Instytucje finansowe od lat świecą przykładem w zakresie bezpieczeństwa informatycznego. Taka zapobiegliwość ma proste uzasadnienie – jak się szacuje, sektor finansów jest narażony na cyberataki 300 razy bardziej niż inne branże. Tempo rozwoju technologii IT nie pozwala spocząć na laurach. Należy nieustannie testować bezpieczeństwo i poszukiwać luk w stosowanych rozwiązaniach, sprawdzać możliwości innowacyjnych technik i narzędzi oraz udoskonalać strategie przewidywania i reagowania na cyberzagrożenia. Co więcej, dodatkowym wyzwaniem dla sektora jest nadążanie za coraz bardziej restrykcyjnymi przepisami prawa.
Dynamika cyberzagrożeń
Jeszcze w czasach przedpandemicznych banki przeznaczały znaczną pulę środków na rozwiązania służące cyberbezpieczeństwu (w 2019 r. około 0,34% średnich przychodów instytucji), a w tej chwili wydatki te systematycznie rosną. Wysoki poziom zabezpieczeń informatycznych nie jest doskonały – liczne innowacje w obszarze IT, po które tak chętnie sięgają instytucje finansowe, są bardzo narażone na ataki cyber-przestępców.
Ponadto dziś mierzymy się z ubocznymi skutkami pandemii, która nie tylko przyspieszyła digitalizację sektora, ale też zwiększyła zakres pracy wykonywanej zdalnie oraz ilość danych udostępnianych przez Internet. Wszystko to generuje nowe wyzwania dotyczące zarządzania zasobami informatycznymi oraz przechowywania i zabezpieczania informacji dotyczących klientów.
„Poza cyberzagrożeniami związanymi z przestępczością finansową FinCERT.pl, Bankowe Centrum Cyberbezpieczeństwa ZBP identyfikuje zagrożenia wynikające z zaangażowania Polski w koalicję międzynarodową przeciwstawiającą się atakowi Rosji na Ukrainę. Wśród tych zagrożeń można wymienić: ataki na bankowe serwisy internetowe, próbujące wywołać ich niedostępność – ataki DDoS oraz dezinformację związaną z dystrybucją tzw. fake news’ów. – zwraca uwagę Piotr Marek Balcerzak, Dyrektor Zespołu Bezpieczeństwa Banków ZBP. Ekspert wymienia także inne identyfikowane zagrożenia m.in. przestępcze oferty inwestycji w kryptoaktywa lub na rynku FOREX, Business E-mail Compromise, wykorzystywanie przez przestępców legalnie działających internetowych platform ogłoszeniowych i aukcyjnych oraz Spoofing/Vishing.
Najpopularniejsze cyberzagrożenia – statystyki
Zgodnie z raportem rocznym z działalności CERT Polska w 2020 r. zespół zarejestrował 10 420 incydentów cyberbezpieczeństwa, a więc o 60,7% więcej niż w roku poprzednim. W sektorze finansowym liczba ta wyniosła 1 283, czyli 12,31% wszystkich odnotowanych w kraju incydentów. Ponadto aż 27 z 32 incydentów poważnych – a więc takich, które w istotny sposób zakłócają świadczenie usługi kluczowej – zaszło w sektorze bankowym. Większość tych incydentów związana była z awarią powodującą niedostępność usługi.
Raport stwierdza, że obecnie najbardziej powszechnym zagrożeniem w zakresie cyberbezpieczeństwa jest phising. Według tych danych ataki phisingowe stanowiły 73% wszystkich zgłoszonych w 2020 r. incydentów w Polsce, a ich liczba wzrosła aż o 116% w porównaniu do 2019 r. Najczęściej celem ataków było uzyskanie danych karty płatniczej, danych do logowania do e-bankowości lub do konta na Facebooku. Wśród popularnych narzędzi służących do oszustwa znalazły się np. spreparowane wiadomości SMS, wiadomości na komunikatorze WhatsApp czy wpisy na Facebooku o sensacyjnych nagłówkach.
