Sprawdzono, czy banki poradzą sobie w czasie cyberataku

analityk Bankier.pl

Podczas ostatniej edycji ćwiczeń „Cyber-EXE™ Polska” banki wypadły lepiej niż w 2013 roku, ale część procedur wciąż szwankuje. Problemem są negocjacje z szantażystą i wymiana informacji. Zdaniem bankowców w czasie ataku najlepiej jest zablokować klientom możliwość korzystania z bankowości internetowej.

Ćwiczenia „Cyber-EXE™ Polska” organizowane są od 2012 roku, a ich celem jest sprawdzenie, jak w sytuacjach ataku teleinformatycznego zachowają się zespoły reprezentujące banki. Testy mają na celu wyłapać słabe punkty podczas symulowanych cyberataków. Omawiane w najnowszym raporcie wnioski powstały po jesiennej edycji ćwiczeń. Wzięło w nich udział siedem instytucji finansowych - pięć dużych polskich banków oraz dwie firmy ubezpieczeniowe. Organizatorem „Cyber-EXE™ Polska” jest Fundacja Bezpieczna Cyberprzestrzeń wspierana przez Rządowe Centrum Bezpieczeństwa i firmę doradczą Deloitte.

(fot. Andrzej Bogacz / FORUM)

Tak się testuje cyberbezpieczeństwo w bankach

Żeby sprawdzić, jak bankowcy zachowują się w czasie cyberataku konieczne jest opracowanie pewnych założeń do testów. W ubiegłorocznych ćwiczeniach przetestowano dwa scenariusze ataków. Pierwszy przewidywał dokonanie przez hakera nieautoryzowanej zmiany w kodzie aplikacji bankowej, która jest wykorzystywana w codziennej pracy bankowych systemów. Ćwiczenie rozpoczęło się od skarg klientów na infolinii, którzy nie mogli wygenerować potwierdzeń wykonywanych zleceń.

W kolejnym etapie do banku zgłaszał się szantażysta, który w zamian za okup zgodził się wskazać złośliwy fragment kodu. Groził, że jeśli jego żądanie nie zostanie spełnione, przeprowadzi jeszcze groźniejszy atak. Na tym etapie o sprawie dowiadują się media i wiadomość staje się publiczna. Scenariusz ten zakładał, że żądania szantażysty nie zostaną spełnione, dochodzi do eskalacji  zdarzenia – infolinia staje się przeciążona, a pytania płynące z mediów utrudniają sprawne zarządzanie sytuacją kryzysową.

Drugim scenariuszem ataku była akcja phishingowa wymierzona w pracowników (tzw. spear phishing). Ćwiczenie zakładało, że personel otrzyma wiadomości z adresu przypominającego oficjalne konto prezesa z informacją o nowym regulaminie premiowania pracowników. Wiadomość zawierała odnośnik do pliku zawierającego złośliwy kod, po otwarciu którego dochodziło do zaszyfrowania zasobów zgromadzonych na komputerach. Szantażysta w zamian za odszyfrowanie zażądał okupu. Założono, że atak powiódł się również w stosunku do niektórych maszyn administratorów i zakończył się wyciekiem danych. W jednym z portali pojawiły się oferty sprzedaży pełnej listy kontaktowej pracowników organizacji, wraz z próbką kilkudziesięciu rekordów.

Podczas ataku najlepiej wyłączyć bankowość internetową

Raport zawiera ciekawe wnioski z reakcji przedstawicieli banków na oba ataki. Poprzednia edycja ćwiczeń odbyła się w 2013 roku i w stosunku do niej tym razem banki lepiej koordynowały swoje działania. W trakcie symulacji informacja odnośnie możliwości wystąpienia ataku została w szybkim czasie przekazana wewnątrz instytucji do niezbędnych komórek organizacyjnych. Poinformowane zostały zarządy oraz kierownictwo, a zarządzaniem sytuacją kryzysową przewodziła osoba z gremium kierowniczego.

O wiele lepiej w stosunku do poprzedniej edycji spisały się działy public relations, które szybko reagowały na komentarze pojawiające się w mediach i na portalach społecznościowych. Rzecznicy publikowali komunikaty na witrynie banku, w serwisach społecznościowych oraz aktywnie komunikowali się z dziennikarzami.

Okazało się, że w czasie symulowanego ataku wszystkie banki odcięły klientom dostęp do bankowości internetowej. W tym kontekście nasuwa się pytanie, czy tak samo zachowałyby się w czasie prawdziwego ataku na systemy bankowe. Mogą się tu pojawić pewne wątpliwości, bo procedura wyłapywania złośliwego kodu czy negocjacji z szantażystą może być czasochłonna.

Co poszło nie tak?

