Bezpieczna bankowość zależy też od ludzi

Sektor bankowy jest jednym z najlepiej zabezpieczonych, ale w bankach zdarzają się mniejsze lub większe wpadki. Najczęściej przyczyną jest czynnik ludzki. Dlatego - jak podkreślał podczas konferencji Computerworlda SEMAFOR 2018 Piotr Konieczny, Chief Information Security Officer, Niebezpiecznik.pl – ważne jest ciągłe wzmacnianie świadomości po stronie pracowników banków, ale też i po stronie klientów.

Piotr Konieczny, Chief Information Security Officer, Niebezpiecznik.pl

Wpadki po stronie banków dotyczące bezpieczeństwa nie zdarzają się zbyt często. Jednak reakcje bywają różne: od kompletnego zignorowania podejrzanego zdarzenia zgłoszonego przez klienta, do szybkiej i profesjonalnej reakcji. Najważniejsze, jak zauważył Piotr Konieczny, że banki cały czas uczą się i mają coraz większą świadomość, że nawet najlepsze systemy nie wystarczą, ale trzeba szkolić pracowników, by eliminować błędy.

Priorytetowe cyberbezpieczeństwo

Niedawno w Computerworldzie ukazał się raport poświęcony polskiej bankowości – głównym trendom technologicznym w sektorze i priorytetom. Wielu szefów IT polskich banków wskazywało na ogromną wagę, jaką ich organizacje przywiązują do cyberbezpieczeństwa. Wraz z tym, że klienci coraz bardziej bankują cyfrowo i online, a metod płatności jest coraz więcej, zwiększa się skala zagrożenia. Dla każdego banku to dziś wyzwanie. Za chwilę banki, zgodnie z dyrektywą PSD2 będą musiały otworzyć na współczesny świat poprzez wystawienie swojego API. Do którego będą łączyć się inne podmioty, w ten sposób wystawiając się na zupełnie inne wektory ataku. Ponieważ cyberbezpieczeństwo to swojego rodzaju walka, taką najlepiej prowadzić w grupie, dlatego sektor bankowy na tym polu silnie współpracuje.

Przykładem może być powstanie Bankowego Centrum Cyberbezpieczeństwa, platformy w ramach Narodowego Centrum Bezpieczeństwa. Kolejnym ważnym elementem jest edukowanie klientów, ponieważ wiele ze współczesnych cyberzagrożeń dzieje się z uwagi na brak stosowania podstawowych zasad bezpieczeństwa. Jak zauważył CIO jednego z banków, użytkownik musi uważnie czytać komunikaty wysyłane przez bank, ponieważ przestępcy często przerzucają swoje działania na podmioty trzecie, szukając słabszych ogniw w zabezpieczeniach (np. fałszywe smsy).

Jak podkreślał wspomniany szef IT banku, w relacji z instytucją finansową musi następować dwustronna współpraca, a niedopuszczalne są sytuacje, gdy klient ignoruje wiadomość sms z banku, że ktoś próbował logować się na jego konto, albo rozłącza się, gdy dzwoni automat, chcąc potwierdzić zmiany, które np. przestępca dokonuje właśnie na koncie. Banki bez wsparcia ze strony klienta nie są w wstanie zapewnić całkowitego bezpieczeństwa.

Taka współpraca brzmi dobrze. W praktyce zdarzają się jednak mniej lub bardziej spektakularne potknięcia banków, które pokazują, że czynnik ludzki zawodzi również po stronie bankowej.

Marketing wie lepiej…

Podczas konferencji SEMAFOR 2018 Piotr Konieczny przedstawił kilka „ciekawych” wpadek bankowych. Jednym z grzechów bankowych jest na przykład wysyłanie wyciągów na niewłaściwy adres, co w efekcie prowadzi do ujawnienia danych innego czy nawet innych klientów. Kolejny przykład: na skutek błędu w kodze strony jednego z banków pojawiły się adresy mailowe klientów, co pozwoliło przestępcom pozyskać adresy mailowe i wysłać do nich malware.