Drugie najbardziej powszechne zagrożenie to szkodliwe oprogramowanie (7,16%), takie jak m.in. trojany bankowe i ransomware. Najczęściej do ataków używany był trojan Alien (Cerberus), pojawiły się też znane już w Polsce modyfikacje z rodzin Anubisa i Hydry oraz eksperymenty niezwiązane z żadną rodziną (najprawdopodobniej opracowane dla konkretnej kampanii). Uwagę zwraca zwiększenie się udziału szkodliwego oprogramowania na platformy mobilne, w większości Android, w kampaniach spamowych. Z kolei platformy Windows atakowane były rzadziej.
W przypadku ransomware podkreślić należy fakt, że celem ataków są nie tylko międzynarodowe koncerny, ale też polskie firmy i instytucje – 69 ze 110 incydentów dotyczyło rodzimych podmiotów. Złośliwe oprogramowanie rozprzestrzeniane jest najczęściej przy wykorzystaniu e-maili, ale też niezabezpieczonych usług RDP i podatności w oprogramowaniu VPN.
Formy zabezpieczeń instytucji finansowych
W celu podniesienia cyberbezpieczeństwa banki stosują szereg zabezpieczeń. Obok środków technicznych (np. zapory i serwery proxy) i środków programowych (np. programy antywirusowe), obowiązkowe są środki służące kontroli dostępu (np. uwierzytelnianie wieloskładnikowe, metody biometryczne) i środki kryptograficzne (np. algorytmy DES, IDEA, RSA).
Systemy i aplikacje bankowe zabezpieczane są dwojako: przy wykorzystaniu narzędzi służących prewencji, jak i tych, które aktywowane są do zarządzania ewentualnymi incydentami. Jednak infrastruktura i kwestie techniczne to nie wszystko. Żeby zadbać o bezpieczeństwo danych i transakcji, konieczne jest też wdrożenie skutecznych mechanizmów na poziomie operacyjnym, a więc związanych z procesami i zasobami ludzkimi.
Przykładowo w walce z atakami phishingowymi banki stosują zabezpieczenia różnego poziomu. Na mocy dyrektywy unijnej PSD2 w 2019 r. wdrożona została obowiązkowa weryfikacja dwuetapowa podczas uzyskiwania dostępu do konta online czy realizowania płatności online. Stosowane są też systemy antyfraudowe służące wyłapywaniu podejrzanych transakcji. Warto podkreślić, że do analizy danych wykorzystywana jest m.in. sztuczna inteligencja (AI) i uczenie maszynowe (ML). Z drugiej strony pracownicy banków poddawani są testowym atakom phishingowym i specjalistycznym szkoleniom. Instytucje bankowe coraz większą wagę przykładają także do podnoszenia świadomości na temat cyberbezpieczeństwa klientów, adresując do nich specjalne kampanie społeczne.
Cyberbezpieczeństwo – nowości wprowadzane przez firmy IT
W obliczu rosnących zagrożeń instytucje finansowe coraz śmielej sięgają po innowacje z obszaru IT. Które z tych nowości mają szczególne znaczenie?
„To wszystko zależy, czemu te rozwiązania mają służyć. Z pewnością, jeśli chodzi o bezpieczeństwo samych banków to rozwiązania związane z przeciwdziałaniem atakom DDoS. Natomiast jeśli chodzi o rozwiązania działające na rzecz bezpieczeństwa klientów, to są technologie wykorzystujące biometrię behawioralną” – wskazuje Piotr Marek Balcerzak.
Jednym z silniejszych trendów staje się też ostatnio migracja na rozwiązania SASE. Wykorzystują one SD-WAN (sieć rozległa definiowana programowo) przy jednoczesnym zastosowaniu mechanizmów bezpieczeństwa m.in. koncepcji zero-trust polegającej na ścisłej kontroli zdalnego dostępu do danych czy aplikacji. Wdrażane są przy tym różnego typu rozwiązania chmurowe, np. bezpieczne bramy sieciowe, zapory sieciowe następnej generacji, ochrona serwerów DNS i CASB, które gwarantują bezpieczny dostęp do sieci i aplikacji działających w chmurze.
