Cyberatak: Będzie więcej ataków na banki i ich klientów

Od kilku dni trwa duży atak na systemy informatyczne banków w Polsce. Z naszych informacji wynika, że chodzi o jeden duży, jeden średni i dwa małe banki, które odkryły w swojej sieci zaawansowane złośliwe oprogramowanie, nieznane wcześniej narzędziom antywirusowym.

Zainfekowane miały zostać zarówno komputery pracowników, jak i serwery bankowe – donosi branżowy portal ZaufanaTrzeciaStrona.pl. Włamywacze mogli niezauważeni atakować wewnętrzne sieci banków od co najmniej kilku tygodni, a ślady prowadzą do... strony Komisji Nadzoru Finansowego. Prawdopodobnie na witrynie nadzorcy zamieszczone zostały złośliwe obiekty. W czwartek strona KNF została dla bezpieczeństwa wyłączona. „Byłoby niezwykłą ironią, gdyby okazało się, że to faktycznie witryna instytucji odpowiedzialnej za wyznaczanie i egzekwowanie zasad bezpieczeństwa IT w sektorze sama stała się na skutek własnych zaniedbań narzędziem ataku na firmy, których poziom zabezpieczeń kontrolowała" – zauważa portal.

UKNF przyznaje, że odnotował próbę zewnętrznej ingerencji w system informatyczny obsługujący jego stronę internetową. – Wewnętrzne systemy raportowania przez podmioty nadzorowane funkcjonują niezależnie od systemu informatycznego obsługującego stronę internetową i pozostają bezpieczne. Prace UKNF przebiegają w sposób niezakłócony, jest w bieżącym kontakcie z przedstawicielami nadzorowanych sektorów, w tym bankowego, których działalność nie jest w żadnym stopniu zagrożona – zapewnia Jacek Barszczewski, rzecznik KNF.

Mechanizm mógł polegać na tym, że pracownik banku, wchodząc na zainfekowaną wcześniej stronę KNF, mógł nieświadomie zainfekować także system swojej instytucji. Pytanie brzmi, w jakim zakresie i jakie dane oraz informacje zostały wykradzione, bo ten atak wyróżnia się tym, że celem nie są, przynajmniej na razie, pieniądze (nie ma doniesień o tym, że dochodziło do kradzieży), ale same informacje. W piątek klienci mogli się logować i bez przeszkód przeprowadzać transakcje.

– Zwykle pracownicy banków, którzy często kontaktują się z KNF, nie są podłączeni do baz danych ani systemów transakcyjnych, więc prawdopodobnie wykradzione dane nie będą stanowiły niebezpieczeństwa. Gorzej byłoby, gdyby wirus miał dostęp do baz danych i systemów transakcyjnych – mówi pracownik jednego z banków. Dlatego prawdziwe skutki ataku poznamy dopiero za jakiś czas. Zdaniem ekspertów mógł on być przeprowadzony przez wyspecjalizowaną grupę przestępczą albo nawet obcy wywiad.

– Ten atak obnażył słabości krajowego cyberbezpieczeństwa. Pierwszą jest brak silnego ośrodka centralnego, który koordynowałby współpracę i reakcje oraz miał zdolność do przeprowadzenia analizy ataku, która jest zbyt kosztowna dla pojedynczych firm. Co prawda istnieje świetny zespół NCCyber w NASK, ale jest zbyt mały i niedofinansowany. Drugą słabością jest brak współpracy sieciowej, czyli w ramach sektorów i z partnerami biznesowymi – uważa Artur Józefiak, dyrektor zespołu bezpieczeństwa cyfrowego w Accenture w Polsce. Dodaje, że ataki są dzisiaj zbyt zaawansowane, aby firmy mogły im podołać w pojedynkę. Potrzebne są bezpieczne platformy wymiany informacji o zagrożeniach i metodach reakcji, bliska współpraca zespołów reagowania (tzw. CERT) czy wspólne budowanie rozwiązań. Inaczej polskie instytucje i firmy będą bezradne wobec cyberprzestępców, którym wystarczą czasem minuty do zrealizowania celu ataku.

A tych będzie przybywać. Tomasz Leś, senior manager w Asseco Poland, wskazuje, że przestępcy będą próbowali wykorzystać trend rozwoju bankowości internetowej i mobilnej. Na koniec III kwartału 2016 r. z banku w internecie korzystało już aktywnie 15,2 mln klientów, a w komórce 7,1 mln. Dla porównania trzy lata temu było to odpowiednio 11,9 mln i 2,1 mln osób.

Klienci łatwiejszym celem

Rozmowa | Tomasz Leś senior product manager, Asseco Poland

Rz: Cyberataków przybywa?

Tomasz Leś: W ostatnich latach obserwowaliśmy rosnącą liczbę ataków, głównie skierowanych na klientów banków. Najczęściej atak polega na przesłaniu do klienta e-maila nakłaniającego go do otwarcia załączonego zainfekowanego pliku lub otwarcia linku umożliwiającego zainfekowanie komputera. Po przedostaniu się do komputera klienta wirus może podmienić rachunek odbiorcy przelewu lub podmienić stronę banku, tak aby umożliwić wyłudzenie wrażliwych danych. Ale pojawiają się również ataki skierowane na pracowników banków (przykład z KNF), których celem jest przełamanie zabezpieczeń banku, aby uzyskać wrażliwe dane lub przygotować grunt pod zmasowany fraud.

Łatwiej atakować klientów niż same instytucje?