Sprawdzono, czy banki poradzą sobie w czasie cyberataku

analityk Bankier.pl

Podczas ostatniej edycji ćwiczeń „Cyber-EXE™ Polska” banki wypadły lepiej niż w 2013 roku, ale część procedur wciąż szwankuje. Problemem są negocjacje z szantażystą i wymiana informacji. Zdaniem bankowców w czasie ataku najlepiej jest zablokować klientom możliwość korzystania z bankowości internetowej.

Ćwiczenia „Cyber-EXE™ Polska” organizowane są od 2012 roku, a ich celem jest sprawdzenie, jak w sytuacjach ataku teleinformatycznego zachowają się zespoły reprezentujące banki. Testy mają na celu wyłapać słabe punkty podczas symulowanych cyberataków. Omawiane w najnowszym raporcie wnioski powstały po jesiennej edycji ćwiczeń. Wzięło w nich udział siedem instytucji finansowych - pięć dużych polskich banków oraz dwie firmy ubezpieczeniowe. Organizatorem „Cyber-EXE™ Polska” jest Fundacja Bezpieczna Cyberprzestrzeń wspierana przez Rządowe Centrum Bezpieczeństwa i firmę doradczą Deloitte.

(fot. Andrzej Bogacz / FORUM)

Tak się testuje cyberbezpieczeństwo w bankach

Żeby sprawdzić, jak bankowcy zachowują się w czasie cyberataku konieczne jest opracowanie pewnych założeń do testów. W ubiegłorocznych ćwiczeniach przetestowano dwa scenariusze ataków. Pierwszy przewidywał dokonanie przez hakera nieautoryzowanej zmiany w kodzie aplikacji bankowej, która jest wykorzystywana w codziennej pracy bankowych systemów. Ćwiczenie rozpoczęło się od skarg klientów na infolinii, którzy nie mogli wygenerować potwierdzeń wykonywanych zleceń.

W kolejnym etapie do banku zgłaszał się szantażysta, który w zamian za okup zgodził się wskazać złośliwy fragment kodu. Groził, że jeśli jego żądanie nie zostanie spełnione, przeprowadzi jeszcze groźniejszy atak. Na tym etapie o sprawie dowiadują się media i wiadomość staje się publiczna. Scenariusz ten zakładał, że żądania szantażysty nie zostaną spełnione, dochodzi do eskalacji  zdarzenia – infolinia staje się przeciążona, a pytania płynące z mediów utrudniają sprawne zarządzanie sytuacją kryzysową.

Drugim scenariuszem ataku była akcja phishingowa wymierzona w pracowników (tzw. spear phishing). Ćwiczenie zakładało, że personel otrzyma wiadomości z adresu przypominającego oficjalne konto prezesa z informacją o nowym regulaminie premiowania pracowników. Wiadomość zawierała odnośnik do pliku zawierającego złośliwy kod, po otwarciu którego dochodziło do zaszyfrowania zasobów zgromadzonych na komputerach. Szantażysta w zamian za odszyfrowanie zażądał okupu. Założono, że atak powiódł się również w stosunku do niektórych maszyn administratorów i zakończył się wyciekiem danych. W jednym z portali pojawiły się oferty sprzedaży pełnej listy kontaktowej pracowników organizacji, wraz z próbką kilkudziesięciu rekordów.

Podczas ataku najlepiej wyłączyć bankowość internetową

Raport zawiera ciekawe wnioski z reakcji przedstawicieli banków na oba ataki. Poprzednia edycja ćwiczeń odbyła się w 2013 roku i w stosunku do niej tym razem banki lepiej koordynowały swoje działania. W trakcie symulacji informacja odnośnie możliwości wystąpienia ataku została w szybkim czasie przekazana wewnątrz instytucji do niezbędnych komórek organizacyjnych. Poinformowane zostały zarządy oraz kierownictwo, a zarządzaniem sytuacją kryzysową przewodziła osoba z gremium kierowniczego.

O wiele lepiej w stosunku do poprzedniej edycji spisały się działy public relations, które szybko reagowały na komentarze pojawiające się w mediach i na portalach społecznościowych. Rzecznicy publikowali komunikaty na witrynie banku, w serwisach społecznościowych oraz aktywnie komunikowali się z dziennikarzami.

Okazało się, że w czasie symulowanego ataku wszystkie banki odcięły klientom dostęp do bankowości internetowej. W tym kontekście nasuwa się pytanie, czy tak samo zachowałyby się w czasie prawdziwego ataku na systemy bankowe. Mogą się tu pojawić pewne wątpliwości, bo procedura wyłapywania złośliwego kodu czy negocjacji z szantażystą może być czasochłonna.

