Bank i Klient: Bankowa CYBERTARCZA 2015

BANK 2015/05

IV Forum Bezpieczeństwa Banków, zorganizowane wspólnie przez "Miesięcznik Finansowy BANK" i Centrum Prawa Bankowego i Informacji pod egidą ZBP, poświęcone było Doktrynie Cyberbezpieczeństwa RP, efektom ćwiczeń Cyber-EXE Polska oraz unijnej dyrektywie NIS dotyczącej bezpieczeństwa informatycznego instytucji finansowych. Wśród gości dominowali bankowi eksperci od spraw IT, członkowie zarządów instytucji finansowych, przedstawiciele NBP, KNF, KG Policji, ABW i BBN.

IV Forum Bezpieczeństwa Banków, zorganizowane wspólnie przez "Miesięcznik Finansowy BANK" i Centrum Prawa Bankowego i Informacji pod egidą ZBP, poświęcone było Doktrynie Cyberbezpieczeństwa RP, efektom ćwiczeń Cyber-EXE Polska oraz unijnej dyrektywie NIS dotyczącej bezpieczeństwa informatycznego instytucji finansowych. Wśród gości dominowali bankowi eksperci od spraw IT, członkowie zarządów instytucji finansowych, przedstawiciele NBP, KNF, KG Policji, ABW i BBN.

Jerzy Trzaska

Na konferencji nie zabrakło zagranicznych gości. Jim Jaeger Chief z Cyber Services Strategist w General Dynamics Fidelis Cybersecurity Solutions, przedstawił zasady współpracy pomiędzy operatorami dużych sieci handlowych i bankomatów w USA a policją w dziedzinie wymiany informacji o przestępcach. W tym przypadku chodziło m.in. o automatyzację alertów o zagrożeniach oraz wykorzystanie kamer w ATM do wyłapywania kryminalistów. Kolejny gość, Roi Cohen Senior Malware Researcher CYBERTINEL, zaprezentował, jak przestępcy pozyskują informacje poufne o kliencie i całej instytucji przez wykorzystanie szpiegowskich mikrochipów oraz oprogramowania, którymi infekuje się typowe karty pamięci (microSD), nośniki typu pendrive i potem za pomocą portów USB w komputerach dociera się do chronionych informacji.

Beztroska klientów

Według Andrzeja Kroczka, inżyniera systemowego F5 Networks, największym problemem w przypadku ataku hakerów jest zachowanie klientów banków. Często ich zgoda na otwarcie e-mailowej korespondencji od nieznanego im nadawcy listu umożliwia plikowi typu malware podstawienie fałszywego linku do przelewów. Ze statystyki ataków wynika, że największe zagrożenie cyberprzestępczością dotyczy typowych form bankowości internetowej, ze stale rosnącym udziałem bankowości mobilnej. Najwięcej wirusów, bo aż 95 proc., projektowanych jest dziś dla systemu Android, ale zbyt pewnie nie powinni się czuć użytkownicy smartfonów z systemem iOS oraz Windows Phone.

Klienci banków nadmiernie ufają oprogramowaniu antywirusowemu, które wykrywa zaledwie 25 proc. cyberataków. Aż w 79 proc. przypadków o tym, że trojany zostały wykorzystane przez hakerów do przejmowania informacji o klientach, banki dowiadują się z wielomiesięcznym opóźnieniem. Bariery ochronne zgodne z unijnymi regulacjami, np. jednokrotne uwierzytelnienie konta, już dziś nie wystarczają. Dlatego powinny być stosowane dwa niezależne od siebie mechanizmy weryfikacji. Problemem jest posługiwanie się kartą płatniczą lub smartfonem w krajach, gdzie brakuje regulacji prawnych dotyczących reguł bezpieczeństwa. Wtedy najlepiej jest weryfikować przelew przez wysłane z Polski potwierdzenia via SMS-y lub tokeny. Najgorzej pod względem bezpieczeństwa jest z przeglądarkami klientów, choć do ataku na serwer banku bardzo trudno je wykorzystać z uwagi na firmowe f irewalle etc. Aby zaatakować dowolnego użytkownika, najlepiej jest zainfekować jego przeglądarkę i nieprzypadkowo to narzędzie jest używane w 90 proc. fałszywych przelewów. Wykorzystuje się do tego portale społecznościowe (przez podstawione fałszywe linki służące do wysyłania informacji o kliencie - hasła, loginy, dokumenty etc.). Robi się to za pomocą "ciasteczek" (cookies) lub przez ukryte ramki, technikę double click z klawiatury etc.

