Przetrwać jeszcze rok

Jedna piąta wszystkich ofiar ataków phishingowych to banki i inne instytucje finansowe. Przestępcy coraz szybciej znajdują i wykorzystują nowe luki oprogramowania, a prawo, które pozwala na skuteczną obronę zmienia się znacznie wolniej.

Niepokojący jest również wzrost liczby ataków – w latach 20012/2013 r. aż o 87% (badanie Kaspersky Lab) w stosunku do poprzednich dwunastu miesięcy. O zdarzeniach często nie jest informowana opinia publiczna, a czasem nawet regulatorzy.

Podczas przeprowadzonych w październiku ubiegłego roku ćwiczeń „Cyber EXE-Polska 2013” zasymulowano dwa rodzaje ataków, w tym właśnie atak phishingowy. Uczestnicy podjęli różne działania, w tym poinformowali o zdarzeniach Policję, ale żaden bank nie powiadomił o zdarzeniu Komisji Nadzoru Finansowego.

Zobacz również:

  • Banki korzystają coraz częściej z usług botów
  • IDC CIO Summit – potencjał drzemiący w algorytmach

Nadzór przede wszystkim

Najwyraźniej ćwiczący nie mają jeszcze „odruchu” natychmiastowego raportowania i procedur, jak należy to robić. Wobec tego trzeba zapytać, jak banki komunikują się z nadzorem w sytuacji rzeczywistego zagrożenia. – „Banki i inne instytucje finansowe powinny niezwłocznie informować Komisję Nadzoru Finansowego o ataku lub awarii. Dla nadzoru informacja jest istotna, bo atak lub poważna awaria wpływa na poziom ryzyka w instytucji finansowej i w całym sektorze. W przypadku istotnych zdarzeń tego typu podejmujemy działania nadzorcze - wyjaśniamy przyczyny zdarzenia, sprawdzamy czy bezzwłocznie podjęto w instytucji odpowiednie kroki, a w dłuższej perspektywie - co można zrobić, żeby wyeliminować ryzyka natury systemowej” – mówi Łukasz Dajnowicz, rzecznik Komisji Nadzoru Finansowego.

Liczba zdarzeń i zgłoszeń jest objęta tajemnicą. Wiadomo natomiast, że trwa proces dostosowania polskiego prawa do współczesnego stanu rozwoju takich usług, jak bankowość elektroniczna czy cloud computing za sprawą Rekomendacji D Komisji Nadzoru Finansowego. Banki są zobowiązane do wdrożenia zawartych w niej zaleceń do końca 2014 r. Zdaniem Pawła Jakuba Dawidka, dyrektora ds. technicznych i oprogramowania w Wheel Systems ciekawe jest to, że KNF zaznaczyła, iż za wdrożenie rekomendacji odpowiada zarząd banków – rzadko kwestia bezpieczeństwa danych i infrastruktury technicznej kierowana jest do tak wysokiego szczebla.

Rekomendacja skupia się na bezpieczeństwie teleinformatycznym instytucji finansowych oraz sposobach, w jaki administrują one wrażliwymi danymi i zabezpieczają się przed ich utratą lub kradzieżą. Zawiera ona aż 22 szczegółowe wytyczne podzielone na cztery obszary – strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, rozwój tego środowiska, jego utrzymanie i eksploatacja oraz zarządzanie nim.

Do czerwca 2013 r. banki miały czas na przygotowanie tzw. analizy luk i przesłanie do KNF planu ich likwidacji. – „Należy, więc zakładać, że po 31 grudnia 2014 r. bezpieczeństwo w sektorze usług finansowych znacząco się poprawi, przynajmniej w dużych instytucjach, które mają ludzi i środki, by kompleksowo zająć się wdrożeniem zaleceń Komisji” - podsumowuje dyrektor Paweł Jakub Dawidek.

Lepiej nie ukrywać

Wspomniane na początku ubiegłoroczne ćwiczenia banków wykazały również, że w sytuacjach kryzysowych banki miewają kłopoty z informowaniem mediów, a za ich pośrednictwem również swoich obecnych i potencjalnych klientów. Ale zdaniem współorganizatora ćwiczeń tu również jest szansa na poprawę. „Podejście polskiego sektora finansowego do informowania opinii publicznej o incydentach bezpieczeństwa będzie się zmieniało. Zmiana ta będzie wynikała przede wszystkim z ewoluujących regulacji prawnych dotyczących informowania o zdarzeniach dotyczących danych osobowych i innych informacji chronionych. W ostatnim czasie obserwujemy skuteczne ataki na firmy z innych sektorów gospodarki – np. na sieci handlowe w USA. Podstawowym zarzutem, z którym spotykają się te przedsiębiorstwa jest niska jakość komunikacji i styl w jakim została ona przeprowadzona, a nie to, że stali się ofiarą względnie złożonego ataku informatycznego. Zdarzenia tego typu, a także inne, fundamentalne zmiany dotyczące naszej prywatności wpłyną na aktualizowane wymagania Unii Europejskiej w obszarze ochrony danych osobowych oraz dzielenia się informacjami o incydentach. Te z kolei w istotny sposób odcisną piętno na działaniach sektora finansowego” - mówi Cezary Piekarski, Starszy menedżer, Dział Zarządzania Ryzykiem Deloitte.

Eksperci podkreślają, że w niektórych sytuacjach upublicznienie informacji może spowodować więcej szkód niż pożytku. „W dobie Internetu, szybkich mediów i serwisów społecznościowych nierozważne podanie takiej informacji może nawet doprowadzić do paniki i narastania zagrożenia, poprzez nadzwyczajne obciążenie systemów IT. Może to skutkować wydłużoną niedostępnością systemów i większą wrażliwością na inne ataki, zarówno od razu, jak i w przyszłości. Inna sytuacja jest wtedy gdy informacja o ataku lub awarii pojawia się w mediach, chociaż nie podał jej bank. Wtedy kluczowa jest szybka i elastyczna reakcja - uspokojenie opinii publicznej poprzez podanie prawdziwych i rzetelnych informacji, z akcentem na rozwiązanie. Tutaj chowanie głowy w piasek lub oszczędne gospodarowanie prawdą szybko obróci się przeciw instytucji i może spowodować poważny kryzys reputacyjny i utratę zaufania klientów.” – mówi Łukasz Dajnowicz, rzecznik KNF.

Przetrwać jeszcze rok

Paweł Jakub Dawidek, dyrektor ds. technicznych i oprogramowania w Wheel Systems

Polskie instytucje finansowe oraz ich klienci będą atakowani coraz częściej z uwagi na bogacenie się społeczeństwa. Podstawowym motywem działania cyberprzestępców jest chęć zysku, a cele dobierane są na zasadzie stopy zwrotu z inwestycji. Jeżeli w jednym ataku można kogoś pozbawić oszczędności rzędu 16 tys. złotych – jak to niedawno miało miejsce przy pomocy ataków za pomocą podatności w routerach i socjotechniki – to podjęcie takiego wysiłku zwyczajnie zaczęło się atakującym opłacać. By uniknąć takich sytuacji osobiście proponujemy rozwiązanie pozwalające na autoryzację operacji na niezależnym urządzeniu i oczywiście weryfikację danych operacji przed jej akceptacją – jak pokazał ubiegłoroczny raport aplikacji do bankowości elektronicznej, udało nam się stworzyć najbezpieczniejszy tego rodzaju system w Polsce.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200