Podczas ostatniej edycji ćwiczeń „Cyber-EXE™ Polska” banki wypadły lepiej niż w 2013 roku, ale część procedur wciąż szwankuje. Problemem są negocjacje z szantażystą i wymiana informacji. Zdaniem bankowców w czasie ataku najlepiej jest zablokować klientom możliwość korzystania z bankowości internetowej.
Ćwiczenia „Cyber-EXE™ Polska” organizowane są od 2012 roku, a ich celem jest sprawdzenie jak w sytuacjach ataku teleinformatycznego zachowają się zespoły reprezentujące banki. Testy mają na celu wyłapać słabe punkty podczas symulowanych cyberataków. Omawiane w najnowszym raporcie wnioski powstały po jesiennej edycji ćwiczeń. Wzięło w nich udział siedem instytucji finansowych – pięć dużych polskich banków oraz dwie firmy ubezpieczeniowe. Organizatorem „Cyber-EXE™ Polska” jest Fundację Bezpieczna Cyberprzestrzeń wspierana przez Rządowe Centrum Bezpieczeństwa i firmę doradczą Deloitte.
Tak się testuje cyberbezpieczeństwo w bankach
Żeby sprawdzić, jak bankowcy zachowują się w czasie cyberataku konieczne jest opracowanie pewnych założeń do testów. W ubiegłorocznych ćwiczeniach przetestowano dwa scenariusze ataków. Pierwszy przewidywał dokonanie przez hakera nieautoryzowanej zmiany w kodzie aplikacji bankowej, która jest wykorzystywana w codziennej pracy bankowych systemów. Ćwiczenie rozpoczęło się od skarg klientów na infolinii, którzy nie mogli wygenerować potwierdzeń wykonywanych zleceń.
W kolejnym etapie do banku zgłaszał się szantażysta, który w zamian za okup zgodził się wskazać złośliwy fragment kodu. Groził, że jeśli jego żądanie nie zostanie spełnione, przeprowadzi jeszcze groźniejszy atak. Na tym etapie o sprawie dowiadują się media i wiadomość staje się publiczna. Scenariusz ten zakładał, że żądania szantażysty nie zostaną spełnione, dochodzi do eskalacji zdarzenia – infolinia staje się przeciążona, a pytania płynące z mediów utrudniają sprawne zarządzanie sytuacją kryzysową.
Drugim scenariuszem ataku była akcja phishingowa wymierzona w pracowników (tzw. spear phishing). Ćwiczenie zakładało, że personel otrzyma wiadomości z adresu przypominającego oficjalne konto prezesa z informacją o nowym regulaminie premiowania pracowników. Wiadomość zawierała odnośnik do pliku zawierającego złośliwy kod, po otwarciu którego dochodziło do zaszyfrowania zasobów zgromadzonych na komputerach. Szantażysta w zamian za odszyfrowanie zażądał okupu. Założono, że atak powiódł się również w stosunku do niektórych maszyn administratorów i zakończył się wyciekiem danych. W jednym z portali pojawiły się oferty sprzedaży pełnej listy kontaktowej pracowników organizacji, wraz z próbką kilkudziesięciu rekordów.
Banki: Podczas ataku najlepiej wyłączyć bankowość internetową
Raport zawiera ciekawe wnioski z reakcji przedstawicieli banków na oba ataki. Poprzednia edycja ćwiczeń odbyła się w 2013 roku i w stosunku do niej tym razem banki lepiej koordynowały swoje działania. W trakcie symulacji informacja odnośnie możliwości wystąpienia ataku została w szybkim czasie przekazana wewnątrz instytucji do niezbędnych komórek organizacyjnych. Poinformowane zostały zarządy oraz kierownictwo, a zarządzaniem sytuacją kryzysową przewodziła osoba z gremium kierowniczego.
O wiele lepiej w stosunku do poprzedniej edycji spisały się działy public relations, które szybko reagowały na komentarze pojawiające się w mediach i na portalach społecznościowych. Rzecznicy publikowali komunikaty na witrynie banku, w serwisach społecznościowych oraz aktywnie komunikowali się z dziennikarzami.
Okazało się, że w czasie symulowanego ataku wszystkie banki odcięły klientom dostęp do bankowości internetowej. W tym kontekście nasuwa się pytanie, czy tak samo zachowałyby się w czasie prawdziwego ataku na systemy bankowe. Mogą się tu pojawić pewne wątpliwości, bo procedura wyłapywania złośliwego kodu czy negocjacji z szantażystą może być czasochłonna.
Co poszło nie tak?
Nie wszystko jednak poszło gładko. Od poprzedniej edycji ćwiczeń tylko kilka banków poprawiło procedury negocjacji z szantażystą. Autorzy raportu zwracają uwagę, że w pozostałych przypadkach poszło „nie najlepiej” i procedury stosowane w tym obszarze wymagają poprawy. Szwankowała też współpraca między samymi bankami.
Okazało się, że tylko dwie organizacje poinformowały się wzajemnie o zaistniałym ataku, w dodatku poprzez kanały nieformalne. Specjaliści zwracają uwagę, że banki i firmy ubezpieczeniowe powinny opracować i wdrożyć w życie zasady wymiany informacji w trakcie sytuacji kryzysowych. Nie wszystkie ćwiczące zespoły poinformowały też o problemach Komisję Nadzoru Finansowego, choć akurat przekazanie takiej informacji nie jest wymagane.
Autorzy raportu omawiając wyniki wskazują, że odpowiednie procedury i sprzęt są warunkiem koniecznym, ale niewystarczającym, by sprostać zaawansowanemu atakowi teleinformatycznemu. Równie ważnymi czynnikami są między innymi doświadczenie pracowników, ich kreatywność i osobiste zaangażowanie. Ważne są także kompetencje samych pracowników. By skutecznie zarządzać sytuacją kryzysową, powinny iść one w parze z poziomem wiedzy potencjalnych atakujących.
Dotychczasowa praktyka pokazuje, że cybreprzestępcy znacznie częściej atakują użytkowników bankowości elektronicznej niż same systemy bankowe. W ubiegłym roku byliśmy jednak świadkami bezprecedensowego ataku na systemy informatyczne PlusBanku. Haker, który włamał się na serwery zażądał okupu, a gdy bank nie wypłacił pieniędzy zaczął ujawniać informacje o klientach. Warto w tym kontekście zwrócić uwagę, że w czasie, gdy trwały rozmowy z włamywaczem bankowość internetowa była w pełni dostępna dla klientów. Podczas prawdziwego ataku bank nie zdecydował się zatem na wyłącznie wtyczki i odcięcie klientów od pieniędzy.