaszcza podyktowane napaścią na Ukrainę, jak też rosnąca częstotliwość ataków hakerskich, inspirowanych przez zorganizowaną przestępczość i służby państw niedemokratycznych, wymusiły zintensyfikowanie działań w obszarze cyberbezpieczeństwa. Rozmowy ze znajomymi, którzy pracują w podobnych obszarach na zachodzie Europy, potwierdzają, iż tam presja nie zwiększyła się w sposób analogiczny jak w Polsce. Z uwagi na stały wzrost cyberzagrożeń, pracując w instytucji takiej jak bank, musimy dochować szczególnej staranności, dlatego dużo inwestujemy w ten obszar i pracujemy nad poprawą poziomu bezpieczeństwa. Jeśli chodzi o zmianę struktury bezpieczeństwa, odchodzimy od klasycznego, „zabetonowanego” modelu w kierunku rozwiązań zero trust. Takie przejście musi mieć charakter stopniowy. Kiedy się posiada dużą infrastrukturę i sporo systemów legacy – odizolowanych pomiędzy sobą, by ograniczyć potencjalne ryzyko rozprzestrzeniania się malware czy ransomware – przejście w model zero trust, podobnie jak migracja do chmury, nie może być procesem zerojedynkowym. Nakłady na bardzo szybką zmianę byłyby wówczas nieadekwatne do korzyści. Dlatego nie jesteśmy w stanie szybko pozbyć się silosów. Jako instytucja finansowa musimy dbać o poufność danych, ich integralność i żeby one były zawsze szybko dostępne, bo na tym bazuje bank, oferując usługi swym klientom.
Patrząc z perspektywy ostatnich lat, nikt nie mógł wcześniej przewidzieć pandemii ani wojny w Ukrainie. Czy te czarne łabędzie zaskoczyły nas, jeśli chodzi o politykę cyberbezpieczeństwa, a może bankowość polska była gotowa nawet na tak nieprzewidywalne zdarzenia?
– mBank wyszedł z obu sytuacji obronną ręką, co nie oznacza, że nie były dla nas zaskoczeniem. Pandemia spowodowała, że wszyscy wylądowali w domach i rozpoczęła się masowa praca zdalna. Musieliśmy szybko dostosować procedury bezpieczeństwa, wdrożyć adekwatne systemy monitoringu, które bardziej odpowiadałyby takiemu modelowi pracy. Generalnie, jako organizacja, byliśmy gotowi wcześniej na tryb zdalny – także z perspektywy bezpieczeństwa i ciągłości działania – a jedynym głównym wyzwaniem było zapewnienie dostępności laptopów dla wszystkich pracowników i drobne korekty wydajnościowe, żeby masowa praca zdalna stała się wydajna dla pracowników. W obszarze bezpieczeństwa infrastruktury przyspieszyło to wdrożenie kilku rozwiązań, które można zakwalifikować jako zero trust.
Jeśli chodzi o konsekwencje agresji Rosji na Ukrainę, w mBanku od wielu lat i w trybie ciągłym realizujemy mnóstwo projektów na linii informatyka i bezpieczeństwo. Miały one swoje harmonogramy, kamienie milowe i były prowadzone w standardowym trybie projektowym. Kiedy wybuchła wojna, znaleźliśmy się, jako mBank i cały sektor, pod mocniejszą presją działań hakerskich, wówczas nieco inaczej postawiliśmy akcenty. Zatrzymaliśmy mniej ważne inicjatywy, koncentrując się na dwudziestu przedsięwzięciach związanych z cyberbezpieczeństwem, które nierzadko miały harmonogramy rozłożone na lata, a obecnie okazały się priorytetowe. Widzieliśmy, że po wybuchu wojny liczba ataków, w tym prób wytwarzania niedostępności po stronie systemów bankowych czy punktowych ataków skierowanych w sektor finansowy i całą infrastrukturę krytyczną w Polsce, znacząco wzrosła. Postanowiliśmy szybciej poprawić jakość tych programów, żeby nie było żadnych niespodzianek. To się udało, a jedną z korzyści było m.in. wdrożenie cyfrowego bunkra, czyli lepsze zabezpieczenie danych przed atakiem ransomware.
