Sektor finansowy na celowniku cyberprzestępców
WróćCyberbezpieczeństwo stało się jednym z największych obszarów inwestycji w sektorze finansowym, równie poważnym jak innowacyjne rozwiązania dla klientów. Banki, ubezpieczyciele, firmy obsługujące płatności i transakcje codziennie są celem coraz to bardziej intensywnych i zaawansowanych ataków, które mają na celu kradzież poufnych danych. Walka z nimi wymaga zaawansowanych narzędzi, ale nawet te przestają być efektywne, gdy zawodzą procedury i ostrożność pracowników. Z drugiej strony cyberprzestępcy atakują coraz częściej tych, który już takich narzędzi nie stosują, czyli użytkowników usług finansowych. Ci – mimo rosnącej świadomości zagrożeń i zabezpieczeń – wciąż są łatwym celem.
Według badania EY 37 proc. firm uważa cyberataki za największe ryzyko dla biznesu. W sektorze finansowym odsetek ten wynosi 51 proc. i w ostatnim badaniu był to najczęściej wskazywany obszar ryzyka. Jak wynika z danych Kaspersky Lab, w ubiegłym roku 42 proc. firm na całym świecie doświadczyło przynajmniej jednego incydentu naruszenia cyberbezpieczeństwa. W dwóch przypadkach na pięć doszło do naruszenia bezpieczeństwa danych osobowych klientów. Dla organizacji oznacza to nie tylko koszty do poniesienia i straty finansowe, lecz także wizerunkowe. Incydenty wiązały się bowiem z obowiązkiem wypłaty odszkodowania (ok. 45 proc. przypadków), zapłaty kary lub grzywny (ok. 30 proc.), ale również z problemami z pozyskaniem nowych klientów.
88 proc. firm badanych przez Kaspersky Lab deklaruje, że stosuje jakąś formę polityki ochrony danych osobowych i zapewnienia zgodności z przepisami. To jednak nie daje gwarancji bezpieczeństwa. Podobnie jak rozwiązania technologiczne. Coraz częściej w walkę z cyberprzestępcami angażowana jest sztuczna inteligencja, która zapewnia błyskawiczne wykrycie anomalii lub podejrzanych aktywności.
Jednak często to czynnik ludzki zawodzi. Zdecydowana większość wirusów i złośliwego oprogramowania dostaje się do firmowej sieci przez pocztę elektroniczną – zainfekowany załącznik lub link. W ubiegłym roku blisko co trzeci incydent naruszenia bezpieczeństwa danych korporacyjnych był przyczyną zwolnienia z pracy. Konsekwencje dotykały pracowników na różnych szczeblach: od szeregowych pracowników, niekoniecznie z działów IT, po dyrektorów generalnych.
Sektor finansowy pod ostrzałem
Fortinet wskazuje, że sektor finansowy na świecie codziennie jest celem cyberataków, a co trzeci z nich skutkuje utratą danych. Coraz częstszym zagrożeniem dla sektora finansowego stają się ataki DDoS (odmowa usługi). Z danych przytaczanych przez Fortinet wynika, że stanowią one jedną trzecią analizowanych incydentów naruszeń cyberbezpieczeństwa, a straty, które wywołują, mogą sięgać nawet 100 tys. dolarów na godzinę. Atak DDos powoduje spowolnienie lub awarię sieci. W ten sposób cyberprzestępcy mogą chcieć odwrócić uwagę działów IT, w tym czasie instalując złośliwe oprogramowanie, które ma wykradać dane.
Bo to właśnie dane klientów są dla hakerów tak cenne. Cyberprzestępcy często wolą poszukać ich u źródła, czyli u użytkowników końcowych. Tu przynajmniej mają pewność mniejszych zabezpieczeń. Ataki obejmują próby zarówno kradzieży danych, jak i pieniędzy. Jak wynika z raportu Kaspersky Lab, w II kwartale br. klienci sektora finansowego – banków, systemów płatności i sklepów internetowych – byli celem ponad jednej trzeciej (35,7 proc.) ataków phishingowych – to blisko 40 mln prób, które zostały udaremnione przez technologie antyphishingowe tej firmy. W tym modelu klienci mogą być atakowani za pośrednictwem fałszywych stron bankowych czy płatniczych, które przechwytują dane logowania, numery kart czy wrażliwe dane osobowe.
