Temat numeru: Zabezpieczenia, postępowanie w razie ataku, informowanie klientów

Bohdan Szafrański

Nie jest możliwe pełne zabezpieczenie się przed atakami na systemy informatyczne. Grupy przestępcze coraz częściej żądają okupu za zaniechanie przeprowadzenia ataku. Niestety zasada, że nigdy nie należy płacić w przypadku szantażu, wcale nie jest taka oczywista. Druga strona też kalkuluje opłacalność przeprowadzenia ataku i kieruje go np. na słabiej zabezpieczonych. Dziś w organizacjach zadawane są pytania, jakie rozwiązania (technologia, sprzęt, oprogramowanie) warto zastosować, by wcześnie wykryć zagrożenia związane z możliwością pojawienia się cyberataku, oraz kiedy i gdzie szukać pomocy? Banki są w trudnej sytuacji, bo jako instytucje opierające swój biznes na zaufaniu klientów, muszą tak postępować, by ich nie stracić. Chętnie wykorzystuje to strona przestępcza. Dlatego tak ważne jest pytanie, kiedy należy i warto informować klientów banku o możliwych zagrożeniach.

Michał Tkaczuk, ekspert z PKO Banku Polskiego, podkreśla, że zapewnienie bezpieczeństwa danych jest ujęte w planie ciągłości działania banku. To dokument przedstawiany Komisji Nadzoru Finansowego (KNF). Jest zbiorem procedur i rozwiązań pozwalających m.in. zapobiegać utracie informacji w sytuacjach, o jakich mówimy. Bank ma różne fizyczne lokalizacje, w których dane klientów są przechowywane (w kilku kopiach) i przetwarzane. Informacje są replikowane w czasie rzeczywistym pomiędzy lokalizacjami, dzięki czemu w każdej z nich bank dysponuje pełnym i aktualnym zbiorem. Zabezpieczenie danych, zarówno fizyczne, jak i technologiczne, podlega ocenie przez niezależnych audytorów (także przez KNF) i spełnia restrykcyjne wymagania regulacyjne i prawne, w tym wymagania przyjęte za standard w branży. Dodatkowo w banku działa zespół reagowania, który stale monitoruje sieć i reaguje natychmiast na każdy sygnał związany z potencjalnym zagrożeniem bezpieczeństwa. – Wszystkie przypadki zgłaszamy organom ścigania oraz międzynarodowym zespołom CERT, które zajmują się zwalczaniem naruszeń bezpieczeństwa komputerowego, jak również przeciwdziałaniem tego typu oszustwom w przyszłości – dodaje Michał Tkaczuk.

Również w ING Banku Śląskim cyberbezpieczeństwo jest na stałe wpisane w strategię bezpieczeństwa. Bank proaktywnie w trybie ciągłym dba o to, aby być odpornym na ataki cybernetyczne, które mogą dotknąć instytucje finansowe. Działania te mają zarówno charakter prewencyjny – poprzez implementację procedur oraz systemów ograniczających dostęp do zasobów, jak i działania o charakterze detekcyjnym – które mają na celu szybką identyfikację problemu i minimalizację jego wpływu na infrastrukturę banku

Jolanta Rycerz, dyrektor Pionu Sprzedaży Usług Bankowych w First Data dodaje, że zwiększona liczba transakcji w internecie oraz systematyczny wzrost liczby cyberataków na systemy instytucji finansowych spowodowały, że zarówno KNF, jak i Europejski Urząd Nadzoru Bankowego wydały regulacje nakładające na uczestników rynku obowiązek dodatkowych zabezpieczeń przy płatnościach internetowych z wykorzystaniem kart płatniczych. Zakup oraz utrzymanie systemów zabezpieczeń w bankach wiąże się z coraz większymi nakładami finansowymi. Coraz więcej firm i instytucji finansowych decyduje się na przenoszenie na zewnątrz organizacji obszarów wymagających stałych nakładów na innowacje i rozwój. Wpływa to pozytywnie na efektywność kosztową dotychczasowego modelu biznesowego, a jednocześnie umożliwia dostęp do nowoczesnych rozwiązań technologicznych oferowanych przez wyspecjalizowane firmy, które nieustannie inwestują w rozwój swoich systemów