Skoro wspomnieliśmy o cyfrowym bunkrze, pojawia się pytanie, w jakiej perspektywie uwzględniać wdrażanie stosownych procedur. Czy chodzi o miesiące, czy raczej lata?
– Zacznę od wyjaśnienia, czym jest cyfrowy bunkier i jak go wykorzystujemy, bo zakładam, że to rozwiązanie zostanie z nami na dłużej. To jedna z linii obrony przed atakami ransomware, przestrzeń, w której przechowujemy najbardziej poufne dane, w tym dotyczące systemów krytycznych, kluczowych i dane klientów. One są przechowywane w postaci dodatkowej kopii danych zabezpieczanych w specjalnym reżimie. Ransomware stał się najbardziej problematycznym rodzajem złośliwego oprogramowania, z którym firmy muszą się mierzyć. Jeśli dojdzie do zaszyfrowania części infrastruktury, systemów czy danych klientów, a w konsekwencji nie będzie można ich użyć, organizacja staje przed dużym problemem. Nie dysponując odpowiednimi narzędziami bezpieczeństwa, pozostaje nam próbować odzyskać dane na własną rękę, co często kończy się fiaskiem, albo w gorszym wariancie negocjować z przestępcami wysokość haraczu, co również nie daje gwarancji, że sprawcy odblokują zasoby.
Dlatego zdecydowaliśmy się zainwestować w cyfrowy bunkier, jako dedykowane miejsce, gdzie składujemy dane cały czas na bieżąco. Ma on kilka funkcjonalności, które odróżniają go od standardowego backupu, w postaci dodatkowych zabezpieczeń, ukierunkowanych na ochronę przed ransomware. Dostęp do cyfrowego bunkra jest silnie ograniczony poprzez tzw. air gaps. Oznacza to, że system, który przekazuje dane do cyfrowego bunkra ma bardzo ograniczony dostęp i określone „sloty” czasowe, w których można te dane składować. Sam cyfrowy bankier odkłada kilka kopii tych danych w sposób, który pozwala je odzyskiwać z różnych punktów czasowych. Rozwiązanie software’owe w cyfrowym bunkrze bazuje na uczeniu maszynowym, wykrywa pewne wzorce danych bez zaglądania do nich. Prawidłowe dane przychodzące do cyfrowego bunkra są cały czas weryfikowane i cyfrowy bunkier uczy się, jaki jest wzór tych danych.
Logika działania ransomware jest taka, że szyfruje wszystkie kopie zapasowe, żeby nie można było ich otworzyć. Gdyby dane gdzieś wcześniej zostały zaszyfrowane w sposób nieuprawniony, to w momencie rozpoczęcia ich składowania cyfrowy bunkier, korzystając z machine learning da znać, że wystąpił problem. Dzięki temu otrzymujemy wczesne ostrzeżenie, że dane, które dotarły do bunkra, mają niewłaściwą charakterystykę albo zostały skompromitowane w inny sposób. Dodam, że cyfrowy bunkier to ostatnia linia obrony przed ransomware, używana w sytuacji, kiedy wszystko wcześniej poszło nie tak. Równolegle podejmowanych jest o wiele więcej działań na wcześniejszych liniach obrony, chodzi o to, by żadne złośliwe oprogramowanie nie weszło w obszar infrastruktury. Dlatego wdrażamy wiele rozwiązań opartych na filozofii zero trust, żeby nie dochodziło do żadnych incydentów. Rzecz w tym, że malware ewoluuje, hakerzy starają się być o krok przed wszystkimi, nigdy nie wiadomo, co może spotkać organizację w dowolnej chwili. Cyfrowy bunkier daje nam świadomość, że możemy spać spokojniej.
Czym zatem cyfrowy bunkier różni od klasycznego modelu „zamku”, stosowanego wcześniej w architekturze bezpieczeństwa instytucji finansowych?