Jak z tym walczyć ? Wystarczy, aby przeglądarka klienta posiadała specjalny java script wykorzystywany tylko do komunikacji z bankiem (np. robienia przelewów, ale także do wysyłania monitów i informacji o ofertach). Aby wykryć malware, banki powinny stosować java scripts w formie niewidzialnej dla klienta w jego komunikacji z bankiem (tzw. zaciemnionej lub przezroczystej). Dane poddaje się potem analizie behawioralnej, dzięki czemu informacje z przeglądarki klienta trafiają do ekspertów od bezpieczeństwa. W ich zdobyciu bardzo pomaga stosowanie certyfikatu ISSL. Tego typu wymiana informacji - od przeglądarki klientado jego macierzystego banku - daje możliwość przeciwdziałania zagrożeniu, np. przez zdalne wyłącznie (shut down) zaatakowanego komputera, oczywiście tylko wtedy, gdy na to pozwalają wcześniej podpisane umowy z dostawcą internetu. Skuteczną metodą ochrony przed hakerami w komunikacji klienta z bankiem jest wykorzystywanie specjalnych ciasteczek, które szyfrują informacje o kliencie podczas komendy o dokonaniu przelewu z jego konta.

Podejrzanie duże pliki

Andrzej Miłosz z Asseco Business Solutions uważa, że przy ochronie tajemnic banków trzeba skoncentrować się na obronie miejsc, gdzie są one przechowywane. Należy stale monitorować serwery, gdzie są one gromadzone i starannie śledzić wszelkie przypadki odejścia od reguł bezpieczeństwa. Najwięcej strat przynosi bankom korespondencja e-mailowa z klientami lub wewnątrz firmy. Dość często ataki wykrywa się dopiero po 300 dniach. Dlatego bankom potrzebne jest narzędzie automatycznie śledzące nietypowe zachowania użytkownika (np. pobieranie ogromnych plików danych z serwera przez jednego pracownika banku z działów niezwiązanych z jego profilem działalności).

Nowe systemy (np. IBM Guardian) mają możliwość uczenia się zachowań użytkowników bankowego systemu informatycznego, a każde odejście od typowego jest sygnalizowane administratorowi jako alert. Pozwala to na zdalne blokowanie i eliminowanie zagrożeń, klasyfikację i segregację informacji o słabych punktach systemów bezpieczeństwa banku. Często nie wiemy, czy ważne dane są wysyłane do wewnątrz firmy, czy też na zewnątrz przez wykorzystanie skrzynki prywatnej pracownika. Dlatego ważna jest ochrona krytycznych danych wysłanych z banku także za pomocą urządzeń mobilnych. Bezpieczeństwo daje np. budowanie prywatnej chmury obliczeniowej, bo pozwala na wewnętrzną, szyfrowaną komunikację, współdzielenie dostępu do dokumentów itp. Zamiast wysyłać cały dużo ważący załącznik, pracownik banku dostaje na peceta lub tablet tylko link dostępu do samego pliku. A to daje kontrolę nad tym, na jak długo link został udostępniony i czy była podjęta próba jego przeslania dalej etc.

Nieznana skala zagrożenia?

W opinii Przemysława Skowrona, niezależnego eksperta w dziedzinie bezpieczeństwa IT w bankowości, zmienia się typ ataków na polskie banki. Od dwóch lat odnotowywane są coraz liczniejsze ataki, które mają na celu zainfekowanie urządzeń, aby wyprowadzić pieniądze z kont klientów. Kolejna grupa to ataki wycelowane w konkretny bank i jego klientów. W takim przypadku o wyborze celu decydują bankowe systemy informatyczne oraz charakterystyczne cechy produktów bankowych. Do absolutnej rzadkości należą ataki na CMS (główną stronę www banku), np. przez podmianę strony do logowania dla klienta. Trzecia grupa to ataki przeprowadzane po to, aby zdobyć wiedzę o konkretnych klientach lub kadrze zarządzającej bankiem. Dopiero od wiosny 2013 r. zdarzają się ataki tej samej grupy hakerów na kilka banków, które stosują podobne systemy informatyczne lub pochodzące od tego samego dostawcy. Według Przemysława Skowrona nikt nie zna skali strat banków i klientów, choć cyberprzestępcy mogli ukraść nawet miliard złotych. To przybliżona wartość maksymalnej straty dla całego polskiego sektora bankowego i mieści w sobie także te ukradzione pieniądze, o których do dziś nie wie ani bank, ani prokuratura, ani sami klienci.

