Wyobraźmy sobie, że wielki bank traci bazę danych o klientach i prowadzonych dla nich rachunkach. Znikają informacje o udzielonych kredytach, transakcjach na rynku kapitałowym, zgromadzonych rezerwach. Scenariusz rodem z filmu „Fight Club” wcale nie jest nierealny.
O możliwości masowego cyberataku na instytucje finansowe ostrzega się od dawna. Nietrudno pojąć dlaczego – banki, giełdy i ubezpieczyciele to idealny cel zarówno dla ekstremistów, jak i państw prowadzących wojnę. Jeśli z jakiegoś powodu pragnęlibyśmy zdestabilizować którąś z zachodnich potęg gospodarczych lub nawet cały globalny system finansowy, to pośrednicy uczestniczący w kreacji i przepływie pieniądza pełnią na tyle istotną rolę, by znaleźć się na celowniku.
Ciekawy przypadek JPMorgan
Kilka miesięcy temu jeden z największych amerykańskich banków, JPMorgan & Chase, padł ofiarą ataku o niespotykanym dotąd poziomie technicznego wyrafinowania, który można porównać tylko z przypadkiem wirusa Stuxnet wycelowanego w instalacje militarne. Mimo że JPMorgan wydaje rocznie ćwierć miliarda dolarów na zapewnienie bezpieczeństwa informatycznego, instytucja dopiero po wielu tygodniach zdołała zorientować się, że ma nieproszonych gości.
Sposób działania włamywaczy był daleki od cybernapadu rabunkowego – nie wyprowadzono pieniędzy klientów, nie wykorzystano informacji o kartach płatniczych. Złodzieje weszli „frontowymi drzwiami”, przez nieudokumentowaną lukę w serwisie internetowym. Korzystając z błędów w oprogramowaniu (tzw. luk zero day, czyli niezgłoszonych producentom i niezabezpieczonych) zdołali zyskać dostęp do centrów przetwarzania danych. Jednocześnie umieścili w systemach instytucji wyrafinowane złośliwe oprogramowanie, które po cichu zbierało cenne informacje.
Cierpliwi włamywacze
Przez kolejne tygodnie po zainfekowaniu zgromadzony łup powoli wyprowadzano na zewnętrzne serwery. Proces odbywał się w nieśpiesznym tempie tak, aby nie uruchomić zabezpieczeń monitorujących ruch do i z banku. Paczki danych trafiały na tymczasowe „miejsca zrzutu”, by później kontynuować drogę do kolejnych przystanków. Jak twierdzą przywoływani przez Bloomberg śledczy, znacząca część informacji ostatecznie trafiła do komputerów w jednym z dużych rosyjskich miast.
Rosyjski wątek i poziom zaawansowania ataku skłania badających sprawę do hipotezy, że włamywacze mogli mieć powiązania z agendami rządowymi wschodniego mocarstwa. W wywiadzie udzielonym agencji pod koniec sierpnia rzecznik prezydenta Putina stwierdził, że takie insynuacje są „nonsensowne”.
W razie czego podatnicy zapłacą?
Przypadek JPMorgan pokazuje, że nawet najlepiej przygotowane do ochrony swoich systemów instytucje mogą paść ofiarą przestępców. Tym razem nikt nie poniósł strat finansowych, chociaż szczegóły ataku zapewne nigdy nie zostaną przedstawione opinii publicznej. Jeśli jednak włamanie miałoby ściśle określony destrukcyjny cel, to rozmiar szkód można sobie wyobrazić. Skoordynowany atak byłby zapewne w stanie przełamać wiele poziomów zabezpieczeń i sięgnąć np. do zapasowych centrów przetwarzania danych i hurtowni przechowujących archiwalne informacje.
Ciekawą kwestią pozostaje pytanie, kto poniósłby finansowe konsekwencje po takim masowym niszczącym ataku. Bankowcy ubezpieczają się przed ryzykami informatycznymi, ale towarzystwa ubezpieczeniowe mogłyby nie udźwignąć ciężaru odszkodowań. Ostatnią deską ratunku pozostaje sektor publiczny – gdyby w grę wchodziło zdarzenie zagrażające stabilności całego systemu, rachunek znowu zapłaciliby podatnicy.
Michał Kisiel
