Cyberprzestrzeń wokół nas

Idealnych zabezpieczeń nie ma

 

sejfNajłatwiejszym kanałem dotarcia hakerów są klienci banków. Nader często padają oni ofiarą tzw. phishingu, czyli fałszywego mailingu z marką swojego banku. Przestępcy również się edukują i są coraz bardziej profesjonalni i skuteczni. Dane są zatrważające, bowiem, aż 88 proc. przeprowadzanych ataków osiąga zamierzony cel w czasie krótszym niż jeden dzień. W tym samym czasie tylko jedna piąta firm jest w stanie odkryć taki atak, a tylko 40 proc. zniwelować jego szkody. Trzeba sobie zdawać sprawę z tego, że takiej możliwości nie dają używane obecnie technologie. Mają one na celu utrzymać bezpieczeństwo w sieci, ale gdyby chcieć osiągnąć niemal idealny stan ochrony, w każdej firmie trzeba byłoby zwiększyć środki wydawane na ten cel średnio 13 razy. Niestety, skupiając się tylko na obronie, nie zapobiegniemy wszystkim incydentom cybernetycznym. Nie mniej jednak sektor finansowy powinien nadal rozwijać możliwości wykrywania zdarzeń w momencie ich wystąpienia, minimalizując ich wpływ na działalność biznesową i infrastrukturę krytyczną.

 

Banki są świadome ryzyka

Z zagrożenia cyberprzestępczością zdają sobie sprawę również polskie instytucje finansowe. Wspólnie uczestniczą w symulacjach mających na celu weryfikację zdolności obrony przed hakerami. W październiku 2013 r. pięć banków komercyjnych i jeden bank spółdzielczy wzięło udział w ćwiczeniach „Cyber-EXE Polska 2013″. Zostały one zorganizowane już po raz drugi przez Fundację Bezpieczna Cyberprzestrzeń przy wsparciu Rządowego Centrum Bezpieczeństwa oraz firmy Deloitte. Banki delegowały do udziału w nich liczące od 10 do 20 osób zespoły specjalistów. Musiały one poradzić sobie z dwoma rodzajami symulowanych ataków hakerskich. Pierwszym z nich był atak typu DDoS (Distributed Denial of Service). Prowadził on do zablokowania dostępu do stron internetowych banków i uniemożliwił klientom przeprowadzanie operacji. Drugim był tzw. atak ukierunkowany APT (Advanced Persistant Threat). Jego celem było pozyskanie wrażliwych dla banku informacji i jego finansowy szantaż.

Wynik był zadowalający, bowiem okazało się, że uczestniczące w ćwiczeniach „Cy-ber-EXE Polska 2013″ banki dobrze poradziły sobie z cyberprzestępcami. Symulacja udowodniła jedną bardzo istotną rzecz. Procedury i wyposażenie są warunkiem koniecznym, ale niewystarczającym, by nawet duża organizacja mogła sprostać zaawansowanemu atakowi teleinformatycznemu.  Podczas cyberataku istotną rolę odgrywa doświadczenie pracowników, ich kreatywność i osobiste zaangażowanie oraz zdolność do koordynacji działań w sytuacjach kryzysowych.

 

Teoria teorią, a praktyka praktyką

 

Otóż, gdy większość polskich specjalistów ds. bezpieczeństwa (także tych z bankowości) tego dnia bawiło się na imprezie po branżowej konferencji CONFidence…, nastąpił atak phishingowy. Przestępcy klikali na linki do płatności natychmiastowych, udostępnianych przez jeden z legalnie działających serwisów internetowych świadczących usługę doładowywania pre-paidowych kart płatniczych. Usługę tę można opłacić poprzez pośrednika płatności. W jego serwisie przestępcy wybierali szybki przelew przez bank iPKO i za pomocą zdobytych w phishingu danych klientów potwierdzali transakcje. Jak ustalił serwis Niebezpiecznik.pl, hakerzy próbowali wygenerować ich około stu, z czego kilkanaście się powiodło. Każda z nich opiewała na średnio 3 tys. zł.

Zostaw odpowiedź

(Ctrl + Enter)