Z tym danymi polemizował Mirosław Maj z Fundacji Bezpieczna Cyberprzestrzeń, który zwrócił uwagę, aby nie łączyć wyłudzeń kredytów w realnych oddziałach z hakerskimi wyłudzeniami pieniędzy z kont klientów. Jest faktem, że według danych prokuratury cyberzłodzieje okradli już kilkuset klientów z 12 polskich banków na łączną sumę od 30 do 35 mln zł. Największe zagrożenie pojawia się przy korzystaniu z darmowych komputerów (hotele i lotniska), kawiarenek internetowych oraz otwartych sieci Wi-Fi.

Nasi rodacy tylko w niewielkim stopniu zdają sobie sprawę ze skali zagrożeń. Według danych z raportu UE CyberSecurity: aż 75 proc. Polaków nie boi się nadużyć z sieci lub z mobilnej bankowości, 71 proc. nie obawia się o bezpieczeństwo transakcji w kanałach elektronicznych, aż 57 proc. nie ma zainstalowanego żadnego systemu antywirusowego, kolejne 71 proc. bezrefleksyjnie otwiera e-maile od nieznanych osób.

Przemysław Skowron uważa, że walka o przewagę konkurencyjną przeszkadza bankom w pełnej wymianie informacji o zagrożeniach. Czym można się dzielić, nie zdradzając strategii banku? Najlepiej samymi opisami scenariuszy ataków, okolicznościami zdarzenia, profilem biznesowym klienta, zastosowanymi technikami przez hakerów etc. Ekspert odradza dawanie klientom banków darmowego antywirusa (AV), bo zbyt łatwo jest dziś podstawić fałszywą stronę z AV do jego aktualizacji, a wszelkie prawne konsekwencje spadną potem na bank. Dane o atakach powinny być automatycznie wymieniane pomiędzy bankami. Trzeba stale współpracować z zespołami CERT/CSRT w Polsce i za granicą. Zwłaszcza z ekspertami od bezpieczeństwa w Hiszpanii, gdzie od lat znajduje się największe w Europie zagłębie produkcji malware.

Złoty interes

Według Joanny Świątkowskiej, dyrektora Programu Cyberbezpieczeństwa w Instytucie Kościuszki, już dziś zyski z cyberprzestępstw są wyższe niż z handlu kokainą, heroiną etc. Dla przykładu - średnia wartość wyłudzeń z kont bankowych w krajach byłego ZSRR wyniosła około 2 mln dolarów, co de facto oznaczało cofnięcie licencji na działanie dla 50 banków. Już dziś szacuje się, że w przeciągu kilku najbliższych lat ataki hakerów spowodują upadek jednej z globalnych instytucji bankowej, co doprowadzi do ogromnego kryzysu w całym światowym systemie finansowym. W opinii ekspertów Bank of America, gdy chodzi o bezpieczeństwo, to z powodu ryzyka reputacyjnego nie ma znaczenia skala ponoszonych nakładów na walkę z hakerami.

Polska ustawa o zarządzaniu kryzysowym uważa banki za jeden z jedenastu newralgicznych dla bezpieczeństwa państwa sektorów gospodarki (tzw. infrastruktura krytyczna). Potrzebne jest nowe podejście do współpracy prywatno- publicznej w dziedzinie bezpieczeństwa, gdyż coraz częściej właścicielami infrastruktury krytycznej są prywatni dostawcy usług. Chodzi o wymianę informacji o zagrożeniach oraz wspólne inicjatywy legislacyjne. Unijna dyrektywa NIS (Network and Information Security) wręcz wymusi ścisłą współpracę państw unijnych w sprawie wymiany informacji o atakach cybernetycznych, w tym firm prywatnych (providerów) z bankami. Podmioty prywatne - odwrotnie niż podmioty publiczne (np. banki jako instytucje zaufania publicznego) - wciąż bardziej dbają o swój biznes kosztem reguł bezpieczeństwa. Dlatego państwo powinno zachęcać sektor prywatny do współpracy z firmami publicznymi w dziedzinie bezpieczeństwa, np. przez ulgi podatkowe, granty etc. Dobrym przykładem takiej współpracy w przyszłości jest np. model ISAC (Information Sharing and Analysys Center), a w Polsce powinny być do niego włączone: NBP, ZBP oraz KNF.

