IT Bank 2015 Relacja: Cyber security

BANK 2015/12

Nikogo nie trzeba przekonywać, że bezpieczeństwo, i to nie tylko w sektorze bankowym, jest bardzo ważne. Według danych z rynku amerykańskiego (badanie firmy Fidelis), wystąpienie incydentu naruszającego bezpieczeństwo kosztuje firmę średnio 6,5 mln dolarów. Koszty te co roku rosną w USA o 8 proc. Jest też ścisła korelacja pomiędzy informacją firmy o wycieku danych a spadkiem cen jej akcji na giełdzie.

Nikogo nie trzeba przekonywać, że bezpieczeństwo, i to nie tylko w sektorze bankowym, jest bardzo ważne. Według danych z rynku amerykańskiego (badanie firmy Fidelis), wystąpienie incydentu naruszającego bezpieczeństwo kosztuje firmę średnio 6,5 mln dolarów. Koszty te co roku rosną w USA o 8 proc. Jest też ścisła korelacja pomiędzy informacją firmy o wycieku danych a spadkiem cen jej akcji na giełdzie.

Bohdan Szafrański
Zdjęcia: Marzena Stokłosa

Drugą z sesji przedpołudniowych konferencji IT@BANK 2015 poświęcono cyberbezpieczeństwu. Pierwsze wystąpienie wprowadzające do dyskusji dotyczyło zabezpieczenia danych w kontekście ciągłość biznesu i tego, jak minimalizować ryzyko przestojów. Mówił o tym Tomasz Krajewski, Presales Manager Eastern Europe w firmie Veeam Software. Jak stwierdził, główne zagrożenia nowoczesnych centrów danych nie występują dziś ze strony grup cyberprzestępców. Problemy związane z przestojami w dostępie do baz danych często są spowodowane czynnikami pogodowymi, kataklizmami oraz przez użytkowników, administratorów, programistów i inżynierów. Eksplozję rakiety Arianne 5 spowodowała np. próba zapisania przez programistę 32-bitowego słowa w 16-bitowym rejestrze. Po wykryciu błędu uruchomił się system redundantny, ale był w nim taki sam błąd. Mając ten przypadek na uwadze, warto zadbać o to, by system zapasowy przygotował inny informatyk. Z kolei katastrofę Mars Climate Observer NASA spowodowało wykonanie obliczeń przez jednego z podwykonawców w calach i stopach, a przez drugiego w systemie metrycznym. W 2014 r. kosztowny błąd w porównywarce cen w serwisie Amazon (ceny w centach) powstał również z błędu programisty. Jak się okazuje (dane z 1200 firm), nieplanowany przestój średnio występował w nich 13 razy w roku i średnio trwał łącznie 221 godzin.

Warto też pamiętać, że jedno na sześć odtworzeń backupu zawodzi. Kolejne wystąpienie - Adama Obszyńskiego, Senior Systems Engineer odpowiedzialny za CEE w firmie Infoblox - dotyczyło zagrożeń związanych z wykorzystaniem protokołu DNS. Mówił o DNS Security - niebezpieczeństwie klientów i pracowników - czyli o tym, jak zablokować największą lukę ostatnich lat. Oczywiście bez protokołu DNS nie da się funkcjonować w internecie. Jednak został on opracowany 29 lat temu. Jest prosty i łatwy do zaatakowania. Dziś firmy i banki są dość dobrze zabezpieczone przed atakami DNS DdoS. Jednak występują też takie zagrożenia, jak blokowanie APT malware przez DNS i zapobieganie mikrowyciekom danych (wyciek jest śladowy i rozproszony - trudny do wykrycia). Jest jednak dostępny protokół DNSSEC, w którym można zabezpieczyć wiarygodność strony WWW dla e- -klientów. Dodano w nim (już 20 lat temu) potwierdzanie kryptograficzne, podobnie jak jest to zrobione w protokole SSL dla aplikacji WEB. Jak stwierdził Obszyński, 30 proc. czeskiego internetu już wykorzystuje DNSSEC. Znaczące jest jego wykorzystanie m.in. w Danii i Holandii. W Polsce praktycznie nie jest wykorzystywany. Według prelegenta, nie korzysta z tego protokołu ani jeden bank działający w Polsce.

bank.2015.12.foto.062.a.250xO dopasowaniu potrzeb związanych z bezpieczeństwem i wygodą użytkowania (How to balance security and usability) mówił Rafael C. Abreu, International Business Development Director w firmie Diebold. Zwracał uwagę, że dziś przestępcy pozyskują dane użytkowników, kradnąc tożsamości. Użytkownik jest najsłabszym ogniwem, przestępcy mogą przejmować kontrolę nad kamerą zainstalowaną w komputerze, myszą i klawiaturą. Wykonać zrzuty obrazów z ekranu komputera. Wykorzystują także sponsorowane linki w Google - podstawiając odnośniki do podrobionych stron firm, banków itp. Jednym z trendów 2016 r. mogą być też ataki na płatności on-line. Jednym ze sposobów zabezpieczenia się przed zagrożeniami może być wykorzystanie wiedzy o zachowaniu się klientów i sposobach, w jaki kontaktują się z bankiem. Gdy pojawią się odstępstwa w tych zachowaniach, można takie transakcje kontrolować i nawet zablokować.

