Wywiad z ekspertem:
Cyberataki. Co nam grozi w Internecie?

Strona 2: Cyber zagrożenia dla branży finansowej

Kamil Trembacz: Jaki najgorszy scenariusz może spotkać na przykład banki i ich klientów w konsekwencji ataku?

Dariusz Włodarczyk, Hestia Loss Control: Myślę że sen z powiek bankowców oraz ich klientów spędza widmo niedostępności systemów informatycznych. Przecież one muszą pracować non stop. Owszem zdarzają się tzw. okna serwisowe, o których klienci są informowani wcześniej.
Zachowanie ciągłości biznesowej do niedawna kojarzyło się z wykonaniem backupu i odtworzeniem. Pod warunkiem że backup udało się odtworzyć z sukcesem. W przeciwnym wypadku mijały długie dni zanim klienci mogli znowu korzystać ze swoich środków. Obecnie banki muszą liczyć przestój w minutach, w przeciwnym wypadku narażone są na straty finansowe spowodowane np. konsekwencjami niezrealizowanych transakcji czy wprost utratą niezadowolonych klientów. Zadanie jest trudne do zrealizowania. Z jednej strony wymagania rynku wymuszają wdrażanie nowoczesnych rozwiązań dostępnych na wszystkie platformy, w tym mobilne, a z drugiej strony trzeba uwzględnić infrastrukturę, która ma już dawno status End-Of-Life lub End-Of-Sale, a danych ciągle przybywa. Myślę że rozwiązaniem w takim przypadku może być wirtualizacja zasobów połączona z szeroko pojętą ochroną danych przechowywanych we własnych zasobach i chmurze.
Innym ważnym problemem, z którym muszą zmierzyć się banki, to ryzyko zarażenia wirusami komputerów klientów. Zagrożenie to stanowi duże wyzwanie dla osób zajmujących się bezpieczeństwem bankowym. Bank nie zabezpieczy przecież komputerów użytkowników przed tym, aby nie stały się pośrednikami (tzw. zombies) w cyberatakach, ale doskonale zabezpieczy klientów np. przed banatrixem, który bezlitośnie podmienia numery rachunków bankowych.
Abstrahując od samych ataków istotny jest problem związany z utratą reputacji. Mam nadzieję, że niebawem banki i nie tylko one, będą dzieliły się wzajemnie swoimi doświadczeniami dot. ryzyk, budując globalne repozytorium wiedzy a na bok odstawią stereotyp upublicznienia słabości.

Jak się przed tym bronić?

Ciężko jest podać receptę na skuteczną obronę przed zagrożeniami cybernetycznymi. Każdy przypadek należałoby rozpatrywać indywidualnie. Są przedsiębiorstwa, które kładą większy nacisk na podnoszenie świadomości wśród użytkowników, bo w nich upatrują największą słabość swoich systemów, ale są też tacy, którzy uważają, że użytkownik zawsze zawiedzie i największy nacisk kładą na zabezpieczenie infrastruktury. Osobiście uważam, że nawet inwestycja w jedno i drugie nie pozwoli nam zabezpieczyć się w 100%, ale na pewno wysoce wzmocni naszą odporność na atak. Być może to, co powiem zabrzmi odważnie, ale tak naprawdę można złamać każdego – to tylko kwestia czasu. Czasu przeznaczonego na socjotechnikę i prace ręczne (mam na myśli czas spędzony przy klawiaturze i terminalu).
Zabezpieczenia to jednak nie tylko szkolenia uświadamiające użytkowników i zakup specjalistycznych narzędzi. To ciężka praca związana z prawidłowym wdrożeniem i utrzymaniem środowiska, które zbudujemy. Ciągły monitoring i sprawdzone procedury reagowania na zagrożenia to „połowa” sukcesu. Pozostaje jeszcze konieczność wymiany informacji o zagrożeniach z innymi instytucjami no i oczywiście trochę szczęścia.
Z pomocą dla przedsiębiorstw w przypadku uszkodzenia i zniszczenia danych, utraty ciągłości działania czy strat wizerunkowych przychodzą instytucje ubezpieczeniowe. Tutaj również powinniśmy szukać realnego zabezpieczenia na wirtualny atak.

Załóżmy, że cyberprzestępca wykradnie np. dane kart kredytowych lub adresy e-mail klientów, które później wykorzysta do swoich celów. Czy w takim wypadku właściciel firmy może zostać pociągnięty do odpowiedzialności za brak zabezpieczenia w odpowiedni sposób tych danych?