Tomasz Sawiak, wicedyrektor w zespole CyberSecurity Technology Services w PwC, dzieli mechanizmy zabezpieczające na prewencyjne, detekcyjne i reakcyjne. Rozróżnia też rodzaje ataków kierowanych na systemy bankowości. W przypadku kierowanych na klientów bankowości internetowej – to najczęściej phishing oraz infekcje komputerów i urządzeń mobilnych wykorzystywanych w bankowości elektronicznej. Przy zapobieganiu tego typu atakom najważniejsza jest edukacja użytkowników, oczywiście połączona z odpowiednimi mechanizmami sprawdzającymi autentyczność transakcji. To oni są celem większości ataków w przypadku bankowości elektronicznej, stąd ich pierwsze symptomy mogą być w większości rozpoznane i zgłoszone tylko przez nich. Zdarzają się również ataki kierowane na infrastrukturę banku. W takim przypadku sprawcom zależy na dostępie do stacji roboczych wybranych pracowników i uzyskaniu możliwości wykonywania operacji, które mogą przynieść im bezpośrednie korzyści finansowe. – Oczywiście mechanizmów zabezpieczających instalowanych po stronie infrastruktury przedsiębiorstw jest wiele – tym scalających wszystkie mechanizmy prewencyjne i detekcyjne jest system SIEM – Security Information Event Management. Z uwagi na ciągłą ewolucję scenariuszy ataków, mechanizmy zabezpieczające wymagają okresowych przeglądów pod kątem ich dostosowania do sytuacji – dodaje Tomasz Sawiak.

Podobnie uważa Mirosław Maj z firmy ComCERT. – Rozwiązań jest bardzo dużo, ich zastosowanie zależy bezpośrednio od decyzji organizacji, podjętej po solidnie wykonanej analizie ryzyka. Osobiście zwróciłbym uwagę na dwie rzeczy. Pierwsza to skuteczny system typu SIEM, który jest miejscem agregacji i analizy danych. Nie jest to jednak panaceum na wszelkie kłopoty – podkreśla. Wdrożenie i utrzymanie SIEM to zaawansowane zadanie techniczne i organizacyjne, źle wykonane doprowadza do pogorszenia sytuacji, a nie do jej poprawienia. Druga to uznanie wagi prawidłowego zareagowania na incydenty. Po latach wdrażania systemów bezpieczeństwa większość organizacji uzyskało dużo w dziedzinie prewencji i niewiele w dziedzinie reakcji. Niestety, większość przekonuje się o tym, że nawet najlepsza prewencja nie jest w pełni skuteczna. Trzeba uzbroić się w narzędzia wspomagające reakcję, np. służące do analizy złośliwego oprogramowania, identyfikacji źródeł ataku czy skutecznego znoszenia jego skutków.

Michał Kurek, dyrektor w Zespole Zarządzania Ryzykiem IT w EY, jest przekonany, że wobec dzisiejszych zagrożeń informatycznych nie ma skutecznych zabezpieczeń. Nawet największe inwestycje w zabezpieczenia nie są w stanie ochronić firmy przed hakerami. Cyberprzestępcy dysponują dziś dedykowanym oprogramowaniem wykorzystującym nieznane wcześniej podatności. Skutecznie posługują się potężnymi technikami inżynierii społecznej. Widząc to oficerowie bezpieczeństwa coraz częściej używają słowa utrudnić, zamiast ochronić. – Zarządy największych instytucji finansowych na świecie zdają sobie sprawę, że nie są w stanie zabezpieczyć się przed cyberprzestępcami i coraz większy nacisk kładą na inwestycje w skuteczne procesy monitorowania bezpieczeństwa i reagowania na zidentyfikowane incydenty – dodaje Michał Kurek. Im bardziej podejście będzie proaktywne, tym efektywniej firma będzie chroniona. Dlatego nowym trendem w bezpieczeństwie są usługi Threat Intelligence, polegające na monitorowaniu ciemnej strony internetu. Działania te mają na celu zrozumienie motywów cyberprzestępców, ich narzędzi, sposobu działania, a przede wszystkim mają możliwie wcześnie zidentyfikować szykowany na organizację cyberatak.

Krzysztof Radziwon, partner w dziale usług doradczych w KPMG w Polsce, jest przekonany, że przed podjęciem decyzji o konkretnych inwestycjach w technologię, sprzęt czy oprogramowanie, należy najpierw odpowiedzieć sobie na pytania: co organizacja chce chronić, przed kim się chronić oraz jaki może mieć przebieg potencjalny cyberatak. Odpowiedź zależeć będzie od rodzaju i charakteru zasobów, które chce chronić. Wydaje się, iż obecnie organizacje całkiem dobrze chronią informacje, co jest związane z aktywnością regulatorów na tym polu (np. w sektorze finansowym) oraz licznymi standardami wytworzonymi na przestrzeni lat, które z powodzeniem wiele firm w Polsce wdrożyło. Dlatego w tym obszarze słuszne wydaje się skupienie nie na nowych inwestycjach, lecz ...