Panel dyskusyjny poświęcony bezpieczeństwu moderował Piotr Puczyński, wiceprezes zarządu Banku Gospodarstwa Krajowego. Uczestniczyli w nim: Mariusz Kaczmarek - prezes zarządu CompFort Meridian Polska; Agnieszka Konarzewska - dyrektor zarządzająca Pionu Przedsiębiorstw Międzynarodowych Bank BGŻ BNP Paribas S.A.; Adam Marciniak - dyrektor Pionu Rozwoju i Utrzymania Aplikacji w PKO Banku Polskim S.A. oraz Joanna Świątkowska - ekspert Instytutu Kościuszki ds. cyberbezpieczeństwa, dyrektor programowy CYBERSEC.

bank.2015.12.foto.062.b.250xAgnieszka Konarzewska stwierdziła, że choć klientami bankowości korporacyjnej są też korporacje, które mają swoje działy IT, to nie zawsze mają dział bezpieczeństwa. Jednak zawsze, jeśli wydarzy się coś złego, to i tak uważa się, że jest to wina banku. W przypadku banków, jeśli zdarzy się nieprzyjemne wydarzenie w jednym kraju, to może się to odbić na biznesie w innych państwach. Zdaniem Joanny Świątkowskiej, cyberbezpieczeństwo to nie tylko kwestie technologiczne, ale też prawne, wynikające z pojawiających się regulacji. Nie wszyscy zdają sobie do końca sprawę z tego, jak ważną rolę w prowadzeniu ich biznesu ma teleinformatyka. Jak odbija się to na ich funkcjonowaniu i jak poważne są zagrożenia. Inwestycje w bezpieczeństwo to obecnie również inwestycje w budowanie swojej pozycji i w wyprzedzenie konkurencji, a nie tylko ochrona. Mariusz Kaczmarek przypomniał, że nie chcemy wydawać pieniędzy na IT i cyberbezpieczeństwo. Jednak biznes powinien zajmować się biznesem, IT wspierać biznes, a cyber security zapewnić bezpieczne środowisko funkcjonowania. Z kolei Adam Marciniak zwrócił uwagę, że model funkcjonowania IT zmienia się. Mamy coraz bardziej wyrafinowane fraudy i zagrożenia związane z rozbudowaną ofertą banków. Są różne modele funkcjonowania działów IT i bezpieczeństwa informatycznego. Czy dobrym rozwiązaniem nie byłoby oddzielenie bezpieczeństwa od IT?

bank.2015.12.foto.062.c.250xW trakcie dyskusji uczestnicy mówili o potrzebie uświadamiania, że zagrożenia są wszędzie. Z badania przeprowadzonego przez Komisję Europejską wynika, że 38 proc. ankietowanych klientów zaczyna dostrzegać sprawy bezpieczeństwa i to, że sami muszą podjąć trud zabezpieczenia się. Banki powinny brać odpowiedzialność za bezpieczeństwo klienta, ale niestety nie wyraża on zgody, by można było "wejść" na jego tablet czy smartfon i usunąć z niego niebezpieczne programy lub pliki. Zaczyna się dyskutować, gdzie jest granica odpowiedzialności banku, a kiedy klient będzie ponosił odpowiedzialność za swoje działania i zaniedbania związane z bezpieczeństwem. Czy można przedstawić klientowi listę wymagań i jeśli ją spełni, to wtedy odpowiedzialność będzie po stronie banku. Czy jest to realne, gdy środowisko informatyczne zmienia się dynamicznie, a cykl produkcyjny malware to zaledwie kilka dni. Dlatego też, jak stwierdziła Joanna Świątkowska, edukacja w zakresie higienicznego korzystania z komputerów ma szerszy systemowy aspekt. Podkreślono, że nie ma dziś na uczelniach wyższych oddzielnych kierunków studiów ściśle związanych z bezpieczeństwem. Stale pojawiają się też kolejne zagrożenia, jako przykład podano oferty pracy polegające na wykorzystaniu kont bankowych przez samych klientów (konta słupy) do wykonywania operacji w imieniu grup przestępczych. Wcześniejsze rozpoznanie takiego konta nie jest możliwe do momentu wykonania takiej operacji

 

Udostępnij artykuł: