Cyberprzestępcy atakując bank, biorą na cel pracowników
Siedem banków w Wielkiej Brytanii stało się celem ataku DDoS. W opinii Piotra Zielaskiewicza ze Stormshield, cyberbezpieczeństwo instytucji finansowych nie zależy wyłącznie od zastosowanych rozwiązań ochronnych. Dużo ważniejsza wydaje się edukacja pracowników z zakresu możliwych zagrożeń i sztuczek stosowanych przez cyberoszustów.
Banki w Wielkiej Brytanii, w tym m.in. Santander, Royal Bank of Scotland i Tesco Bank, stały się celem ataków DDoS. W lutym tego roku ten sam rodzaj ataku sparaliżował pracę kilku holenderskich instytucji finansowych. W tym samym czasie Centralny Bank Rosji opublikował raport, który ujawnił, że od 2016 roku hakerzy odpowiadali za kradzież z jednego z tamtejszych banków prawie sześć milionów euro za pomocą międzybankowej sieci Swift. Dwa lata temu z kolei hakerzy zdołali wykraść aż 81 milionów dolarów z Centralnego Banku Bangladeszu. Wygląda na to, że sektor bankowy regularnie pada ofiarą cyberprzestępców.
Większość problemów dotyczących cyberbezpieczeństwa instytucji finansowych zaczyna się od pracowników banków. W wysyłanych do nich wiadomościach mailowych, cyberprzestępcy chętnie zamieszczają złośliwe odnośniki lub załączniki, które nie wykryte przez filtr spamowy, mogą doprowadzić do przeprowadzenia infekcji na cały system informatyczny banku. Tak właśnie było w przypadku głośnego zagrożenia Carbanak, które w 2015 roku odpowiadało za zainfekowanie stacji roboczych pracowników w około stu bankach i w ponad 30 krajach. Przesłane przez hakerów e-maile z załącznikami dokumentów Word umożliwiły włamanie się do systemów informatycznych instytucji finansowych, instalując na komputerach backdoory. Te z kolei otwierały dostęp do stacji roboczych ofiar, dzięki czemu cyberprzestępcy mogli monitorować ich pracę i przejąć nad komputerami pełną kontrolę.
- Najsłabszym ogniwem cyberbezpieczeństwa banków są jego pracownicy. Przypadek Carbanaka pokazał, że m.in. nieodpowiedni filtr spamowy oraz nieostrożność pracowników mogą być przyczyną infekcji. Aby uniknąć takich sytuacji, ważne jest, by nieustannie szkolić kadrę pracującą w sektorze bankowym i finansowym z zakresu pułapek phishingowych, zagrożeń oraz najnowszych metod ataków zagrożeń, np. z tzw. "spear phishingu", który polega na przesłaniu wiadomości od rzekomego, zaufanego nadawcy - komentuje Piotr Zielaskiewicz, product managera rozwiązań Stormshield w Polsce,.
Badania przeprowadzone przez Accenture Security w 2016 roku ujawniły, że blisko 10 proc. budżetów IT banków na świecie poświęcono cyberbezpieczeństwu. W opinii eksperta, jest to stosunkowo niski odsetek. Warto jednak zwrócić uwagę na fakt, że świadomość zwiększania nakładów na tę dziedzinę w Polsce wzrasta ze względu na nasilające się ataki na instytucje finansowe oraz nowe regulacje prawne dotyczące danych osobowych (RODO). Najnowsze badania Linux Polska dotyczące poziomu przygotowania sektora bankowego do wchodzącego w życie w maju rozporządzenia, sugerują, że aż 9 na 10 instytucji z sektora bankowego planuje wdrożyć dodatkowe rozwiązania wspierające bezpieczeństwo danych klientów. Z kolei ankietowani wspomnianego badania przyznali, że nowe przepisy skłoniły reprezentowane przez nie instytucje do zwiększenia wydatków na bezpieczeństwo IT, z czego w prawie jednej trzeciej przypadków w znacznym stopniu.
- Nowe regulacje mogą przyczynić się do rewizji banków w kontekście posiadanych zabezpieczeń i polityk bezpieczeństwa. Powinny opierać się one nie tylko na narzędziach, ale również procedurach, również tych dotyczących aktualizacji systemów, aplikacji oraz posiadanych rozwiązań, które potrafią znajdować i blokować podatności w oprogramowaniu. Dzięki temu wszystkie zagrożenia próbujące przedostać się do systemu przez daną lukę mogą być od razu blokowane i wyeliminować możliwość przeprowadzenia cyberataku na instytucję finansową - komentuje Piotr Zielaskiewicz.
