Cyberprzestępczość, czyli jak banki dbają o bezpieczeństwo swoich klientów
Według raportu firmy Lloyd’s „Risk Index 2013” przedsiębiorcy na całym świecie bardziej niż cyberprzestępczości obawiają się jedynie wysokich podatków i utraty klientów. W przeciągu roku cyberprzestępczość awansowała z dwunastego na trzecie miejsce wśród zagrożeń, które mają negatywny wpływ na globalny biznes. Nic więc dziwnego, że coraz większe pieniądze są wydawane na systemy ochrony środków finansowych powierzonych przez klientów, ale również ich danych osobowych. Według firmy analitycznej Gartner w 2012 roku na ten cel zostało przeznaczone na całym świecie 60 mld dolarów, a za trzy lata będzie to już o 26 mld więcej.
Tymczasem w polskich bankach … sprawy od lat mają się niezmiennie zgoła inaczej. Jeśli chodzi o cyberprzestępczość polscy banksterzy - nie w ciemię bici – nie topią miliardów dolarów na łatanie dziur w systemach. Zapłacić karę regulatorowi za zaniedbania w zakresie bezpieczeństwa– wychodzi znacznie taniej.
Czy nasze pieniądze i dane wrażliwe w banku są bezpieczne i od czego to zależy?
Rozmowa z Adamem Danielukiem ze Stowarzyszenia ISSA Polska.
Do przestrzegania jakich procedur w zakresie bezpieczeństwa informatycznego zobligowane są banki w Polsce?
Istnieje szereg aktów prawnych, które decydują o tym, że banki muszą spełnić pewne uwarunkowania. Poczynając od Ustawy o ochronie danych osobowych. Jest także Prawo bankowe, nakazujące zachowanie tajemnicy bankowej i Ustawa o nadzorze nad rynkiem finansowym. Banki mają pewien problem, udostępniając kanał dostępu do swoich zasobów poprzez strony webowe, gdyż przeciętnego Kowalskiego bardziej interesuje łatwość korzystania i funkcjonalność serwisu, niż jego bezpieczeństwo.
W jaki sposób banki podchodzą do tego dylematu ?
Próbują tym tematem zarządzać lepiej lub gorzej, często godząc w funkcjonalność pod hasłem zwiększenia bezpieczeństwa, tak naprawdę jednak nie osiągając żadnej jego poprawy. Przykładem może być popularny w bankach system weryfikacji przy wprowadzaniu danych, polegający na podawaniu poszczególnych znaków zamaskowanego hasła. Jest to przykład zabezpieczenia, które nic nie daje. W teorii miało to chronić przed przechwyceniem treści hasła przez oprogramowanie szpiegowskie zainstalowane na komputerze użytkownika. W praktyce sprowadza się to do tego, że kilka kolejnych prób pozwala na poznanie całego ciągu znaków hasła i uzyskanie dostępu do konta. Jeśli mówimy o jakichkolwiek pieniądzach wychodzących z banku, korzysta się z tzw. drugiego poziomu autoryzacji, czyli dodatkowej ochrony. W zależności od pomysłu i fantazji, banki stosują kody zdrapkowe, listy haseł jednorazowych, smsy wysyłane na komórkę czy karty tokenowe, które jako rozwiązanie najdroższe są najrzadziej spotykane. To wszystko powinno być zabezpieczeniem wystarczającym. Jednak jeśli stacja końcowa użytkownika zostanie przejęta, nawet ten poziom ochrony okaże się niewystarczający. Oprogramowanie szpiegowskie przejmuje kontrolę nad komputerem i jest zdolne do tego aby podmienić transakcję „w locie”. W takim przypadku w dobrej wierze potwierdzamy coś, co niekoniecznie potwierdzić chcieliśmy. Nic nie stoi na przeszkodzie, aby w trakcie wysyłania przelewu na zewnątrz, został podmieniony na inny numer rachunku docelowego. My tego nawet nie zauważmy, ponieważ nasza przeglądarka nadal będzie wyświetlać wprowadzone przez nas dane, wcale nie tożsame z tym co wysłaliśmy do banku. Czy to jest bezpieczne? Użytkownik końcowy jest na tyle bezpieczny, na ile bezpieczny jest jego komputer.
W ten sposób patrząc, można dojść do wniosku, że w takim razie bezpieczeństwo nie zależy de facto od banku i jego zabezpieczeń?
Te systemy bankowe, które istnieją, są trudne do sforsowania. Jeśli ktoś próbowałby włamywać się do nich bezpośrednio, miałby z tym problem. Obecnie natomiast, nikt nie będzie próbował bezpośrednio przełamywać zabezpieczeń, jeśli już – będzie atakował użytkownika końcowego. Stąd właśnie te wszystkie tzw. ataki phishingowe, w których dostajemy maila z prośbą o podanie swoich danych, w tym danych do logowania. Pewien procent, czy choćby promil, ludzi się na to zgodzi i przekazuje te informacje. Na milion wysłanych takich maili, jeśli odpowie chociaż 0,1% – i tak włamywacze są do przodu.
Wracamy więc znowu do „końcówek” jako słabych punktów w bezpieczeństwie systemów bankowych. Od użytkownika zależy czy „wpuści”, mniej lub bardziej dobrowolnie, atakującego do własnego komputera. Kiedy jednak pominiemy rolę użytkownika końcowego, czy możemy uznać system bankowy za szczelny i bezpieczny na całym pozostałym odcinku?
Takie są założenia. Banki są instytucjami dysponującymi na tyle dużymi środkami finansowymi, że stać je na zabezpieczenie swoich systemów i wprowadzenie odpowiednich procedur. Oczywistym jest także, że ostatnią rzeczą, na której bankowi zależy jest to, gdyby okazało się, że system z którego korzystają jego klienci jest niebezpieczny. Tak naprawdę należałoby to wiązać wtedy z utratą wiarygodności i reputacji na rynku.
W rzeczywistości przecież bank dysponuje nie tylko środkami pieniężnymi swoich klientów, ale i ogromną bazą danych osobowych tych ludzi. To zmusza go do przestrzegania wcześniej wspomnianych procedur. Przed kim bank odpowiada z realizacji założeń swojej polityki?
Przede wszystkim przed Generalnym Inspektorem Ochrony Danych Osobowych (GIODO) i Komisją Nadzoru Finansowego (KNF). Banki z zasady zarządzają ryzykiem operacyjnym, a częścią ryzyka operacyjnego są także operacje związane z IT. Jeżeli bank chce zarządzać poziomem rezerw, to musi stosować się do dyrektywy Capital Requirements Directive (CRD) opartej o Nową Umowę Kapitałową (Basel II) a w Polsce Rekomendacji D dotyczącej zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki. Bank jest obligowany do tego, aby zarządzać ryzykiem, również ryzykiem teleinformatycznym.
Czy wyniki audytów i kontroli przeprowadzanych w bankach są ogólnodostępne dla przeciętnego zainteresowanego klienta banku?
Kontrole przeprowadzone przez GIODO, których wynikiem jest skierowanie sprawy do sądu są upubliczniane, choćby na stronie www. Natomiast wyniki kontroli KNF nie są publicznie dostępne, niemniej dostępny publicznie jest rejestr kar nałożonych przez KNF. Bank sam z siebie też nigdy nie wyda takiego oświadczenia, zwłaszcza jeżeli zaistniały jakieś niezgodności. Nie dlatego, że chce je ukrywać przed opinią publiczną, tylko z powodu ich wagi dla bezpieczeństwa danych klientów. Nie byłby to zresztą dobry chwyt marketingowy. Nie ma takiej praktyki, aby banki jawnie mówiły o swoich problemach, zresztą czy zna Pani jakąkolwiek instytucję która mówi publicznie o swoich słabościach. Raporty takie dodatkowo mają dość krótki termin ważności. Dzisiaj dany bank, według naszej najlepszej wiedzy, ma rozwiązanie, które jest bezpieczne, co w praktyce oznacza, że nie udało nam się znaleźć podatności. Z drugiej strony jutro może się okazać, że jest jakaś luka w systemach, o której do tej pory nikt nie wiedział i cały system jest dziurawy jak sito, i można te dane wyciągnąć z banku na wszystkie możliwe sposoby.
Kto robi audyty w bankach?
W związku z tym, że dla banków wynik audytu jest informacją strategiczną, większość instytucji finansowych utrzymuje swoje własne zespoły, które zajmują się bezpieczeństwem, oceną ryzyka. Niemniej tego typu usługi można również kupić na rynku i część banków tak też postępuje. Zbudowanie zaufania pomiędzy audytorem a bankiem jest tutaj kwestią kluczową w końcu wpuszczamy do naszej instytucji osoby nam nie znane.