– Przez ostatnie lata świat backupów i disaster recovery mocno ewoluował. My postawiliśmy na rozwiązania wysoko dostępne, odkładamy dwie kopie danych w czasie rzeczywistym w dwóch ośrodkach danych. To jest nasze główne zabezpieczenie, na którym pracujemy, gdyby w jednym miejscu coś się wydarzyło, to zawsze mamy tę samą kopię danych w innym miejscu. Natomiast są różnej klasy systemy. Świat bankowości się mocno zmienił; wcześniej wiele procesów można było realizować w „procesie końca dnia”, czyli w nocy, również odkładać kopie danych. Obecnie usługi bigtechów, takich jak Google, Facebook czy Apple są dostępne cały czas. Nasi klienci, uruchamiając aplikację mobilną, też oczekują pełnej dostępności 24/7, by móc realizować transakcje płatnicze w czasie rzeczywistym, czego przykładem jest BLIK lub przelewy ekspresowe. Dla banku to oznacza, że nie mamy przerwy, podczas której możemy odpocząć, sprawdzić dane i je przesłać, bo wszystko się dzieje na bieżąco.
Formuła zamku w pewnym sensie się zdezaktualizowała lub raczej podlega stałej ewolucji, z pewnością więcej zalet ma architektura z cyfrowym bunkrem. Najważniejszym jego elementem jest uczenie maszynowe, co pozwala na weryfikację przychodzących zbiorów danych pod kątem ich nieuprawnionej modyfikacji. Kiedy idziemy w przetwarzanie terabajtów danych w czasie rzeczywistym, nie ma możliwości, żeby je skutecznie weryfikować w trybie manualnym. Użycie w tym celu sztucznej inteligencji jest skutecznym sposobem, żeby nie uchybić rygorystycznym wymogom ochrony danych.
Czy rozwiązania cyfrowego bunkra są charakterystyczne i dopasowane do polskiej bankowości, czy korzystacie ze standardowych mechanizmów, stosowanych w innych państwach świata?
– Rozwiązania klasy cyfrowego bunkra są możliwe do zastosowania w każdej firmie. Wręcz uważam, że każda firma, która nie może sobie pozwolić na utratę dostępu do danych i na przestój, powinna zainteresować się cyfrowym bunkrem. Ransomware może spowodować nieodwracalne straty, z którymi ciężko sobie poradzić w krótkim czasie. Nawet jeżeli organizacja ma cząstkowe backupy, to w momencie kiedy doszło do zaszyfrowania dużej części infrastruktury, trzeba wszystko odzyskiwać, stawiać na nowo systemy, i to zabiera czas, którego z reguły brakuje w sytuacji podbramkowej. A jeśli brakuje kluczowych danych, to po prostu nie można przywrócić firmy do funkcjonowania. Oczywiście nie wiemy, jak świat się będzie rozwijał w przyszłości, jakie będą nowe zagrożenia, być może ransomware przestanie być popularnym rodzajem przestępstwa, bo hakerzy wymyślą inny wektor ataku. Natomiast wydaje się, że machine learning i sztuczna inteligencja, która teraz jest oferowana w cyfrowych bunkrach, będzie propagowana szerzej na standardowe rozwiązania disaster recovery i ochrona przed ransomware będzie dodawana do tych usług w gratisie, a nie, tak jak obecnie, sprzedawana jako dodatkowa usługa.
Czyli cyfrowy bunkier może sprawić, że wektory ataku się zmienią w przyszłości, czy jednak nadal przestępstwa typu ransomware będą przodować?
– Gdyby wszystkie firmy miały cyfrowy bunkier, a w konsekwencji byłyby odporne na ataki ransomware, wówczas hakerzy przestaliby się nimi zajmować, z uwagi na nieskuteczność tej formy przestępstwa. Cyberprzestępcy działają niezwykle pragmatycznie, doskonale kalkulują zyski i straty i starają się najprostszą metodą pozyskać jak najwięcej. Dlatego atakują te firmy i osoby, które są najsłabiej zabezpieczone, bo do ich zasobów najłatwiej się włamać. Bardzo dobrym przykładem są ataki DDoS. Świat informatyki wypracował skuteczne rozwiązania w postaci scrubbing center, czyli usług zewnętrznych, z których też korzystamy. Są wyspecjalizowane firmy, które bardzo dobrze radzą sobie z dużymi atakami wolumetrycznymi DDoS, i instytucje takie jak banki korzystają z ich usług. Dlatego w ogóle nie przejmujemy się tego rodzaju atakami, choć są oferowane w darknecie w bardzo korzystnych cenach. Co z tego, skoro ich nieskuteczność sprawia, że hakerzy się tym obszarem nie interesują. Dziś na topie jest ransomware, przynajmniej jeśli chodzi o przestępstwa wycelowane w firmy. Ponieważ nie wszyscy korzystają z rozwiązań typu cyfrowy bunkier, takie ataki są skuteczne i potencjalnie będą występować.
