Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.

Raporty PRNews.pl

Ludzie PR-u

Hydepark

Wojciech Boczoń

Michał Kisiel

Mateusz Gawin

Wiadomości

Bankowość

Aktualności

Kariera w finansach

Analizy

Firmy pożyczkowe

Ludzie

Marketing i PR

Inwestycje

Ubezpieczenia

Nieruchomości

Poradniki

SKOK-i

Nasz gość

Produkty finansowe

Zapisz się na newsletter:

Sprawdzono, czy banki poradzą sobie w czasie cyberataku

2016-01-19, 07:02

Podczas ostatniej edycji ćwiczeń „Cyber-EXE™ Polska” banki wypadły lepiej niż w 2013 roku, ale część procedur wciąż szwankuje. Problemem są negocjacje z szantażystą i wymiana informacji. Zdaniem bankowców w czasie ataku najlepiej jest zablokować klientom możliwość korzystania z bankowości internetowej.

 

Ćwiczenia „Cyber-EXE™ Polska” organizowane są od 2012 roku, a ich celem jest sprawdzenie jak w sytuacjach ataku teleinformatycznego zachowają się zespoły reprezentujące banki. Testy mają na celu wyłapać słabe punkty podczas symulowanych cyberataków. Omawiane w najnowszym raporcie wnioski powstały po jesiennej edycji ćwiczeń. Wzięło w nich udział siedem instytucji finansowych - pięć dużych polskich banków oraz dwie firmy ubezpieczeniowe. Organizatorem „Cyber-EXE™ Polska” jest Fundację Bezpieczna Cyberprzestrzeń wspierana przez Rządowe Centrum Bezpieczeństwa i firmę doradczą Deloitte.

 

Tak się testuje cyberbezpieczeństwo w bankach

 

Żeby sprawdzić, jak bankowcy zachowują się w czasie cyberataku konieczne jest opracowanie pewnych założeń do testów. W ubiegłorocznych ćwiczeniach przetestowano dwa scenariusze ataków. Pierwszy przewidywał dokonanie przez hakera nieautoryzowanej zmiany w kodzie aplikacji bankowej, która jest wykorzystywana w codziennej pracy bankowych systemów. Ćwiczenie rozpoczęło się od skarg klientów na infolinii, którzy nie mogli wygenerować potwierdzeń wykonywanych zleceń.

 

Hlib Shabashnyi, Thinkstock

 

W kolejnym etapie do banku zgłaszał się szantażysta, który w zamian za okup zgodził się wskazać złośliwy fragment kodu. Groził, że jeśli jego żądanie nie zostanie spełnione, przeprowadzi jeszcze groźniejszy atak. Na tym etapie o sprawie dowiadują się media i wiadomość staje się publiczna. Scenariusz ten zakładał, że żądania szantażysty nie zostaną spełnione, dochodzi do eskalacji  zdarzenia – infolinia staje się przeciążona, a pytania płynące z mediów utrudniają sprawne zarządzanie sytuacją kryzysową.

 

Drugim scenariuszem ataku była akcja phishingowa wymierzona w pracowników (tzw. spear phishing). Ćwiczenie zakładało, że personel otrzyma wiadomości z adresu przypominającego oficjalne konto prezesa z informacją o nowym regulaminie premiowania pracowników. Wiadomość zawierała odnośnik do pliku zawierającego złośliwy kod, po otwarciu którego dochodziło do zaszyfrowania zasobów zgromadzonych na komputerach. Szantażysta w zamian za odszyfrowanie zażądał okupu. Założono, że atak powiódł się również w stosunku do niektórych maszyn administratorów i zakończył się wyciekiem danych. W jednym z portali pojawiły się oferty sprzedaży pełnej listy kontaktowej pracowników organizacji, wraz z próbką kilkudziesięciu rekordów.

 

Banki: Podczas ataku najlepiej wyłączyć bankowość internetową

 

Raport zawiera ciekawe wnioski z reakcji przedstawicieli banków na oba ataki. Poprzednia edycja ćwiczeń odbyła się w 2013 roku i w stosunku do niej tym razem banki lepiej koordynowały swoje działania. W trakcie symulacji informacja odnośnie możliwości wystąpienia ataku została w szybkim czasie przekazana wewnątrz instytucji do niezbędnych komórek organizacyjnych. Poinformowane zostały zarządy oraz kierownictwo, a zarządzaniem sytuacją kryzysową przewodziła osoba z gremium kierowniczego.

 

O wiele lepiej w stosunku do poprzedniej edycji spisały się działy public relations, które szybko reagowały na komentarze pojawiające się w mediach i na portalach społecznościowych. Rzecznicy publikowali komunikaty na witrynie banku, w serwisach społecznościowych oraz aktywnie komunikowali się z dziennikarzami.

 

Okazało się, że w czasie symulowanego ataku wszystkie banki odcięły klientom dostęp do bankowości internetowej. W tym kontekście nasuwa się pytanie, czy tak samo zachowałyby się w czasie prawdziwego ataku na systemy bankowe. Mogą się tu pojawić pewne wątpliwości, bo procedura wyłapywania złośliwego kodu czy negocjacji z szantażystą może być czasochłonna.

 

Co poszło nie tak?

 

Nie wszystko jednak poszło gładko. Od poprzedniej edycji ćwiczeń tylko kilka banków poprawiło procedury negocjacji z szantażystą. Autorzy raportu zwracają uwagę, że w pozostałych przypadkach poszło „nie najlepiej” i procedury stosowane w tym obszarze wymagają poprawy. Szwankowała też współpraca między samymi bankami.

 

Okazało się, że tylko dwie organizacje poinformowały się wzajemnie o zaistniałym ataku, w dodatku poprzez kanały nieformalne. Specjaliści zwracają uwagę, że banki i firmy ubezpieczeniowe powinny opracować i wdrożyć w życie zasady wymiany informacji w trakcie sytuacji kryzysowych. Nie wszystkie ćwiczące zespoły poinformowały też o problemach Komisję Nadzoru Finansowego, choć akurat przekazanie takiej informacji nie jest wymagane.

 

Autorzy raportu omawiając wyniki wskazują, że odpowiednie procedury i sprzęt są warunkiem koniecznym, ale niewystarczającym, by sprostać zaawansowanemu atakowi teleinformatycznemu. Równie ważnymi czynnikami są między innymi doświadczenie pracowników, ich kreatywność i osobiste zaangażowanie. Ważne są także kompetencje samych pracowników. By skutecznie zarządzać sytuacją kryzysową, powinny iść one w parze z poziomem wiedzy potencjalnych atakujących.

 

Dotychczasowa praktyka pokazuje, że cybreprzestępcy znacznie częściej atakują użytkowników bankowości elektronicznej niż same systemy bankowe. W ubiegłym roku byliśmy jednak świadkami bezprecedensowego ataku na systemy informatyczne PlusBanku. Haker, który włamał się na serwery zażądał okupu, a gdy bank nie wypłacił pieniędzy zaczął ujawniać informacje o klientach. Warto w tym kontekście zwrócić uwagę, że w czasie, gdy organy ścigania namierzały włamywacza bankowość internetowa była w pełni dostępna dla klientów. Podczas prawdziwego ataku bank nie zdecydował się zatem na wyłącznie wtyczki i odcięcie klientów od pieniędzy. 

 

 


autor: Wojciech Boczoń



  • etykiety:

Bezpłatny newsletter PRNews.pl:

Zapisz się na newsletter:

Dołącz już dziś do ponad 37 tys. odbiorców!