Często błędy i zagrożenia bezpieczeństwa biorą się z braku wewnętrznej komunikacji pomiędzy np. działem promocji a działem bezpieczeństwa. Zawsze znajdzie się ktoś, kto wie lepiej niż IT…

Inny bank z kolei wyłączył swoim klientom autoryzację. Dość częstym problemem jest też brak możliwości weryfikacji po stronie klienta, czy dany konsultant pracuje w banku. Ktoś dzwoni, żąda weryfikacji klienta, ale klient w niektórych bankach nie może sprawdzić, czy to faktycznie pracownik banku. Co wówczas robić – zastanawiał się Piotr Konieczny podczas swojego wystąpienia - ignorować połączenia z banków? Nie zawsze jest to dobre, ponieważ niektóre z banków mogą np. zablokować karty czy nawet rachunek. Ciekawe jest też to, że same banki ostrzegają, że oszuści podszywają się pod pracowników banku, a rozmowa telefoniczna jest tak prowadzona przez autentycznego pracownika, że upewnia wręcz klienta o tym, że rozmawia on z oszustem…

Jak zauważył Piotr Konieczny, nie tylko programiści i systemy generują problemy.

Często błędy i zagrożenia bezpieczeństwa biorą się z braku wewnętrznej komunikacji pomiędzy np. działem promocji a działem bezpieczeństwa. Zawsze znajdzie się ktoś, kto wie lepiej niż IT…

Bankom zdarzały się wpadki wręcz głupie, na przykład wyciek adresów mailowych poprzez rozsyłanie komunikatu marketingowego do klientów bez BCC, czy wysyłanie wiadomości telefonicznych, które wyświetlały się jako wspólny dla wszystkich adresatów czat.

Kolejny problem to wiadomości wysyłane przez bank, które wyglądają jak klasyczne phishingi, co już na starcie nie wzbudza zaufania klienta, który dostaje np. maila od działu marketingu banku z wklejonym linkiem do banku…

Łowienie sprofilowane

A co z klientami? Na jakie największe zagrożenia oni mogą się natknąć, korzystając z usług banków? Jak wyjaśnił Piotr Konieczny, to przede wszystkim wszelkiego rodzaju phishingi i malspamy, zawierające złośliwe załączniki, najczęściej faktury. Choć te już nie mają takiej siły rażenia, ponieważ przyzwyczailiśmy się już do tego wektora ataku. Jak zaznacza CISO Niebezpiecznika, obecnie ataki mailowe są mocno sprofilowane. Na początku atakuje się osobę z pewnej grupy, patrzy się na jej książkę adresową, na kontakty biznesowe i odtwarza komunikację z przeszłości, dzięki temu jest większa szansa, że ofiara będzie w stanie nabrać się na coś, co zna i taką znajomo wyglądającą wiadomość otworzy na komputerze, zainfekowując go. Infekcja może być dwojaka, ale obydwa warianty kończą się stratą finansową. Pierwszy to ransomware, drugi to zainfekowanie komputera i wykorzystywanie go do monitorowania ofiary, która korzysta z bankowości internetowej i ma przechwytywaną komunikację, podmieniane nr rachunku.

Co możemy zatem zrobić sami, we własnym zakresie?

Według Piotra Koniecznego bezpieczna bankowość internetowa powinna między innymi zawierać:

1. Wykonywanie operacji tylko z zaufanego urządzenia

2. Wejście do banku tylko przez bookmarka (aplikację)

3. Uważne czytanie kodów sms, ponieważ tu najczęściej gubi nas rutyna i automatyzm (sms daje możliwość porównania zgodności numeru rachunku odbiorcy przelewu)

4. Zakaz podawania danych w rozmowach przychodzących (takimi krytycznymi danymi są nie tylko login i hasło, ale PESEL czy nazwisko panieńskie matki)

5. Ustawienie limitów wypłat

6. Regularna lektura wyciągów

7. Osobny numer telefonu dla banku.

Organizatorzy:
logo ISACA Warsaw logo ISACA Katowice logo ISSA logo CW
Partner główny:
logo Entrust Datacard
Mecenasi:
logo Akamai logo Fortinet logo F-Secure logo InfraData
logo OneTrust logo TrendMicro logo Verint
Partnerzy merytoryczni:
logo Arrow logo Asseco logo Atende logo EMCA
logo Flowmon logo Flowmon logo Infoblox logo KPMG
logo Polish Data Center Association logo PWC logo Quest Dystrybucja logo Quest
logo Symantec logo Vade Secure
Wystawcy:
logo Alstor logo Comparex logo Greeneris logo Integral Solutions
logo Integrated Solutions logo LogicalTrust logo Opswat logo Orange
logo Ramsdata logo Ratels logo Sanas Emea logo Vecto
logo Vertiv
Patroni medialni:
logo Rządowe Centrum Bezpieczeństwa logo Instytut Audytorów Wewnętrznych IIA polska logo niebezpiecznik logo CSA PL
logo ISC2 logo Owasp logo Securak logo Technology Risk
logo Zaufana Trzecia Strona


TOP 200