Najnowsze

Polskich banków nie da się zhakować?

Connected Security / 28 stycznia 2016

Odpowiedź na pytanie postawione w tytule brzmi: da się. Nie ma bowiem systemu w 100 proc. odpornego na działania cyberprzestępców, podobnie jak nie ma samochodu, którego nie dałoby się ukraść. Dobra informacja jest taka, że polskie instytucje finansowe potrafią dobrze koordynować niezbędne działania podejmowane w chwili wystąpienia cyberataku. Ale różowo nie jest.

Z kolejnej już edycji ćwiczenia Cyber-EXE Polska przeprowadzonego wśród banków przez Fundację Bezpieczna Cyberprzestrzeń, przy wsparciu Rządowego Centrum Bezpieczeństwa oraz firmy doradczej Deloitte wynika, że rośnie poziom zabezpieczenia przed cyberprzestępczością. Nadal jednak istnieje dość duży problem we współpracy pomiędzy instytucjami, które w ograniczonym stopniu informują się nawzajem o zaistniałych zagrożeniach.

Ćwiczenia Cyber-EXE Polska są wykonywane od 2012 r. Po raz pierwszy przedstawiciele świata finansów wzięli w nich udział dwa lata temu. Krytyczne znaczenie technik IT w sektorze bankowym, w połączeniu ze szczególną jego rolą dla klientów sprawiło, że stał się on naturalnym kandydatem do zaproszenia do kolejnej edycji. „Zagrożenia z cyberprzestrzeni nie są dla sektora finansowego nowością. Od wielu lat branża ta jest liderem we wprowadzaniu w życie nowoczesnych rozwiązań technologicznych. Doświadczenie to, także z rzeczywistych incydentów, pozwoliło bankom i firmom ubezpieczeniowym na wypracowanie szeregu procedur oraz technicznych systemów zabezpieczeń” – tłumaczy Mirosław Maj, Prezes Fundacji Bezpieczna Cyberprzestrzeń.

Zmiany w kodzie i szantaż

Scenariusz tegorocznego ćwiczenia powstał w oparciu o najbardziej istotne dla sektora finansowego typy cyberataków i zakładał zagrożenie dla klientów oraz dla samych banków i firm ubezpieczeniowych. Pierwszy, główny incydent, przewidywał dokonanie nieautoryzowanej zmiany w kodzie aplikacji odpowiadającej za logikę jednej z funkcji biznesowych organizacji. Zmiany tej miał dokonać szantażysta, żądający okupu. Drugą fazą ćwiczeń był atak typu spear phishing skierowany do personelu, którego skutkiem było zaszyfrowanie znaczącej części stacji roboczych, w tym komputerów administratorów.

Wnioski? W porównaniu do sytuacji sprzed dwóch lat, sektor bankowy i ubezpieczeniowy zrobił duży postęp w obronie przed cyberatakami. „Widać było większą świadomość uczestników ćwiczenia, a podejmowane działania były bardziej skoordynowane. Przede wszystkim informacja odnośnie możliwości wystąpienia ataku została w szybkim czasie przekazana wewnątrz instytucji do wszystkich komórek, które powinny zostać zaangażowane w zarządzanie incydentem” – mówi Jakub Bojanowski, Partner Działu Zarządzania Ryzykiem w Deloitte. O incydencie dowiedziały się również zarządy oraz kierownictwo banków i firm ubezpieczeniowych, a zarządzaniem sytuacją kryzysową dowodziła osoba pochodząca właśnie z gremium kierowniczego.

Znacznie poprawiła się też aktywność działów public relations. Firmy szybko reagowały na komentarze pojawiające się w mediach i na portalach społecznościowych. Rzecznicy prasowi publikowali komunikaty na stronie internetowej oraz w serwisach społecznościowych, a także rozsyłali je do dziennikarzy.

Brak dostępu do bankowości online

Co ciekawe, w czasie symulowanego ataku wszystkie banki wyłączyły bankowość internetową i odcięły klientów od możliwości przeprowadzania transakcji online. „Dla nas jest to jeden z najciekawszych wniosków, gdyż nie jest oczywiste, czy podobna decyzja zapadłaby, gdyby nie były to symulacje, tylko realny atak na systemy IT” – mówi Jakub Bojanowski.

Szantażysta ma się dobrze

Dwa lata temu nie najlepiej wypadły negocjacje z domniemanym „szantażystą”, który groził bankowi opublikowaniem skradzionych danych. I tylko kilka banków wypracowało od tego czasu odpowiednie procedury – nadal jest to obszar, który wymaga doszczegółowienia.

Szwankuje również współpraca między samymi bankami, które nie mają jeszcze jasnych zasad współpracy i dzielenia się informacją o cyberzagrożeniach, dotykających ich systemy teleinformatyczne. „Tylko dwie organizacje poinformowały się wzajemnie o zaistniałym ataku, w dodatku poprzez kanały nieformalne. Banki i firmy ubezpieczeniowe powinny określić zasady wymiany informacji. Dotyczy to szczególnie sytuacji związanych z zarządzaniem kryzysowym” – mówi Maciej Pyznar, Szef Wydziału Ochrony Infrastruktury Krytycznej w Rządowym Centrum Bezpieczeństwa.

Nie wszystkie ćwiczące organizacje poinformowały też o występujących trudnościach Komisję Nadzoru Finansowego. Zaznaczyć należy jednak, że zasady współpracy pomiędzy instytucjami finansowymi a KNF tego nie wymagają.

Można więc i cieszyć się, i smucić. Cieszyć, bo wdrażane są procedury niezbędne do zapewnienia cyberbezpieczeństwa, a smucić, bo wciąż nie zapewniają pełnej ochrony. A w grę wchodzą pieniądze: i Pana, i Pani i redaktora, który przygotował ten tekst.






Maciej Pobocha
Od ponad 10 lat związany z mediami. Fan nowych technologii. Lubi zaskakiwać i być zaskakiwany informacjami dotyczącymi niekonwencjonalnych rozwiązań – niezależnie od branży, jakiej dotyczą.




Poprzedni wpis

Integracja smartfona z autem: do jednego standardu długa droga

Następny wpis

Trendy w płatnościach e-commerce w 2016 roku





Zobacz także



This site is using the Seo Wizard plugin by http://seo.uk.net/

PLIKI COOKIES: Stosujemy pliki cookies, aby ułatwić korzystanie z serwisu. Szczegóły znajdziesz w Polityce Cookies. Więcej

Strona korzysta z plików cookie w celu realizacji usług zgodnie z Polityką Prywatności. Możesz określić warunki przechowywania lub dostępu do cookie w Twojej przeglądarce lub konfiguracji usługi.

Zamknij