Najnowsze rozwiązania zmierzają do konsolidacji różnych technologii zabezpieczeń i łączności tak, aby zapewnić najwyższą ochronę, ale jednocześnie maksymalnie uprościć infrastrukturę i zadbać o jej wydajność. Jednolite rozwiązanie może obejmować ochronę środowiska fizycznego, wirtualnego i chmurowego, udostępniając łatwą w obsłudze internetową konsolę zarządzania. Chmurowe oprogramowania dotyczące łączności i bezpieczeństwa mogą też umożliwiać łączenie dotychczasowej infrastruktury instytucji z rozwiązaniami SASE.
Dla aplikacji, które postrzegane są jako główny cel cyberataków, przygotowywane są też dedykowane, wszechstronne rozwiązania, które sprawdzają się w dowolnym środowisku (własne serwery, publiczna chmura, wielochmurowe środowiska). Systemy obronne uwzględniają najnowsze rodzaje ataków, co jest możliwe dzięki zastosowaniu np. analiz behawioralnych, proaktywnej ochrony antybotowej, szyfrowania danych wrażliwych bezpośrednio w warstwie aplikacji. Duże znaczenie przywiązuje się do testowania bezpieczeństwa aplikacji w trybie ciągłym. Skuteczność zabezpieczeń podnosi wykorzystanie AI i ML, co umożliwia natychmiastowe rozpoznanie fałszywych żądań i uruchomienie określonych działań obronnych.
Luki w cyberbezpieczeństwie sektora finansowego
Pamiętajmy jednak, że postęp technologiczny to broń obusieczna. Dla przykładu AI i ML stosowane są w rozwiązaniach antyphisingowych – ale jednocześnie przestępcy udoskonalają przy ich użyciu właśnie phising. Służy temu deepfake, czyli technika przetwarzania materiałów audio i/lub wizualnych. Umiejętnie spreparowane zdjęcia, filmy czy próbki głosu mogą skłaniać do podjęcia konkretnych akcji klientów banków (podszywanie się pod znajomą osobę), ale też ich pracowników (podszywanie się np. pod przełożonego). O ile nadal ważne są tu zabezpieczenia poczty e-mail i podwójna kontrola procesów, o tyle palącym wyzwaniem dla fintechów jest stworzenie skutecznego oprogramowania służącego do wykrywania fałszywych nagrań.
To tylko jedno z licznych zagrożeń, z którymi zmierzyć się muszą w najbliższym czasie instytucje finansowe. Wprowadzanie kolejnych innowacyjnych produktów i usług, powiązanych np. z kryptowalutami, mobilnymi portfelami, działaniami w chmurze i otwartą bankowością daje więc firmom IT szerokie pole do wdrażania rozwiązań, które pozwolą wyprzedzać działania cyberprzestępców.
Intensywne prace prowadzone są w zakresie bardziej bezpiecznych i wygodnych metod zabezpieczania i dystrybuowania dokumentów do klientów. Z sukcesami wykorzystywana jest od niedawna m.in. technologia blockchain, którą cechuje zdecentralizowana, rozproszona architektura IT. Zastosowanie jej w tzw. trwałym nośniku pozwala na zminimalizowanie podatności na ataki podczas przekazywania klientom poufnych informacji. Blockchain w ogóle posiada niezwykle szeroki potencjał zastosowania w sektorze finansowym i nad możliwościami jego wykorzystania pracują bardzo różne podmioty.
Jeszcze innym, równie ważnym obszarem jest zapewnienie bezpieczeństwa pracy zdalnej pracowników sektora finansowego. Tu konieczne są skuteczniejsze rozwiązania w zakresie ochrony infrastruktury, ale przede wszystkim dotyczące samych ludzi.
„Luka to VPNy, czyli dedykowane tunele komunikacyjne, np. dla pracy zdalnej pracowników, które są w dużej skali trudno zarządzalne, kosztowne w utrzymaniu, konsumują znaczną część dostępnego pasma, a także ich kompromitacja odkrywa wrażliwe dane adresacji IP danej organizacji. Luką może być też utrzymanie spójnych polityk bezpieczeństwa w środowiskach hybrydowych (multicloud).” – wskazuje Przemysław Wojtkiewicz, Country Lead w Citrix Systems Poland.
Miejsce na współpracę sektora finansowego i dostawców technologii IT
Skuteczne zabezpieczanie sektora finansowego przed nieustannie doskonalonymi i mocno zróżnicowanymi cyberatakami wymaga ścisłej współpracy z firmami informatycznymi. Oczywiście podstawą jest wsparcie przy optymalnym dobraniu narzędzi prewencyjnych i to już na etapie tworzenia procedur bezpieczeństwa.
Dla banków znaczenie ma też jak najkorzystniejszy kompromis w zakresie wysokiej ochrony, wydajności, niskich kosztów i pozytywnych doświadczeń użytkownika. Jednak priorytetowym, wspólnym celem instytucji finansowych i firm IT powinno być wyprzedzanie każdego ruchu grup przestępczych.
„Wsparcie ze strony dostawców rozwiązań IT powinno polegać na doradztwie w celu stworzenia bezpiecznego środowiska pracy, nie wpływającego negatywnie na komfort pracy użytkowników i umożliwiającego biznesowi szybko realizację zadań.
Kluczowa jest wspólna praca nad wdrożeniem polityk bezpieczeństwa w tworzeniu i dostarczaniu aplikacji klienckich, by kryteria funkcjonalno-użytkowe oraz t-t-m optymalnie korespondowały z kryteriami i zapewnieniem bezpieczeństwa.” – zaznacza Przemysław Wojtkiewicz.
Koniecznością jest więc nieustanny, dogłębny monitoring zagrożeń i szukanie nowych rozwiązań. Z pomocą przychodzi tzw. biały wywiad cybernetyczny, w ramach którego przeprowadza się wszechstronne testy systemu bezpieczeństwa, na bieżąco badając otoczenie konkretnej instytucji i potencjalne zagrożenia. Jego zadaniem jest nie tylko doraźna prewencja. Pozyskiwane dane powinny być podstawą do wyciągania wniosków: kto i po co może zaatakować, jakie konsekwencje może to nieść, jakie są rekomendowane środki zaradcze i jak dostosowywać wykorzystywane narzędzia do indywidualnych potrzeb banku. Tu współpraca z dostawcami rozwiązań IT jest niezbędna.
Nadchodzące zmiany prawne
Dodatkowym wyzwaniem stojącym przed kooperacją sektora finansowego i IT będą zapowiadane nowe regulacje prawne dotyczące cyfrowej odporności, które obejmą nie tylko instytucje finansowe. DORA, projekt rozporządzenia UE, ma ujednolicić obowiązujące w sektorze finansowym przepisy i zarazem rozszerzyć je np. na współpracujące z bankami firmy IT czy ubezpieczycieli. Zewnętrzni dostawcy mają też być odtąd poddawani ścisłej kontroli.
Ogromne zmiany niesie dyrektywa NIS2, która nałoży na firmy nowe obowiązki, m.in. zadbanie o ciągłość działania i zarządzania kryzysowego, bezpieczeństwo łańcucha dostaw, testowanie procedur oraz audytów, stosowanie kryptografii i szyfrowania danych. Wprowadzona ma zostać osobowa odpowiedzialność członków zarządów za niespełnianie wymogów, a kary mają być bardzo dotkliwe.
Zakres zapowiadanych zmian jest rozległy, dlatego dostosowanie się do nich warto zacząć już dziś.
Data publikacji: