Air France wczoraj i dziś. Francuska linia obchodzi 90.urodziny

AktualnościBankiWiadomości

Sprawdzono, czy banki poradzą sobie w czasie cyberataku

Podczas ostatniej edycji ćwiczeń „Cyber-EXE™ Polska” banki wypadły lepiej niż w 2013 roku, ale część procedur wciąż szwankuje. Problemem są negocjacje z szantażystą i wymiana informacji. Zdaniem bankowców w czasie ataku najlepiej jest zablokować klientom możliwość korzystania z bankowości internetowej.

Ćwiczenia „Cyber-EXE™ Polska” organizowane są od 2012 roku, a ich celem jest sprawdzenie jak w sytuacjach ataku teleinformatycznego zachowają się zespoły reprezentujące banki. Testy mają na celu wyłapać słabe punkty podczas symulowanych cyberataków. Omawiane w najnowszym raporcie wnioski powstały po jesiennej edycji ćwiczeń. Wzięło w nich udział siedem instytucji finansowych – pięć dużych polskich banków oraz dwie firmy ubezpieczeniowe. Organizatorem „Cyber-EXE™ Polska” jest Fundację Bezpieczna Cyberprzestrzeń wspierana przez Rządowe Centrum Bezpieczeństwa i firmę doradczą Deloitte.

Tak się testuje cyberbezpieczeństwo w bankach

Żeby sprawdzić, jak bankowcy zachowują się w czasie cyberataku konieczne jest opracowanie pewnych założeń do testów. W ubiegłorocznych ćwiczeniach przetestowano dwa scenariusze ataków. Pierwszy przewidywał dokonanie przez hakera nieautoryzowanej zmiany w kodzie aplikacji bankowej, która jest wykorzystywana w codziennej pracy bankowych systemów. Ćwiczenie rozpoczęło się od skarg klientów na infolinii, którzy nie mogli wygenerować potwierdzeń wykonywanych zleceń.

W kolejnym etapie do banku zgłaszał się szantażysta, który w zamian za okup zgodził się wskazać złośliwy fragment kodu. Groził, że jeśli jego żądanie nie zostanie spełnione, przeprowadzi jeszcze groźniejszy atak. Na tym etapie o sprawie dowiadują się media i wiadomość staje się publiczna. Scenariusz ten zakładał, że żądania szantażysty nie zostaną spełnione, dochodzi do eskalacji  zdarzenia – infolinia staje się przeciążona, a pytania płynące z mediów utrudniają sprawne zarządzanie sytuacją kryzysową.

Drugim scenariuszem ataku była akcja phishingowa wymierzona w pracowników (tzw. spear phishing). Ćwiczenie zakładało, że personel otrzyma wiadomości z adresu przypominającego oficjalne konto prezesa z informacją o nowym regulaminie premiowania pracowników. Wiadomość zawierała odnośnik do pliku zawierającego złośliwy kod, po otwarciu którego dochodziło do zaszyfrowania zasobów zgromadzonych na komputerach. Szantażysta w zamian za odszyfrowanie zażądał okupu. Założono, że atak powiódł się również w stosunku do niektórych maszyn administratorów i zakończył się wyciekiem danych. W jednym z portali pojawiły się oferty sprzedaży pełnej listy kontaktowej pracowników organizacji, wraz z próbką kilkudziesięciu rekordów.

Banki: Podczas ataku najlepiej wyłączyć bankowość internetową

Raport zawiera ciekawe wnioski z reakcji przedstawicieli banków na oba ataki. Poprzednia edycja ćwiczeń odbyła się w 2013 roku i w stosunku do niej tym razem banki lepiej koordynowały swoje działania. W trakcie symulacji informacja odnośnie możliwości wystąpienia ataku została w szybkim czasie przekazana wewnątrz instytucji do niezbędnych komórek organizacyjnych. Poinformowane zostały zarządy oraz kierownictwo, a zarządzaniem sytuacją kryzysową przewodziła osoba z gremium kierowniczego.

O wiele lepiej w stosunku do poprzedniej edycji spisały się działy public relations, które szybko reagowały na komentarze pojawiające się w mediach i na portalach społecznościowych. Rzecznicy publikowali komunikaty na witrynie banku, w serwisach społecznościowych oraz aktywnie komunikowali się z dziennikarzami.

Okazało się, że w czasie symulowanego ataku wszystkie banki odcięły klientom dostęp do bankowości internetowej. W tym kontekście nasuwa się pytanie, czy tak samo zachowałyby się w czasie prawdziwego ataku na systemy bankowe. Mogą się tu pojawić pewne wątpliwości, bo procedura wyłapywania złośliwego kodu czy negocjacji z szantażystą może być czasochłonna.

Co poszło nie tak?

Nie wszystko jednak poszło gładko. Od poprzedniej edycji ćwiczeń tylko kilka banków poprawiło procedury negocjacji z szantażystą. Autorzy raportu zwracają uwagę, że w pozostałych przypadkach poszło „nie najlepiej” i procedury stosowane w tym obszarze wymagają poprawy. Szwankowała też współpraca między samymi bankami.

Okazało się, że tylko dwie organizacje poinformowały się wzajemnie o zaistniałym ataku, w dodatku poprzez kanały nieformalne. Specjaliści zwracają uwagę, że banki i firmy ubezpieczeniowe powinny opracować i wdrożyć w życie zasady wymiany informacji w trakcie sytuacji kryzysowych. Nie wszystkie ćwiczące zespoły poinformowały też o problemach Komisję Nadzoru Finansowego, choć akurat przekazanie takiej informacji nie jest wymagane.

Autorzy raportu omawiając wyniki wskazują, że odpowiednie procedury i sprzęt są warunkiem koniecznym, ale niewystarczającym, by sprostać zaawansowanemu atakowi teleinformatycznemu. Równie ważnymi czynnikami są między innymi doświadczenie pracowników, ich kreatywność i osobiste zaangażowanie. Ważne są także kompetencje samych pracowników. By skutecznie zarządzać sytuacją kryzysową, powinny iść one w parze z poziomem wiedzy potencjalnych atakujących.

Dotychczasowa praktyka pokazuje, że cybreprzestępcy znacznie częściej atakują użytkowników bankowości elektronicznej niż same systemy bankowe. W ubiegłym roku byliśmy jednak świadkami bezprecedensowego ataku na systemy informatyczne PlusBanku. Haker, który włamał się na serwery zażądał okupu, a gdy bank nie wypłacił pieniędzy zaczął ujawniać informacje o klientach. Warto w tym kontekście zwrócić uwagę, że w czasie, gdy trwały rozmowy z włamywaczem bankowość internetowa była w pełni dostępna dla klientów. Podczas prawdziwego ataku bank nie zdecydował się zatem na wyłącznie wtyczki i odcięcie klientów od pieniędzy.

Polecane artykuły
AktualnościWiadomości

Cena złota w dalszym ciągu poluje na rekordy

AktualnościMotoryzacjaWiadomości

Volkswagen prezentuje nowego Bulli na targach IAA

AktualnościWiadomości

Komisarz UE Breton rezygnuje

AktualnościWiadomości

Szef UniCredit Orcel promuje fuzję z Commerzbankiem

Zapisz się do Newslettera
Bądź na bieżąco i otrzymuj najnowsze artykuły