Opinie

Bezpiecznie jak w cyberbanku?

Maksymilian Wysocki

Maksymilian Wysocki

Dziennikarz, publicysta, ekspert w dziedzinie wizerunku i marketingu internetowego, redaktor zarządzający portalu wGospodarce.pl

  • Opublikowano: 25 września 2017, 21:06

  • 1
  • Powiększ tekst

W lutym 2015 roku grupy międzynarodowych hakerów zaatakowały jednocześnie 100 banków na świecie, kradnąc przy tym 1 miliard dolarów. Od 2010 roku wykradziono przez internet z systemu bankowego już ponad 3 miliardy dolarów. Jeden atak skutkował średnio stratą ok. 20.8 miliona dolarów. Każdy skuteczny atak, to nie tylko utrata pieniędzy. To także straty na wizerunku.

W niemal każdej branży technologia stosunkowo szybko zmienia jej funkcjonowanie. W modelu świadczonych usług następuje ewolucja, a czasem rewolucja. W bankowości i finansach również, a może nawet szczególnie.

Nieustający nacisk na ułatwienia dla klientów to powód wielu luk w bezpieczeństwie systemów nie tylko bankowych. Wszystko zależy od tempa wprowadzania innowacji oraz jakości kontroli procesu. Największym wyzwaniem jest utrzymanie tego samego tempa wzrostu innowacji oraz tempa rozwoju zabezpieczeń tych innowacji, by nie stały się furtką dla niepożądanych gości – przestępców. Eksperci podkreślają, że tak na ogół się nie dzieje.

Presja by wprowadzać coraz więcej innowacyjnych produktów, związanych z technologią w systemach bankowych - dodatkowych usług, ułatwień dla klientów - sprawia, że firma, działając w dobrej wierze dla pozyskania nowych klientów potrafi wystawić na ryzyko środki swoich wszystkich klientów. W tym momencie można zadać sobie pytanie – czy w takim razie można się zatrzymać? Nie, nie można. Innowacje dziś to imperatyw.

Ochrona przed atakami teoretycznie jest prosta. Sprowadza się do tego, żeby widzieć to, co się dzieje w systemie, wykryć niepożądane działanie/anomalię, analizować sieć na bieżąco. Przeciwdziałać, powstrzymywać, usuwać zniszczenia.

Tymczasem średni czas wykrycia błędu w zabezpieczeniach w systemie lub włamania do systemu w branży bankowej i finansowej to… 100 dni! [źródło: Cisco Systems] Zaawansowane usługi chroniące systemy reklamują się czasem reakcji do 17 godzin – dla hakera to nadal bardzo dużo czasu.

Czas w tym wypadku ma ogromne znaczenie – mówi Paweł Gawinek, ekspert ds. zabezpieczeń firmy Grey Wizard. Nawet w ciągu tych kilkunastu godzin intruz może wykonać ogromne szkody, pobrać ogromne ilości danych lub nawet wykorzystać ten czas do zabezpieczenia swojego dostępu w głębokim ukryciu. W takim przypadku nawet po wykryciu intruza i szybkiej reakcji zespołów IT odpowiedzialnych za bezpieczeństwo w infrastrukturze mogły zostać umieszczone tzw. „backdoory” [furtki w systemie bezpieczeństwa pozostawione w celu łatwego wejścia do systemu za jakiś czas, przy ponownym ataku – przyp. red], które zostaną przez speców od zabezpieczeń pominięte. Z tego względu warto zawsze mieć na uwadze, że samo monitorowanie pojawienia intruzów może być niewystarczające, a priorytetem powinno być zapobieganie przed ich zjawieniem się - dodaje.

Z jednej strony bezpieczeństwo zapewniają specjaliści IT, którzy monitorują systemy na bieżąco, a przynajmniej powinni. Jednak tempo i liczba nowych danych sprawia, że w swojej pracy korzystają w coraz większym stopniu z robotów – programów napisanych właśnie w celu monitorowania systemu bezpieczeństwa danej firmy. Cyberwłamywacza zdradza w systemie tzw. „anomalia” – sposób poruszania się, który nie pasuje do utrwalonego schematu.

Cyberbezpieczeństwo w nowoczesnych systemach informatycznych jest ściśle związane z pojęciem sztucznej inteligencji, o czym głośno jest od paru lat. Trzeba jednak pamiętać o ograniczeniach takich inteligentnych systemów. Te uczą się na bazie danych i na ich podstawie, wykorzystując metody probabilistyczne, są w stanie wyszukiwać anomalie czy wzorce zachowań – mówi Adam Wiatkowski, ekspert od analityki Big Data w Orange Polska. Nie ma w tym żadnej magii, to czysta statystyka, przynajmniej na dzień dzisiejszy. Obawiam się jednak, że specjaliści od „włamań” szybko zorientują się jak przechytrzyć takie systemy bazujące na powtarzalnych wzorcach. Niemniej sztuczna inteligencja w systemach informatycznych pozwala na spektakularne efekty z dziedziny fraud detection. Sam mam nadzieję, że wkrótce algorytmy deep learningowe [sztucznej inteligencji - red] pozwolą nam na szybkie wykrycie oszusta i jego geolokalizację, zanim ten jeszcze poważnie weźmie się za nieuczciwe działania” – dodaje Wiatkowski.

Deep Learning to robot, będący programem, który uczy się znacznie szybciej i inaczej, niż zwykły algorytm. Ucząc się, schematem bardziej przypomina schemat poznawczy człowieka. To właśnie sztuczna inteligencja (SI /AI od Artificial Intelligence).

Dziś na świecie są dwa programy AI, które są na ustach wszystkich. Jeden z nich to champion rozwoju, który pokonał człowieka nie w „prostej” grze w szachy, ale w najbardziej wyrafinowanej i złożonej grze planszowej, polegającej głównie na ludzkiej intuicji – ta gra nazywa się „Go”. Dlatego właśnie w historii ludzkości data 25 maja 2017, kiedy robot Google pokonał człowieka w Go, będzie drugą datą po 11 maja 1997, kiedy to Deep Blue – komputer i program stworzony przez IBM – pokonał Garriego Kasparova 3.5-2.5 w grze w szachy. Nic dziwnego, że drugim, najgorętszym programem AI jest również należący do IBM program „Watson”. Watson pomaga też w zabezpieczaniu sieci komputerowych.

Watson współpracuje dziś z ludźmi w 45 krajach i 20 branżach przemysłu. Pomaga im pracować sprawniej i wydajniej. Ostatnio zaczął pomagać ośrodkowi IBM we Wrocławiu, który jest regionalnym centrum cyberbezpieczeństwa dla klientów IBM. Właśnie z tego względu, ostatnio, Ośrodek cyberbezpieczeństwa IBM we Wrocławiu został podniesiony rangą w światowej sieci bezpieczeństwa do rangi X-Force Command Center – został wyposażony w technologie kognitywne [system sztucznej inteligencji - AI - przyp. red] – czyli w Watsona właśnie. To technologia, która ma myśleć i wspomagać reakcję na incydenty naruszenia protokołów bezpieczeństwa. W tej chwili są na świecie tylko trzy takie centra, wyposażone w Watson for Security.

Sektor bankowy w Polsce, jeśli chodzi o usługi elektroniczne jest jednym z najbardziej rozwijających się. Kładzie się duży nacisk na bezpieczeństwo systemów transakcyjnych oraz ich użytkowników. Niestety często można spotkać pewne systemy, które uznawane jako „mało ważne”, „testowe” lub „do zamknięcia” są pomijane – mówi Paweł Gawinek z Grey Wizzard.

Właśnie takie elementy, które są często pomijane stają się częścią dużego ataku jak ma to miejsce w przypadku wspomnianych ataków ATP, a mogliśmy to zauważyć na przykładzie strony KNF. Obecnie po ostatnich incydentach, jak i w trakcie przygotowań do wejścia w życie RODO widać znacznie większe zainteresowanie tematyką bezpieczeństwa niż we wcześniejszych latach, jednak szkoda, że dopiero teraz. Przed branżą bankową i finansową jeszcze daleka droga, a trzeba przy tym pamiętać, że środowisko cyberprzestępców również się rozwija - dodaje.

Dlatego podstawą, szczególnie w instytucjach finansowych, czego np. zabrakło w KNF przy ataku na początku tego roku, jest szyfrowanie danych.

Każdy dokument składowany lub udostępniany w systemie zaszyfrowanym jest bezpieczny. Stosowanie systemu gwarantuje, że poufne informację zostaną udostępnione tylko upoważnionym osobom w postaci zaszyfrowanej – mówi Jakub Sierakowski, ekspert ds. systemów bezpieczeństwa informatycznego i ochrony danych, UseCrypt.

Jednak najtrudniej zabezpieczyć się przed tzw. „czynnikiem ludzkim”, czyli przed własnymi pracownikami firmy. Zdaniem Marcina Spychały, głównego eksperta IBM ds. cyberbezpieczeństwa, najsłabszym ogniwem każdego systemu są ludzie.

Nie „hackuje” się systemów, „hackuje” się ludzi. Człowiek może stracić swoje dane uwierzytelniające do wejścia do bazy danych w firmie, a potem cała baza może zostać wykradziona i wykorzystana w jego imieniu i wbrew jego świadomości do zaatakowania firmy – mówił ekspert IBM w programie „Wywiad Gospodarczy” na portalu wPolsce.pl.

Będąc przestępcą, staramy się zmanipulować pracownika danej firmy do samowolnego podania danych i potem właśnie przez „phishing” [metodę oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję, w celu wyłudzenia określonych informacji (np. danych logowania, szczegółów karty kredytowej) lub nakłonienia ofiary do określonych działań - przyp. red.], czy po prostu login mogę zaatakować firmę. Tego typu techniki nie wymagają skomplkikowanych narzedzi. Można się tego nauczyć z Youtube’a i skonstruować narzędzia za 5-10 dolarów. To jest problem dzisiejszego cyberbezpieczeństwa. Firmy wydają miliony dolarów często by walczyć z ludźmi z torbą zabawek za 5-10 dolarów - dodaje ekspert.

Dlatego tak ważne są szkolenia własnych pracowników w zakresie cyberbezpieczeństwa i higieny zachowań wobec danych i operowania danymi, co praktycznie nie dzieje się w żadnej firmie obecnie.

Bo przy wszystkich tych zabezpieczeniach czasem wystarczy jeden błąd człowieka, jak ostatnio w przypadku mbanku, którego pracownik niefortunnie ujawnił listę setek adresów mailowych klientów banku. Doniósł o tym portal Niebezpiecznik.pl, który sprawę skwitował stwierdzeniem, które powinno przyświecać wobec cyberbezpieczeństwa zwłaszcza sektorom finansowemu i bankowemu: od banku macie prawo wymagać większej ochrony waszych danych.

Wydawanie nawet milionów złotych na odpowiednie zabezpieczenie danych będzie bezowocne, jeśli najsłabszym ogniwem nawet najbardziej złożonego systemu bezpieczeństwa będzie niechlujny, łatwowierny lub nieuważny człowiek.

Powiązane tematy

Komentarze