Czy wynik audytu, niezależnie czy wewnętrznego, czy przeprowadzonego na zlecenie przez firmę zewnętrzną, jest silnym bodźcem dla banku do zmian? Czy niezadowalające wyniki mają decydujący wpływ na zmianę polityki bezpieczeństwa banku?
To kwestia balansu ryzyka i kosztów. Można wydać ogromne środki naprawiając małe dziury, co w rezultacie nie wniesie wiele do poprawy bezpieczeństwa całego systemu. Mówimy wtedy o świadomym zarządzaniu ryzykiem i podjęciu decyzji: nie robimy tego, zdajemy sobie sprawę z tej słabości, ale możemy z nią żyć, bo koszty naprawy są na tyle duże, że nam się to nie opłaca. Z drugiej strony, czasem drobiazg, nawet kosztowny, zostaje wdrożony, ponieważ zaniedbanie tego mogłoby prowadzić do wypadnięcia z rynku. Jeśli wyjdzie to na jaw, reputacja banku leży w gruzach.
Co jest najistotniejszym elementem tych decyzji? Czy świadomość konieczności poruszania się w obrębie prawa? Czy priorytetem jest czynnik ekonomiczny? Czy może zwykła dbałość o klienta?
To zawsze jest decyzja biznesowa. Łącznie z decyzją zarządu czy podejmuje ryzyko ukarania wysoką karą pieniężną za niespełnienie określonych warunków. Przyjęcie takiej kary może okazać się bardziej opłacalne dla banku, niż wydatkowanie dużo większej kwoty na załatanie problemu. Bank i tak jest do przodu.
Dla mnie, jako szarego klienta bankowego, nie jest to dobra wiadomość. Ze swojej strony staram się dbać o bezpieczeństwo mojej „końcówki”, ale spodziewałam się podobnego zaangażowania w te kwestie dotyczące maksymalnego bezpieczeństwa i ze strony banku.
Oczywiście, dbałość o bezpieczeństwo jest, ale jako jeden z aspektów biznesowych. Pocieszające jest to, że bank nie może sobie pozwolić na totalny chaos, bałagan, na ignorowanie luk, które mogłyby sprawić utratę pieniędzy klientów. Grozi to utratą reputacji. W konsekwencji – utratą klientów. Banki muszą więc w jakimś zakresie o to bezpieczeństwo dbać, nie mogą tego tematu zupełnie ignorować. Nie istnieje żadna firma, która mogłaby pozwolić sobie na podobną utratę wizerunku, z powodu niedopełnienia procedur. Bank to firma jak każda inna. Ma zarabiać pieniądze. W związku z czym, jak ma do wyboru zaakceptować jakieś ryzyko, lub zapłacić za nie dużo więcej, niż przyniesie ono potencjalnych strat, to raczej zostanie podjęta racjonalna decyzja o akceptacji ryzyka i związanych z nim kosztów.
Techniczne problemy systemów nie są jedynym słabym ogniwem w polityce bezpieczeństwa. O czym jeszcze warto wspomnieć ?
Potencjalnym źródłem wycieku informacji są ludzie. Świadome lub nieświadome działanie pracowników może stanowić zagrożenie. Wiele zależy od tego, co strona dążąca do wycieku informacji pragnie uzyskać. Bardzo poważnie jest traktowana kontrola poziomu dostępu konkretnych pracowników do pewnych informacji. Wbrew krążącym opiniom, pracownik jest ryzykiem, które da się kontrolować. Choć zdarzały się sytuacje, dla przykładu w Szwajcarii, gdzie wyciekła baza danych, natychmiast zakupiona przez urząd kontroli skarbowej. Miało to kolosalne konsekwencje dla podatnika, który co nieco ukrył przed skarbówką. Pomimo to, pamiętajmy, że najsłabszym ogniwem całego systemu pozostaje niezabezpieczona „końcówka” i na nic wtedy zdadzą się najwymyślniejsze systemy zabezpieczeń samego banku.
Stowarzyszenie ISSA Polska skupia specjalistów ds. bezpieczeństwa systemów informacyjnych.