A w kontekście bezpieczeństwa całego sektora – czy istnieje zagrożenie wirusem komputerowym, który na kształt COVID-19 zaraziłby część sektora, nie będąc skierowanym bezpośrednio do jednej instytucji?
– Na tę chwilę takie ryzyko oceniam nisko. Polskie banki i cały sektor finansowy są bardzo dobrze chronione, także policja czy inne instytucje, które miały jakieś braki lub zaległości, przez ostatnie lata bardzo dużo nadrobiły. Doskonałą rolę odgrywa nadzór, w KNF nastąpiło w ostatnich latach bardzo wiele zmian merytorycznych na plus i zarówno kontrola, jak i nadzór, szczególnie w obszarze cyberbezpieczeństwa, są o wiele skuteczniejsze. To także wymusza działania ze strony banków, dzięki którym bezpieczeństwo w sektorze jest wyższe. Natomiast zdarzają się wyzwania typu COVID-19 czy wojna w Ukrainie, wówczas hakerzy na pewno usiłują wykorzystać niepokój. Postrzegam sytuację w taki sposób, że hakerzy z jednej strony są racjonalni, a z drugiej leniwi, wiedzą zatem, że włamanie do polskiego banku oznacza olbrzymi nakład pracy, sił i środków, a przy tym jest to praktycznie niemożliwe do zrealizowania, więc na pewno będą szukać łatwiejszych celów. Oczywiście, życie może nas zweryfikować, zobaczymy, jakie zagrożenia się będą pojawiać, niemniej jestem nastawiony optymistycznie. Jako sektor potrafimy z jednej strony współpracować, z drugiej strony jesteśmy bardzo odporni, elastyczni i skuteczni w działaniu. To właśnie pokazał COVID i wojna w Ukrainie.
Wciąż najsłabszym ogniwem pozostaje zatem klient…
– Zawsze najsłabszym ogniwem jest człowiek. Dlatego dbamy, żeby nasi administratorzy byli wyedukowani, żeby ludzie pracujący w banku mieli jak najszerszą wiedzę i zrozumienie zagrożeń. Jeżeli chodzi o klientów, to jako sektor i indywidualnie jako każdy z banków poświęcamy wiele środków na inwestycje, pozwalające chronić klientów przed ich własną łatwowiernością, a czasem brakiem zrozumienia pewnych mechanizmów. Potencjalne fraudy, niekiedy idące w miliony, są bardzo często blokowane na poziomie banku, bank bierze odpowiedzialność za klienta przy każdej możliwej okazji. Pomagamy klientom i bardzo dużo robimy w tym kierunku, żeby nie dali się okraść. Niekiedy zdajemy sobie sprawę, że klient potencjalnie może być okradziony, że chce zrobić przelew na podejrzane konto. Przestępcy w polskich warunkach skoncentrowali się na socjotechnice i manipulowaniu klientami. Kiedyś kradzież odbywała się na poziomie gotówki, teraz przestępcy wiedzą, że łatwiej kogoś zmanipulować, żeby sam przelał pieniądze nie tam gdzie trzeba. Potwierdzam, że najsłabszym ogniwem jest człowiek i staramy się dużo robić, żeby edukować naszych klientów. Mogę polecić naszą kampanię telewizyjną i marketingową, gdzie głównym motywem jest bezpieczeństwo.
Veritas LLC oraz Comterga SA to dumni partnerzy cyfryzacji polskich instytucji finansowych. Swoimi technologiami wspierają największe i najbardziej ambitne projekty w kraju i na świecie.
Skontaktuj się, aby dowiedzieć się więcej:
Veritas LLC
+48 698 698 907 | www.veritas.com
Comtegra SA
+48 22 311 18 00 | www.comtegra.pl