Kolejny ekspert, dr Wojciech Kurowski z Instytutu Zarządzania Wartością SGH, powołał się na raport FBI z 2009 r., mówiący że właśnie od tego momentu nastąpił przełom w poziomie zysków z globalnego handlu narkotykami i cyberprzestęczości, na korzyść tej ostatniej. Autor książki Mafia 2.0 uważa, że cyberprzestępczość to dziś specyficzna rodzaj przedsiębiorczości, a nie tak jak wcześniej organizacje paramilitarne z własnym kodem wartości. Z powodu gospodarki cyfrowej przestępcy są znacznie bardziej elastyczni, a w sieci wyszukują i wynajmują programistów do projektowania malware, trojanów, programów do łamania loginów itp. Starannie dobierają kontrahentów do wspólnego ataku na strony www klientów banków. W miarę możliwości starają się ukryć przestępczy charakter ich operacji, zasłaniając się siecią legalnie działających firm programistycznych.

Masowe fałszywki

Krzysztof Izaak, ekspert ABW, podkreślał, że coraz większym problemem dla polskich instytucji staną się fałszywe dokumenty z krajów podwyższonego ryzyka, które mogą posłużyć do wyłudzeń kredytów etc. Państwo Islamskie (IS) w Syrii, Iraku i na całym obszarze Bliskiego Wschodu na masową skalę produkuje fałszywe dokumenty. Dziś liczbę jego bojowników szacuje się na ok. 20-30 tys. osób, pochodzą one z ponad 80 krajów. Europol zna zaledwie 3 tys. nazwisk fundamentalistów z krajów europejskich, dlatego poważnym problemem stanie się ich powrót do Europy. Z Polski pochodzi około 20 ochotników (z reguły to konwertyci na islam lub obywatele innych państw, którzy mieszkali nad Wisłą i pojechali walczyć dla IS). Po zajęciu syryjskiego miasta Arrak w ręce bojowników IS dostały się 3 tys. czystych blankietów różnego typu dokumentów. Na szczęście Damaszek podał ich numery Europolowi. Po zajęciu irackiego Mosulu bojownicy IS przejęli tysiące legalnych blankietów i całe zakłady poligraficzne. Dzięki temu mogą fałszować całe komplety dokumentów, co daje im potem legalną możliwość uzyskania statusu uchodźcy w UE. To spowodowało ogromny boom na syryjskie dokumenty. W maju 2014 r. w bułgarskim mieście Płowdiw zlikwidowano drukarnie dokumentów (3 tys. paszportów i siedem różnego typu dokumentów pomocnych w przemycie ludzi na Stary Kontynent). W Turcji mafia sprzedaje dokumenty syryjskiej, które potem odnajdywane są np. w Jordanii. Państwo Islamskie drukuje nie tylko dokumenty, np. dowody osobiste i paszporty, ale tworzy własny system monetarny, zaświadczenia potrzebne do handlu na zasadach szariatu. Większość doskonale podrobionych dokumentów trafiła w ręce uchodźców, którzy przypłynęli do Włoch jako ofiary wojny domowej w Syrii i Libii. W sierpniu 2014 r. w Berlinie zatrzymano przedsiębiorcę pogrzebowego, który przez cztery lata kupował od rodzin zmarłych dokumenty, które potem trafiały na czarny rynek. Odnaleziono zaledwie 50 paszportów (niemieckich, marokańskich i egipskich) i tylko 10 jego klientów. We wrześniu 2014 r. zlikwidowano w Grecji siatkę zajmująca się przerzutem ludzi z Syrii. Aż 80 uchodźców miało przy sobie oryginalne polskie dokumenty, pochodzące z Grecji (ukradzione, odsprzedane przez ich właścicieli itp. ). Ekspert ABW apelował do bankowców o zachowanie jak największej czujności podczas załatwiania formalności kredytowych, gdzie często tylko niezgodność wyglądu zabiegającego o pożyczkę petenta z jego zdjęciem z dokumentu może uchronić bank przed fraudami.

 

Udostpnij artyku: