Organizacje mają kilka punktów, które – nieodpowiednio zabezpieczone – mogą otworzyć hakerom drzwi do przeprowadzenia skutecznego ataku. Są to klienci, kadra zarządzająca, przedstawiciele biznesu oraz przedstawiciele IT. Powiedział podczas spotkania Intel Security „Obrona przed i po cyberataku z wykorzystaniem informatyki śledczej”, dotyczącego cyberbezpieczeństwa w sektorze finansowym, Mateusz Górnisiewicz ze Związku Banków Polskich.
Banki i instytucje finansowe od lat znajdują się w czołówce światowej w zakresie poziomu cyfryzacji. Już w 2012 roku wynosił on ponad 50%. Z badania Digital Performance Index wynika, że polski sektor finansowy jest bardzo chętny do wprowadzania innowacji cyfrowych, zwłaszcza w obszarze sprzedaży oraz obsługi i angażowania klienta. Cyfryzacja przekłada się na wzrost liczby klientów i obniżenie kosztów, ale też naraża banki na ataki cyberprzestępców.
– Banki, działy finansowe, ale też po prostu ludzie korzystający z bankowości online są częstym celem hakerów. W wyniku działań internetowych przestępców tracą dane, pieniądze i w niektórych przypadkach także reputację – komentuje spotkanie Arkadiusz Krawczyk, Country Manager w Intel Security Poland.
Dane kart płatniczych to wciąż „najgorętszy” towar na czarnym rynku cyberprzestępczym. Skradzione dane organizowane są w pakiety, a następnie wyceniane i sprzedawane.
Cyberprzestępcy potrafią także bardzo skutecznie wykradać bankowe dane logowania i przy ich pomocy przesyłać skradzione środki do innych państw bądź też na inny numer konta. Według informacji uzyskanych w 2015 roku przez McAfee Labs bankowe dane logowania w przypadku rachunku z saldem 2 200 USD kosztują około 190 USD. Zakup danych logowania do banku w połączeniu z wykonaniem ukrytego przelewu środków do banków amerykańskich to cena od 500 USD w przypadku rachunku z saldem 6 000 USD nawet do 1 200 USD, gdy rachunek opiewa na 20 000 USD.
Instytucje finansowe w przypadku niezastosowania odpowiednich zabezpieczeń mogą stracić nie tylko dane swoich klientów. Grozi im także naruszenie tajemnicy handlowej, utrata przewagi konkurencyjnej, w końcu odpływ klientów i kary za niewłaściwe zabezpieczenie danych osobowych.
Atak na bank, czyli na kogo?
Ostrożni muszą być wszyscy. I klienci banków, korzystając z serwisów online, i – a może przede wszystkim – pracownicy instytucji i działów finansowych. Z tym ostatnim niestety jest problem. Inne badanie przeprowadzone przez McAfee Labs pokazało, że 80% osób w firmach nie potrafi wykryć maila typu phishing. Najsłabsze w tej kwestii okazały się osoby z działów HR i zajmujących się finansami, czyli takich, które posiadają najbardziej poufne dane firm.
– Od lat uczulamy przedsiębiorców na konieczność edukacji pracowników, którzy bardzo często okazują się najsłabszym ogniwem firmowych zabezpieczeń. Ludzie z natury są ufni, robią to, o co zostaną poproszeni, nie podejrzewając tego, że nadawca skierowanego do nich komunikatu może mieć złe zamiary. Dlatego tak ważne jest przypominanie zatrudnionym, że w świecie wirtualnym czeka na nich wiele pułapek. Użytkownicy komputerów i innych urządzeń podpiętych do sieci muszą znać najnowsze metody ataku cyberprzestępców i techniki, które pomogą tych ataków uniknąć. Poddanie się prośbie niezaufanej osoby może doprowadzić do poważnych problemów – utraty poufnych danych czy pieniędzy – nie tylko swoich, ale i firmowych – tłumaczy dalej Arkadiusz Krawczyk.
Jak podczas spotkania organizowanego przez Intel Security „Obrona przed i po cyberataku z wykorzystaniem informatyki śledczej”, dotyczącego cyberbezpieczeństwa w sektorze finansowym, wspominał Mateusz Górnisiewicz ze Związku Banków Polskich, organizacje mają kilka punktów, które – nieodpowiednio zabezpieczone – mogą otworzyć hakerom drzwi do przeprowadzenia skutecznego ataku. Są to klienci, kadra zarządzająca, przedstawiciele biznesu oraz przedstawiciele IT. Ci ostatni mają zazwyczaj większy dostęp do danych organizacji niż pozostali pracownicy, zdarza się niestety, że jednocześnie mają małą świadomość dotyczącą bezpieczeństwa i dla własnej wygody rozluźniają panujące reguły, dotyczące choćby restrykcyjnej polityki haseł w korporacji.
Socjotechnika bronią cyberprzestępców
W jaki sposób cyberprzestępcy docierają do tych grup? Zazwyczaj bardzo skutecznie stosują różne socjotechniki, najczęściej z wykorzystaniem maili phishingowych, czyli takich, które do złudzenia przypominają rzeczywiste maile od firm, organizacji, partnerów biznesowych czy nawet szefa.
– Pracownicy najczęściej nie sprawdzają prawdziwości maili od swoich przełożonych. Wyobraźmy sobie sytuację, w której księgowa czy inna osoba odpowiedzialna za dokonywanie przelewów w firmie otrzymuje od prezesa poufną informację o przejęciu innej spółki z prośbą o przelanie potrzebnej do zamknięcia transakcji kwoty na jakieś konto. Co zrobi w takim przypadku? Zapewne przeleje pieniądze, nie sprawdzając najpierw, czy mail – który na pierwszy rzut oka wygląda jak zwykle – rzeczywiście został wysłany ze skrzynki szefa. Pieniądze niestety trafią jednak na konto cyberprzestępcy – wyjaśnia Arkadiusz Krawczyk z Intel Security Poland.
Hakerzy wykorzystują też ludzką ciekawość i pragnienie dotarcia do rzeczy i informacji, które dla innych są niedostępne. Wystarczy zainfekowany plik o nazwie „Wynagrodzenia zarządu” w załączniku maila lub na podrzuconym w firmowym hallu pendrivie, aby dotrzeć do wewnętrznej sieci przedsiębiorstwa. Mało kto powstrzyma się przed otwarciem tak zatytułowanego załącznika – a otwarcie go kończy się instalacją złośliwego oprogramowania, które wprowadza na urządzeniu podpiętym do sieci zmiany pozwalające hakerom na dotarcie do wrażliwych danych firmy.
Jak walczyć z cyberatakami na instytucje finansowe?
Z cyberprzestępcami można walczyć, ale aby działania te były skuteczne, należy przeprowadzać je na wielu poziomach.
– edukacja klientów i pracowników
Specjaliści ds. bezpieczeństwa są zgodni: podstawą budowania odporności na cyberataki jest edukacja – tak pracowników firmy, jak i jej klientów. Maile z informacjami, komunikaty, ale też szkolenia z rozpoznawania ataków phishingowych powinny wejść w kanon działań podnoszących bezpieczeństwo branży finansowej.
Częścią szkoleń mogą być też symulowane ataki phishingowe, które pozwalają i pracodawcom i pracownikom oraz klientom na zmierzenie skuteczności podejmowanych działań edukacyjnych.
– wprowadzenie i przestrzeganie polityki bezpieczeństwa
Każda organizacja musi posługiwać się wypracowaną polityką bezpieczeństwa określającą uprawnienia dostępu do różnych zasobów firmowych, ustalającą zasady rządzące konstruowaniem haseł, zawierającą instrukcje postępowania w przypadku naruszenia bezpieczeństwa i sposoby zabezpieczenia firmowych zasobów.
– odpowiednie systemy zabezpieczeń
Nawet najbardziej świadomy zagrożeń pracownik może jednak popełnić błąd, zwłaszcza że liczba ataków rośnie z roku na rok. Jednym z największych zagrożeń jest dziś ransomware, czyli złośliwe oprogramowanie, które szyfruje pliki w komputerze ofiary i żąda okupu za ich odszyfrowanie. McAfee Labs alarmuje, że tylko w II kwartale 2016 roku pojawiło się 1,3 miliona nowych próbek ransomware, co stanowi absolutny rekord w całej historii monitorowania tego zagrożenia przez ekspertów.
Jak tłumaczył podczas spotkania – Obrona przed i po cyberataku z wykorzystaniem informatyki śledczej – Bartosz Chmielewski z Intel Security, każda firma musi być zatem przygotowana nie tylko na odpieranie ataków, ale także na reagowanie w chwili, gdy dojdzie już do infekcji. Hakerzy do sieci wewnętrznej mogą dostać się choćby przez otwarty przez pracownika plik Word. Zadaniem systemów bezpieczeństwa jest niedopuszczenie do rozprzestrzenienia się infekcji. Tym celom najlepiej służy ekosystem zbudowany z komunikujących się ze sobą zabezpieczeń, które przekazują sobie w czasie rzeczywistym informacje na temat wykrytego zagrożenia.