W II kwartale br. prawdziwą zmorą były mobilne trojany bankowe, które mają na celu kradzież pieniędzy klientów sektora finansowego. Firma Kaspersky Lab wskazuje, że w ciągu tych trzech miesięcy liczba pakietów instalacyjnych wyniosła 61 tys., czyli trzy raz więcej niż w I kwartale tego roku. Wśród krajów, w których odnotowano najwięcej tego typu ataków, Polska znalazła się na trzecim miejscu, za USA i Rosją, awansując o 6 pozycji w tym niechlubnym rankingu w ciągu jednego kwartału. Mobilne trojany bankowe należą do najniebezpieczniejszych form szkodliwego oprogramowania. Mają one udawać popularne i użyteczne aplikacje, by nakłonić użytkownika do ich zainstalowania na urządzeniu. Po instalacji trojan nakłada własny interfejs na oryginalną aplikację banku, co daje mu dostęp do wszystkich wrażliwych danych związanych z kontem.
Niefrasobliwi klienci
Szanse cyberprzestępców na skuteczny atak zwiększa także podejście samych klientów. Badania ZBP i TNS pokazują, że Polacy zbyt mało wagi przywiązują do bezpieczeństwa. Nie czytają ostrzeżeń w serwisach transakcyjnych. Połowa z nich nie zmienia regularnie PIN-u i hasła do bankowości internetowej. Co piąty nie posiada zainstalowanego i aktualnego programu antywirusowego. Podobny odsetek deklaruje, że otwiera załączniki i linki od nieznanych nadawców. Co czwarty z kolei nie zwraca uwagi na symbol kłódki i „https” przy logowaniu na konto do banku.
38 proc. badanych przez TNS dla ZBP przyznaje, że ich wiedza w obszarze cyberbezpieczeństwa nie jest wystarczająca. Mimo to nie czują potrzeby jej pogłębiania – odpowiedziało tak 74 proc. badanych. Być może problemem jest to, że mocno ufają w zabezpieczenia, jakie gwarantuje im bank. Prawie wszyscy klienci uważają korzystanie z bankowości internetowej i mobilnej za bezpieczne, a blisko połowa postrzega banki jako liderów cyberbezpieczeństwa (przed wojskiem i policją).
Co ciekawe, na klientów banku – jako na najsłabsze ogniwo w zabezpieczeniach przed cyberatakami – wskazują także pracownicy banków. Poziom zabezpieczeń w samych bankach jest przez nich oceniany bardzo wysoko. 84 proc. bankowców jest zdania, że banki chronią klientów przed kradzieżą danych z kart, a 92 proc. – przed oszustwami podczas płatności elektronicznych. 96 proc. wysoko ocenia poziom zabezpieczeń w samych bankach przed wyciekiem danych klientów. To o tyle uzasadnione twierdzenie, że czuwają nad tym wyspecjalizowane departamenty IT na bieżąco analizujące ryzyko cyberataku.
Idzie nowe
Kwestie cyberbezpieczeństwa będą w bankach jeszcze istotniejsze za sprawą nowej ustawy o cyberbezpieczeństwie, która weszła w życie pod koniec sierpnia. Banki są zaliczane do grona tzw. operatorów usług kluczowych, które ustawa zobowiązuje do wdrażania skutecznych zabezpieczeń przed cyberatakami i wymiany informacji na temat poważnych incydentów naruszenia bezpieczeństwa. Zgłoszenia w tej sprawie mają wpływać do trzech CSIRT-ów (Computer Security Incident Response Team) – Agencji Bezpieczeństwa Wewnętrznego, Naukowej Akademickiej Sieci Komputerowej oraz Ministerstwa Obrony Narodowej, które będą ze sobą ściśle współpracować. Operatorzy usług kluczowych będą musieli nie rzadziej niż raz na dwa lata przeprowadzać audyt bezpieczeństwa teleinformatycznego. Tym, którzy nie będą przestrzegać obowiązków wynikających z ustawy, grożą kary do 200 tys. zł