IT@BANK 2017: Hakerska apokalipsa

BANK 2017/11

Słuchając zapewnień banków działających w Polsce, można odnieść wrażenie, że żaden nigdy nie został zaatakowany przez hakerów, a jeśli nawet tak się stało, to cyberprzestępcom dano skuteczny odpór. Ciekawe tylko, skąd dane klientów znalazły się w darknecie.

Słuchając zapewnień banków działających w Polsce, można odnieść wrażenie, że żaden nigdy nie został zaatakowany przez hakerów, a jeśli nawet tak się stało, to cyberprzestępcom dano skuteczny odpór. Ciekawe tylko, skąd dane klientów znalazły się w darknecie.

Jakub Wesołowski

Darknet, tor, deep web pod tymi nazwami kryje się internetowy czarny rynek, zapewniający całkowitą anonimowość i niemal całkowicie pozbawiony kontroli służb bezpieczeństwa, gdzie posługując się kryptowalutą, można kupić broń, narkotyki, skradzione karty kredytowe albo całkiem nową tożsamość. Czasami też, tak jak pod koniec września, trafiają się prawdziwe okazje: kilka tysięcy danych klientów polskich banków po 3 zł/szt.

Przestępczy rabat

Jak poinformował serwis Niebezpiecznik.pl, na licytację w darknecie trafiły wrażliwe dane na temat osób korzystających z usług Idea Banku (1990 osób), Credit Agricole (143 osoby), ING Banku Śląskiego (438 osób) i mBanku (964 osoby). Sprzedawca zaoferował informacje o saldzie na rachunku, imię i nazwisko, adres i numery PESEL pechowców, kusząc atrakcyjnymi upustami w przypadku zamawiania większych pakietów danych.

Przedstawiciele banków nie mają pojęcia, kiedy i gdzie nastąpił wyciek. Zapewniają, że współpracują z policją, ale żaden nie poczuwa się do winy. Bardzo znamienne. Po najgłośniejszym jak do tej pory ataku, gdy przestępca sforsował zabezpieczenia i wszedł w posiadanie danych klientów Plus Banku, zaatakowana instytucja robiła co mogła, by uniemożliwić nagłośnienie jej wpadki.

Od końca maja 2018 r. takie sztuczki nie będą już możliwe. Po wejściu w życie przepisów General Data Protection Regulation/Rozporządzenia o ochronie danych osobowych (GDPR/RODO) każdy podmiot, który padł ofiarą wycieku danych, będzie miał 72 godziny na poinformowanie GIODO, ofiar i opinii publicznej o ataku cyberprzestępców. Jeśli tego nie uczyni, narazi się na ogólnounijne horrendalnie wysokie kary, których maksymalny wymiar wynosić będzie 20 mln euro lub 4% przychodów.

– Wprowadzenie GDPR jest dla banków i ubezpieczycieli okazją do przekształcenia się w cyfrowe twierdze, za które wciąż uważają je konsumenci – uważa Zhiwei Jiang, Global Head of Financial Services, Insights and Data w Capgemini, ale jednocześnie ostrzega, że po wprowadzeniu obowiązku informacyjnego liczba wiadomości o incydentach w instytucjach finansowych będzie szokiem dla ich klientów.

Bat na banki

Z raportu „Waluta zaufania: dlaczego banki i firmy ubezpieczeniowe muszą lepiej dbać o bezpieczeństwo danych swoich klientów”, na potrzeby którego Digital Transformation Institute Capgemini przebadał 7600 klientów oraz 180 specjalistów ds. cyberbezpieczeństwa z ośmiu krajów, wynika, że wysoki poziom ochrony systemów chroniących dane to jeden z najważniejszych czynników podczas wyboru banku przez klientów (65%).

Różnice między wyobrażeniami a stanem faktycznym najlepiej obrazuje fakt, że pomimo iż jedna instytucja finansowa na cztery odnotowała akt cyberprzestępstwa, to zaledwie 3% konsumentów wierzy, że ofiarą hakerów może być ich własny bank. I choć instytucje finansowe wydają zawrotne sumy na zabezpieczenia IT, liczba i częstotliwość wycieków danych wciąż rośnie. Okazało się, że mimo idących w miliardy nakładów aż 71% zbadanych organizacji nie posiada zrównoważonej strategii bezpieczeństwa ani silnych zasad ochrony prywatności danych.

Wielu klientów bezwiednie powierza swoje dane bankom i ubezpieczycielom, ale kiedy to zaufanie zostanie zawiedzione, przystępują do działania. Aż prawie ¾ z nich (74%) deklaruje, że w razie wpadki banku zmieni dostawcę usług. Spośród tych, którzy chcieliby pozostać w tym samym banku po przypadku naruszenia danych, ponad ¼ twierdzi, że będzie podchodziła ostrożniej do dalszych inwestycji.

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Udostępnij artykuł: