
Sektor finansowy coraz częściej staje się celem świadomie działających i zorganizowanych grup hakerskich. W ostatnim czasie ofiarą ich ataków padło kilka polskich banków, a nawet Komisja Nadzoru Finansowego. Jak z takim rosnącym zagrożeniem radzą sobie instytucje finansowe, a co zrobić może każdy z nas, by nie dawać hackerom niepotrzebnych okazji?
Lista możliwości hackerów jest tak rozbudowana, że bezpieczeństwo kont bankowych może budzić zdziwienie.
Cyberprzestępcy, chcący przejąć nasze dane i pieniądze, mają do dyspozycji m.in. phishing, ataki DDoS czy tzw. taktykę wodopoju.
Eksperci ING wyjaśniają, w jaki sposób banki chronią środki swoich klientów i co my sami powinniśmy robić, żeby nie dawać hackerom niepotrzebnych okazji.
Banki korzystają m.in. z techniki eliminacji słabych punktów zabezpieczeń, skany podatnościowe czy testy penetracyjne.
Od strony użytkownika coraz poważniej traktowanym zabezpieczeniem jest biometria.
Sektor finansowy coraz częściej staje się celem świadomie działających i zorganizowanych grup hakerskich, które mają na celu kradzież środków, pozyskanie wrażliwych danych klientów bankowych, przerwanie ciągłości działania krytycznych usług, czy też kompromitacje instytucji finansowych.
83 proc. konsumentów uważa biometrię za bezpieczną formę uwierzytelniania.
Shutterstock
Cyberprzestępcy posługują się wieloma metodami ataków, takich jak: phishing z wykorzystaniem poczty elektronicznej i serwisów WWW (tj. BEC - Business Email Compromise); blokujący usługi DDoS (Distributed Denial of Service); ukierunkowany na specyficzny cel atak APT (Advanced Persistent Threat) czy też taktyka wodopoju (Watering Hall).
Ta ostatnia została użyta przez cyberprzestępców w ubiegłym roku do zagnieżdżenia złośliwego oprogramowania na stronach Komisji Nadzoru Finansowego.
Z kolei z typowym atakiem APT na starannie wyselekcjonowanych 5 instytucji bankowych w Polsce mieliśmy do czynienia w marcu tego roku. Odnotowano wówczas w sieci aktywność programu BackSwap, który po zainfekowaniu ofiary, monitoruje zachowania użytkownika w przeglądarce internetowej. W momencie wykonywania przelewu na kwotę większą niż 10 tysięcy złotych złośliwy skrypt podmienia numer konta docelowego, na które mają trafiać środki z przelewu.
Zrozumiałe jest zatem, iż instytucje finansowe starają się trzymać rękę na pulsie, na bieżąco informując swoich klientów o nowych formach zagrożeń. Dla przykładu, całkiem niedawno wydano ostrzeżenia przed mobilnymi aplikacjami do sprawdzania kursów kryptowalut, które potrafiły udanie symulować prośbę o podanie loginu i hasła do systemu transakcyjnego banku, umiejętnie przy tym przekierowując wiadomości SMS z kodami jednorazowymi.
Z globalnej perspektywy należy mieć również na uwadze fakt, iż banki mogą stać się ofiarą sabotażu, szpiegostwa, jak i całkiem nieświadomie brać udział w zakonspirowanych działaniach grup przestępczych. Może to mieć miejsce w przypadku chociażby udostępniania swojej infrastruktury dla kont słupów, które mogą służyć do wyprowadzania nielegalnie zdeponowanych środków.
Regulacje, eliminacja słabych punktów, uczenie maszynowe
Na szczęście banki poddane są wielu regulacjom technologiczno-finansowym, które narzucają standardy bezpieczeństwa operacji finansowych. Zoptymalizowane systemy monitorujące transakcje bankowe, potrafią wychwycić podejrzane operacje często związane z praniem pieniędzy. Dodatkowo banki wymieniają się komunikatami bezpieczeństwa przez System Wymiany Ostrzeżeń o Zagrożeniach (SWOZ).
Bankowa infrastruktura serwerowo-sieciowa często jest tak zaprojektowana i zoptymalizowana, iż wyklucza pojedyncze słabe punkty SPOF (Single Point of Failure), a właściwe polityki przechowywania danych umożliwiają odtworzenie krytycznych zasobów niemalże w czasie rzeczywistym. Odpowiednie dostrojenie (Hardening) systemów operacyjnych, zsynchronizowane z regularnym aktualizowaniem tzw. łat na występujące podatności, daje pewność stabilnej infrastruktury. Z kolei systemy typu DLP (Data Leakage Prevention) chronią organizację przed wyciekiem poufnych danych, które mogłyby ją skompromitować.
Co więcej, banki często wykonują ćwiczenia symulujące przełączanie swoich krytycznych aplikacji pomiędzy Data Center, aby mieć pewność, iż te w przypadku potencjalnych awarii, będą zapewniały ciągłość operacyjną. Instytucje bankowe mają lub budują swoje centra bezpieczeństwa IT (Security Operation Center), które opierają swoją działalność operacyjną na systemach monitoringu SIEM (Security Information and Event Management). Te z kolei na podstawie dedykowanych i ciągle rozwijanych scenariuszy bezpieczeństwa, zaprojektowane są w taki sposób, aby wyłapywać potencjalne ataki hakerskie w czasie rzeczywistym. System SIEM, kolekcjonując wiele zdarzeń z infrastruktury, jak i aplikacji, staje się cenną bazą wiedzy na temat przepływu danych w organizacji (Big Data), a odpowiednio skalibrowany z uczeniem maszynowym (Machine Learning), potrafi wykryć anomalie w zaobserwowanych trendach monitorowanych zasobów.
Aplikacje bankowe są projektowane z uwzględnieniem odpowiedniego mechanizmu logowania użytkowników, procesów, skryptów, usług czy też zintegrowanych serwisów. Na każdym etapie tworzenia oprogramowania SDLC (Software Developing Live Cycle) deweloperzy korzystają z otwartych standardów czy też dobrych praktyk programowania. W przypadku aplikacji webowych dobrze sprawdza się OWASP (Open Web Application Security Project), który podpowiada na jakie najczęściej zagrożenia są narażone zasoby aplikacyjne.
Aktywacja, jak i odpowiednio skonfigurowane CSP (Content Security Policy), również staje się orężem, zwłaszcza przy atakach typu XSS (Cross Site Scripting). Ciekawym standardem jest również ASVS 3.0 (Application Security Verification Standard), będący listą wymagań dla tworzenia, rozwijania jak i testowania bezpiecznych aplikacji, takich jak: wymagania dla uwierzytelniania, zarządzania sesją, kontrolą dostępu, mechanizmów kryptograficznych czy też zabezpieczenia komunikacji. Cykliczny przegląd kodu (Code Reviewing) przy każdej aktualizacji aplikacji (Release) umożliwia dodatkową kontrolę bezpieczeństwa.
Co więcej, wykonywane ad hoc skany podatnościowe (Vulnerability Scanning) oraz testy penetracyjne (Penetration Tests) umożliwiają wykrycie luk w już gotowych aplikacjach, przyczyniając się do jeszcze większego uszczelnienia zaprojektowanych systemów informatycznych.
Człowiek - najsłabsze ogniwo zabezpieczeń
Nawet w przypadku dobrze zaprojektowanych systemów bankowych oraz systemów wyłapujących podejrzane aktywności online, użytkownik nadal może paść ofiarą cyberprzestępcy. Właściwa ochrona powinna występować zatem po obu stronach komunikacji na linii klient-bank.
Do dobrych praktyk odbiorcy usług bankowych możemy zaliczyć: aktywację uwierzytelnienia dwuskładnikowego do logowania do najważniejszych usług, regularną aktualizację oprogramowania, zwłaszcza przeglądarek internetowych, korzystanie z VPN (szczególnie przy połączeniach z obcą siecią WiFi), korzystanie online z aplikacji bankowych tylko za pośrednictwem zaufanych urządzeń, korzystanie z silnego, unikatowego dla danego banku hasła, aktywację powiadomienia SMS, informującego o każdej przeprowadzonej transakcji, ochronę skrzynki pocztowej z szyfrowaniem PGP, czy teżkorzystanie z innego konta niż administrator do codziennej pracy biurowej.
Tutaj z pomocą przychodzą innowacyjne rozwiązania optymalizujące dostępne funkcjonalności finansowe, tworzone we współpracy ze start-upami. Ten trend, to z jednej strony konieczność biznesowa mająca ugruntować podejście ?commodity? - czyli usług bankowych, które stają się towarem codziennego użytku, a z drugiej strony odpowiedź instytucji finansowych na PSD2, czyli unijną dyrektywę o otwartej bankowości. PSD2 nakazuje bowiem bankom udostępniać podmiotom trzecim (np. firmom technologicznym) dane o historii transakcji i wzorcach wydatków swoich klientów. Owo udostępnianie dotyczy tylko tych firm, których klienci wyrazili na to zgodę, zaś firmy spełniły szereg kryteriów związanych z zabezpieczeniem danych.
Z tej perspektywy solidnie zabezpieczone ekosystemy bankowe mają przewagę nad pojedynczymi innowacyjnymi inicjatywami, szukającymi wsparcia w funduszach typu Ventures Capital. Wyrastające przy udziale banków start-upy oferują coraz to ciekawsze rozwiązania pomagające w analizie naszych wydatków finansowych, wychwytujące mało efektywne schematy wydawanych przez nas pieniędzy, jak i optymalizujące modele oszczędzania naszych środków. Np. aplikacja ING o nazwie Yolt, która jest stworzona do zarządzania domowymi finansami.
Biometrii nie da się podpatrzeć
Jednym z ostatnio modnych zagadnień w bankowości jest wykorzystanie biometrii w operacjach finansowych. 83 proc. konsumentów uważa biometrię za bezpieczną formę uwierzytelniania - wynika z badania przeprowadzonego na zlecenie Visy.
Implementacje oferują m.in. możliwość zatwierdzania transakcji finansowych odciskiem palca (z narzuconym limitem kwot) oraz automatyczne wczytujących numery rachunku z papierowych przelewów (opcja dostępna dla tych posiadaczy smartfonów, które oferują biometryczne odblokowanie ekranu).
Co więcej, już w najbliższym czasie główni dystrybutorzy kart płatniczych dostarczą rozwiązanie biometrycznego zatwierdzania transakcji kartowych. Wynika to z faktu, iż obecnie 70-80 proc. wszystkich transakcji kartowych w sklepach to płatności zbliżeniowe. Dzięki technologii biometrycznej zawartej w nowoczesnych kartach płatniczych(modułu odczytującego odcisk palca), transakcje przekraczające limit dla opcji zbliżeniowych bez kodu PIN, będą o wiele szybsze. Z kolei klient nie będzie musiał pamiętać kolejnego numeru, mając również na uwadze jego utratę lub podpatrzenie przez potencjalnego złodzieja.
Rozwiązanie biometryczne kart płatniczych w postaci produktu bankowego, zdecydowanie wydłuży ich żywot, niemniej jednak instytucje finansowe będą musiały solidnie zabezpieczyć dane biometryczne, których nie da się podmienić tak, jak numeru PIN.
back