Pozyskanie danych kart kredytowych i adresów email to pozycje zupełnie innego kalibru. Zaczynając od kart – kradzież tożsamości czyli pozyskanie danych dotyczących karty kredytowej a w konsekwencji wykorzystanie ich do popełnienia przestępstwa podlega karze pozbawienia wolności od 3 miesięcy do 5 lat. Oczywiście wymiar kary wymierzany jest na podstawie właściwego paragrafu, pod który dany czyn podlega (szczegóły art. 267-270 KK – przyp. red.). Formy pozyskania takich danych są przeróżne. Do najbardziej „popularnych” należą:

• skimming kart kredytowych – skan karty kredytowej (paska magnetycznego lub chipa) bezpośrednio w bankomacie, tuż po włożeniu karty do slotu czytnika,
• phishing – kradzież danych poprzez fałszywą wiadomość email lub stronę www. Dzięki temu, że wygląda identycznie, jak oryginalna, nakłania potencjalne ofiary do podania danych wrażliwych (numer karty, ID użytkownika, hasło do konta itp.),
• instalacja złośliwego oprogramowania zainstalowanego w telefonie lub komputerze, którego zadaniem jest przesłanie oszustowi danych niezbędnych do autoryzacji użytkownika i transakcji,
• atak hakerski na zasób przechowujący dane o klientach i ich kartach.

W przypadku utraty danych do autoryzacji transakcji (tj. numer karty, jej okresu ważności, numeru pin lub CVV) czy też samej karty należy niezwłocznie poinformować o tym bank i zażądać zastrzeżenia karty, w przeciwnym wypadku może być trudne do udowodniania nieautoryzowane użycie karty płatniczej. Jeśli po kradzieży nie zorientujemy się odpowiednio szybko i złodziej dokona płatności przed zastrzeżeniem karty bank może nas obciążyć kwotą w wysokości maksymalnie 150 EUR (w przypadku braku dodatkowego ubezpieczenia).
Natomiast jeśli do kradzieży danych karty kredytowej dojdzie w wyniku nieprawidłowego wykonania obowiązków przez bank lub sklep, klient nie ponosi odpowiedzialności. Precyzując podam kilka przykładów:

• bank nie zadbał o bezpieczeństwo bankomatów i doszło do skopiowania danych karty kredytowej - (skanery montowane są również w terminalach płatniczych w sklepie),
• podczas transakcji w sklepie, pracownik przyjmujący kartę od klienta odpowiednio ustawia ją do kamery monitoringu, a następnie pracownik ochrony i pracownik sklepu dokonują zestawienia danych z terminala i zapisów monitoringu „kompletując” dane,
• transakcja w sklepie przebiegała przy wykorzystaniu metody zbliżeniowej (bez podawania PIN) i zdarzenie nie zostało zarejestrowane – wówczas to bank ponosi odpowiedzialność z tytułu nieautoryzowanego użycia karty kredytowej,
• jeśli podczas transakcji na odległość (sklep online) dojdzie do kradzieży danych karty kredytowej, bądź wskutek ujawnienia danych wykonana zostanie transakcja obciążająca kartę klienta, to odpowiedzialność za nieprawidłowe użycie danych ponosi akceptant.

Jak się bronić? Najważniejsze jest, aby rozważnie używać tego małego kawałka plastiku:

• nie korzystajmy z bankomatów, które wydają nam się podejrzane (wyglądają tak, jakby przeszły jakąś przeróbkę: odstaje klawiatura lub slot na kartę),
• nie notujmy kodu PIN na karcie,
• sprawdzajmy komputer i telefon pod kątem obecności złośliwego oprogramowania,
• ustawmy potwierdzenie transakcji kodem sms nawet dla niewielkich kwot
• zaklejmy kod CVV na karcie – najlepiej… nieprzezroczystą taśmą
• korzystajmy z karty przedpłaconej do wykonywania transakcji online – taką kartę możemy zasilać niewielkimi kwotami i w najgorszym wypadku „wyczyszczona” zostanie tylko jej zwartość a nie całe konto.

O wiele mniejsze ryzyko istnieje w przypadku, gdy łupem złodzieja padną adresy email. Sam adres email jest informacją publiczną, dlatego ciężko rozpatrywać jego pozyskanie w kategoriach kradzieży. Oczywiście fakt pozyskania adresu email w sposób nieuczciwy będzie karany, ale nie z tytułu rodzaju informacji a z tytułu nieuprawnionego uzyskania dostępu do informacji. Dalej… jeśli kradzież adresów email połączona zostanie z pozyskaniem danych służących do autoryzacji użytkowników lub adresy email zostaną wykorzystane do rozsyłania niezamówionych informacji handlowych (tzw. spamu) wówczas na wniosek pokrzywdzonego można ścigać sprawcę. Postępowanie takie zazwyczaj kończy się karą pieniężną.

Dziękuję za wyczerpujące odpowiedzi. Na moje pytania odpowiadał Dariusz Włodarczyk z Hestia Loss Control należącej ERGO Hestia - Towarzystwa Ubezpieczeniowego oferującego ubezpieczenia dla przedsiębiorców na wypadek cyberataków.
Dziękuję.