Nie wszystko jednak poszło gładko. Od poprzedniej edycji ćwiczeń tylko kilka banków poprawiło procedury negocjacji z szantażystą. Autorzy raportu zwracają uwagę, że w pozostałych przypadkach poszło „nie najlepiej” i procedury stosowane w tym obszarze wymagają poprawy. Szwankowała też współpraca między samymi bankami.

Okazało się, że tylko dwie organizacje poinformowały się wzajemnie o zaistniałym ataku, w dodatku poprzez kanały nieformalne. Specjaliści zwracają uwagę, że banki i firmy ubezpieczeniowe powinny opracować i wdrożyć w życie zasady wymiany informacji w trakcie sytuacji kryzysowych. Nie wszystkie ćwiczące zespoły poinformowały też o problemach Komisję Nadzoru Finansowego, choć akurat przekazanie takiej informacji nie jest wymagane.

Autorzy raportu omawiając wyniki, wskazują, że odpowiednie procedury i sprzęt są warunkiem koniecznym, ale niewystarczającym, by sprostać zaawansowanemu atakowi teleinformatycznemu. Równie ważnymi czynnikami są między innymi doświadczenie pracowników, ich kreatywność i osobiste zaangażowanie. Ważne są także kompetencje samych pracowników. By skutecznie zarządzać sytuacją kryzysową, powinny iść one w parze z poziomem wiedzy potencjalnych atakujących.

Dotychczasowa praktyka pokazuje, że cyberprzestępcy znacznie częściej atakują użytkowników bankowości elektronicznej niż same systemy bankowe. W ubiegłym roku byliśmy jednak świadkami bezprecedensowego ataku na systemy informatyczne PlusBanku. Haker, który włamał się na serwery zażądał okupu, a gdy bank nie wypłacił pieniędzy zaczął ujawniać informacje o klientach. Warto w tym kontekście zwrócić uwagę, że w czasie gdy organy ścigania namierzały włamywacza, bankowość internetowa była w pełni dostępna dla klientów. Podczas prawdziwego ataku bank nie zdecydował się zatem na wyłącznie wtyczki i odcięcie klientów od pieniędzy. 

Wojciech Boczoń

Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
2 3 ~niestet

Czy czujecie sie bezpiecznie? Zadam jedno pytanie. Kto zna sposób weryfikacji witryny Banku? Zna odcisk klucza lub sam klucz i alg. szyfrowania?
Gdzie jakis bank publikuje (aktualny!, bo zdarzaja sie też i takie kwiatki) klucze lub ich odciski w formie papierowej?

To teraz cały ten audyt można spokojnie wysmiać

! Odpowiedz
1 7 ~Jan

Najlepszą formą obrony przed cyberatakiem jest wyciągnięcie wtyczki "z prądu".

! Odpowiedz
0 0 ~UPS

Wcale nie

! Odpowiedz
0 1 ~Jan odpowiada ~UPS

Myślisz zapewne o wyłączeniu prądu u cyberatakującego?Że też przedtem o tym nie pomyślałem.

! Odpowiedz
/* (c)AdOcean 2003-2015, pulsbiznesu.bankprzyszlosci.bankier.pl.Aktualnosci.Wiadomosci.Video */ ado.slave('adoceanmyaonoqogjmtsj', {myMaster: '5nerCqOMqCb6Z3jd6O2kuJZLfVfFSQetDXXyAtQKJUj.S7' });

Powiadomienie o debacie

Zapisz się do newslettera przypominającego o transmisjach kolejnych debat.

WIG-BANKI -0,05% 5 966,37
2016-05-27 17:15:00
PKOBP 0,48% 24,92
2016-05-30 10:21:00
BZWBK 0,40% 264,05
2016-05-30 09:34:12
INGBSK 0,56% 124,70
2016-05-30 10:06:24
UNICREDIT 1,22% 13,32
2016-05-30 09:23:09
GETIN 0,94% 1,07
2016-05-30 09:44:32
SANTANDER 3,99% 17,99
2016-05-30 09:00:39
BANKBPH 0,00% 31,00
2016-05-30 09:13:46
HANDLOWY 0,00% 78,00
2016-05-30 09:16:36
BOS -0,08% 12,73
2016-05-30 10:05:07
GETINOBLE -2,00% 0,49
2016-05-30 09:41:35
MILLENNIUM -0,83% 4,78
2016-05-30 10:21:03
MBANK -0,31% 320,00
2016-05-30 09:56:13
IDEABANK -4,47% 23,27
2016-05-30 09:00:00
PEKAO -0,10% 153,00
2016-05-30 10:19:23
ALIOR -1,35% 53,25
2016-05-30 10:20:51
Zapisz się na bezpłatny newsletter Bankier.pl