W myśl znanego powiedzenia, że im więcej potu na ćwiczeniach, tym mniej krwi w boju, banki na całym świecie co jakiś czas spotykają się na poligonie, organizowanym przez ekspertów od bezpieczeństwa. - „Banki coraz częściej znajdują się na celowniku cyberprzestępców i dzieje się to również w Polsce, chociaż się o tym nie informuje. Nasza inicjatywa jest o tyle cenna, że powstała przy współpracy sektora rządowego, prywatnego oraz organizacji pozarządowych. To niezwykle ważne, bo w skutecznej walce o bezpieczeństwo IT wymaga zjednoczenia sił wszystkich zainteresowanych stron” – mówi Mirosław Maj, prezes Fundacji Bezpieczna Cyberprzestrzeń, która zorganizowała ćwiczenia wspólnie z Rządowym Centrum Bezpieczeństwa i firmą doradczą Deloitte.

Tajemnicą jest to, kto i kiedy ćwiczył. Wiemy natomiast, z jakimi problemami musieli się zmierzyć przedstawiciele pięciu banków komercyjnych i jednego spółdzielczego, którzy wzięli udział w ćwiczeniach „Cyber EXE-Polska 2013”.

Zobacz również:

• Banki korzystają coraz częściej z usług botów
• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie

Symulowane ataki

Banki musiały odpowiedzieć na dwa symulowane ataki teleinformatyczne. Pierwszym z nich był atak typu DDoS (Distributed Denial of Service), którego efektem było zablokowanie dostępu do stron internetowych banku i uniemożliwienie klientom przeprowadzania operacji bankowych. Drugim, bardziej zaawansowanym technologicznie, był ukierunkowany na banki atak typu APT (Advanced Persistant Threat). Jego celem było pozyskanie wrażliwych dla banków informacji i finansowy szantaż banku.

Zespoły ćwiczeniowe działały w bankach, ale nie korzystały ze swojej infrastruktury. Wprawdzie eksperci rekomendowali przeprowadzenie ćwiczeń również w warstwie technologicznej, ale z natury ostrożni bankowcy woleli nie wystawiać fragmentu infrastruktury na niebezpieczeństwo. Ujawnili natomiast, że potrafią działać zgodnie ze schematami, ale niezbyt chętnie informowali o nieprzewidzianych zdarzeniach regulatora i nawet w obliczu wspólnego zagrożenia zachowują się jak konkurenci i nie są skłonne do współpracy.

- „Banki dobrze sobie poradziły – ocenia Cezary Piekarski, starszy menedżer w Dziale Zarządzania Ryzykiem Deloitte – w działania było zaangażowanych od 10 do 20 jednostek, zadziałały procedury, ale one nie wystarczą. Najlepiej na ćwiczeniach wypadły te banki, które oprócz procedur dysponowały zżytym, dobrze zarządzanym zespołem, który umie działać tam, gdzie kończą się procedury” – wyjaśnia. Dotyczy to również niektórych rzeczników prasowych, którzy niestety usiłowali nawet w sytuacji kryzysowej odsyłać dziennikarzy – w tej roli występował jeden z zespołów ćwiczeniowych – do maili i nie spieszyli się z wydaniem komunikatu. Żaden bank nie podjął też współpracy z KNF. Banki rozpoczęły natomiast rozmowy z szantażystą.

Realne problemy

W tym punkcie ćwiczenia spotykają się ze światem realnym, bo jak zaznaczają eksperci polskie firmy działające w e-commers na co dzień muszą się mierzyć z problemem ataków prowadzących do blokady serwisów. W skrajnych – niestety częstych przypadkach – płacą, a żeby nie stracić wszystkiego, wpisują sobie koszty okupów do modelu biznesu.

Kolejnym realnym problemem jest uzależnienie od dostawców technologii. Również w tym obszarze potrzebna jest współpraca. - Zdaję sobie sprawę, że w dobie walki o każdego klienta, pokazywanie konkurencji swoich słabych punktów nie jest łatwą decyzją, ale w przypadku cybeataku, kolektywna obrona daje możliwość minimalizacji skutków ataku – komentuje przebieg ćwiczeń Maciej Pyznar, główny specjalista w Wydziale Ochrony Infrastruktury Krytycznej Rządowego Centrum Bezpieczeństwa, dodając, że w warunkach rzeczywistego zagrożenia banki byłyby bardziej skłonne do współpracy.

Ważnym wnioskiem dla całego sektora finansowego oraz instytucji odpowiedzialnych za bezpieczeństwo i nadzór nad bankowością jest rekomendacja, żeby podobne ćwiczenia przeprowadzać przynajmniej raz w roku i to z udziałem nie tylko samych banków, ale również Policji, Komisji Nadzoru Finansowego i Związku Banków Polskich. Czym więcej potu na ćwiczeniach... tym bezpieczniejsze będą nasze pieniądze.