Co poszło nie tak?

Nie wszystko jednak poszło gładko. Od poprzedniej edycji ćwiczeń tylko kilka banków poprawiło procedury negocjacji z szantażystą. Autorzy raportu zwracają uwagę, że w pozostałych przypadkach poszło „nie najlepiej” i procedury stosowane w tym obszarze wymagają poprawy. Szwankowała też współpraca między samymi bankami.

Okazało się, że tylko dwie organizacje poinformowały się wzajemnie o zaistniałym ataku, w dodatku poprzez kanały nieformalne. Specjaliści zwracają uwagę, że banki i firmy ubezpieczeniowe powinny opracować i wdrożyć w życie zasady wymiany informacji w trakcie sytuacji kryzysowych. Nie wszystkie ćwiczące zespoły poinformowały też o problemach Komisję Nadzoru Finansowego, choć akurat przekazanie takiej informacji nie jest wymagane.

Autorzy raportu omawiając wyniki, wskazują, że odpowiednie procedury i sprzęt są warunkiem koniecznym, ale niewystarczającym, by sprostać zaawansowanemu atakowi teleinformatycznemu. Równie ważnymi czynnikami są między innymi doświadczenie pracowników, ich kreatywność i osobiste zaangażowanie. Ważne są także kompetencje samych pracowników. By skutecznie zarządzać sytuacją kryzysową, powinny iść one w parze z poziomem wiedzy potencjalnych atakujących.

Dotychczasowa praktyka pokazuje, że cyberprzestępcy znacznie częściej atakują użytkowników bankowości elektronicznej niż same systemy bankowe. W ubiegłym roku byliśmy jednak świadkami bezprecedensowego ataku na systemy informatyczne PlusBanku. Haker, który włamał się na serwery zażądał okupu, a gdy bank nie wypłacił pieniędzy zaczął ujawniać informacje o klientach. Warto w tym kontekście zwrócić uwagę, że w czasie gdy organy ścigania namierzały włamywacza, bankowość internetowa była w pełni dostępna dla klientów. Podczas prawdziwego ataku bank nie zdecydował się zatem na wyłącznie wtyczki i odcięcie klientów od pieniędzy. 

Wojciech Boczoń

Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
2 3 ~niestet

Czy czujecie sie bezpiecznie? Zadam jedno pytanie. Kto zna sposób weryfikacji witryny Banku? Zna odcisk klucza lub sam klucz i alg. szyfrowania?
Gdzie jakis bank publikuje (aktualny!, bo zdarzaja sie też i takie kwiatki) klucze lub ich odciski w formie papierowej?

To teraz cały ten audyt można spokojnie wysmiać

! Odpowiedz
1 7 ~Jan

Najlepszą formą obrony przed cyberatakiem jest wyciągnięcie wtyczki "z prądu".

! Odpowiedz
0 0 ~UPS

Wcale nie

! Odpowiedz
0 1 ~Jan odpowiada ~UPS

Myślisz zapewne o wyłączeniu prądu u cyberatakującego?Że też przedtem o tym nie pomyślałem.

! Odpowiedz
/* (c)AdOcean 2003-2015, pulsbiznesu.bankprzyszlosci.bankier.pl.Aktualnosci.Wiadomosci.Video */ ado.slave('adoceanmyaonoqogjmtsj', {myMaster: '5nerCqOMqCb6Z3jd6O2kuJZLfVfFSQetDXXyAtQKJUj.S7' });

Powiadomienie o debacie

Zapisz się do newslettera przypominającego o transmisjach kolejnych debat.

WIG-BANKI -1,00% 6 136,24
2016-12-09 16:08:00
PEKAO 2,08% 122,70
2016-12-09 16:08:11
HANDLOWY 0,67% 73,99
2016-12-09 16:03:09
IDEABANK 1,30% 23,30
2016-12-09 11:51:42
GETIN 1,05% 0,96
2016-12-09 16:06:35
SANTANDER -0,91% 21,80
2016-12-09 11:44:56
BOS -1,10% 9,03
2016-12-09 15:19:23
GETINOBLE -0,86% 1,15
2016-12-09 15:53:23
UNICREDIT -4,94% 10,77
2016-12-09 14:53:34
MILLENNIUM -1,30% 5,31
2016-12-09 16:07:57
ALIOR -0,52% 51,88
2016-12-09 16:08:09
BZWBK -0,80% 322,90
2016-12-09 16:08:15
MBANK -2,14% 342,45
2016-12-09 16:08:13
INGBSK -2,36% 153,25
2016-12-09 16:08:00
PKOBP -3,16% 27,31
2016-12-09 16:08:13
Zapisz się na bezpłatny newsletter Bankier.pl