Banki : Czyli kuszenie złego

Polskie banki nie mają się czego wstydzić. Ich systemy teleinformatyczne są nowoczesne i stale aktualizowane. Reprezentują średni poziom światowy, także pod względem bezpieczeństwa. Niestety, w ubiegłym roku polskie instytucje finansowe zaczęły oszczędzać. Doszło do zmian budżetów i zrezygnowano z niektórych innowacyjnych projektów. Tymczasem na świecie wzrosły nakłady na systemy IT. Na szczęście teraz sytuacja zaczyna się powoli zmieniać. Polskie banki zainteresowane są przede wszystkim uzyskaniem większej sprawności w obsłudze klienta, w mniejszym zaś stopniu bezpieczeństwem sieci.

Przede wszystkim starają się zapobiegać oszustwom. Standardowym przykładem jest angażowanie zewnętrznych ekspertów w ciągłe procesy testowania infrastruktury teleinformatycznej, między innymi symulowanie ataków. A także na współpracy w dziedzinie projektowania oprogramowania. W ten sposób łatwiej można sprawdzić, jak odporny jest system.

- Systemy dla bankowości są szyte na miarę - mówi Paweł Luszyński, lider w grupie kompetencyjnej Value Added Platform w firmie doradczej Infovide-Matrix. - Dlatego rzadko się zdarza, że dostawca oprogramowania może dostarczyć certyfikat bezpieczeństwa. Przed wprowadzeniem nowego produktu angażuje się więc fachowców doradzających, w jaki sposób zrobić to najlepiej, gdzie są największe zagrożenia itd. Dzięki temu bezpieczeństwo nie jest nakładką, ale integralną częścią systemu.

Sercem systemów bezpieczeństwa są urządzenia wykrywające intruzów. Chodzi o aplikacje nadzorujące ruch sieciowy, który powstaje w ramach aplikacji. Na podstawie określonych wzorców zachowań próbują one wykrywać włamywaczy (w sposób aktywny, czyli zapobiegawczo, przed zdarzeniem).

Drugim ważnym elementem jest model scoringowy dla bezpieczeństwa, czyli sposób oceny transakcji biorący pod uwagę kryteria bezpieczeństwa. Klasyczny przykład: ktoś dokonuje przelewu z Polski, a chwilę później - z Australii. Takie i podobne zdarzenia powinny zostać zauważone przez system monitorujący zagraniczne przelewy. Zaś człowiek nadzorujący go musi przyjrzeć im się dokładnie i podjąć odpowiednie działania.

Mówimy o zabezpieczeniach na kilku poziomach: operacyjnym, transakcji i technicznym. Na ten ostatni składają się zapory sieciowe, systemy antywirusowe, firewalle aplikacyjne (aplikacje kontrolujące przepływ danych między różnymi programami). W przypadku ataku pojawia się sygnał alarmowy, a więc konkretny adres IP powinien być uważnie śledzony. Banki mają opracowane odpowiednie procedury postępowania, skąd zatem wiadomości o skandalicznych często zaniedbaniach?

- Takie informacje mają różny charakter - uważa Kamil Pszczółkowski, product manager ds. bezpieczeństwa w Infovide-Matrix. - Często okazuje się jednak, że wina nie leży po stronie banku. O ile mi wiadomo, w ostatnich latach w naszym kraju nie było więcej niż pięć przypadków faktycznego naruszenia bezpieczeństwa infrastruktury bankowej. Polskie banki radzą sobie ze standardowymi zagrożeniami. Natomiast nie są jeszcze dość dobrze przygotowane, by sprostać atakom zorganizowanych grup przestępczych.

Jest dużo do zrobienia raczej w sferze operacyjnej, proceduralnej, a nie czysto technicznej. Na przykład duży polski bank przez trzy miesiące nie mógł sobie poradzić z zablokowaniem skradzionych kart płatniczych! Tymczasem ich numery były podawane na kilku forach internetowych. Cała operacja powinna być zakończona w ciągu pięciu minut.

Również na świecie przykłady można mnożyć. Jednym z najgłośniejszych zdarzeń w ostatnich latach była kradzież dużej liczby numerów kart płatniczych. W tym przypadku to też nie była bezpośrednia wina banku, ale jego system nie zadziałał prawidłowo, a konkretnie - nie wychwycił dużej liczby transakcji prowadzonych tymi kartami.

Bank może kupić drogi i skomplikowany system wyłapywania intruzów z zewnątrz. A mimo to pracownicy mają tak szerokie uprawnienia, że mogą skopiować całą bazę klientów. Statystyki pokazują, że pracownicy popełniają około 70 proc. przestępstw. Dlatego stanowią większe zagrożenie niż grupa wykwalifikowanych włamywaczy sieciowych. Bardzo często pracownicy nie zdają sobie sprawy z tego, że postępują niewłaściwie.

Wszystko zależy od tego, w jaki sposób korzysta się z sieci komputerowej. Problem polega więc na tym, w jaki sposób zapobiegać nieautoryzowanemu wykorzystywaniu przetwarzanych informacji. Jaka jest bowiem pewność, że pracownicy nie wykorzystują danych klientów w inny sposób, niż życzy sobie bank?

Nawet w przypadku najlepiej opracowanych procedur zdarzają się odstępstwa od założonych norm. Ale system powinien wykrywać zdarzenia i alarmować o takich incydentach. Blokuje wtedy pracownikowi dostęp do sieci i wysyła alarm do kierownictwa o naruszeniu procedury.

- Pytanie brzmi: do jakiego stopnia ufamy swoim ludziom? - podkreśla Paweł Luszyński. - I jak zapewnić bezpieczeństwo danych? Nie wszystkie dane mogą być przecież szyfrowane. Poza tym zawsze są ludzie (administratorzy), którzy mają dostęp do wszystkich danych. Czyli nie da się wszystkiego załatwić na poziomie technicznym.

- Załóżmy, że pracownik od dawna obsługuje średnio pięciu klientów dziennie - wyjaśnia Kamil Pszczółkowski z Infovide-Matrix. - Jeśli nagle zaczyna się logować na konta piętnastu klientów, to musi to skłaniać do refleksji. Powinno być określone jako incydent i zostać szybko wyjaśnione.

Ale zdefiniowanie wspomnianych polityk nie jest rzeczą prostą.

- Często jeszcze zbyt małe znaczenie przywiązuje się do zarządzania ryzykiem - twierdzi Cezary Piekarski z firmy Deloitte. - Ludzie odpowiedzialni za bezpieczeństwo nie biorą pod uwagę wszystkich zagrożeń i najbardziej wrażliwych miejsc w organizacji, które trzeba chronić. A powinno się to robić przed dokonaniem inwestycji. Bez zmiany sposobu myślenia będzie zatem coraz trudniej chronić bank. Dużo pieniędzy wydaje się na systemy wykrywania intruzów. Banki, sprzedając stare komputery, zapominają o zniszczeniu twardych dysków. Ich nabywca znajduje archiwum decyzji kredytowych z ostatnich pięciu lat ze wszystkimi danymi klientów.

System teleinformatyczny banku jest zabezpieczony nieporównanie lepiej niż komputer Kowalskiego. Dlatego niesłychanie ważna jest edukacja klientów. Od wielu lat mówi się o wyłudzaniu haseł, szczególnie przez fałszywe strony internetowe (phising). Niestety, w tej dziedzinie sytuacja nie poprawia się znacząco.

Banki nie są atakowane tak często, jak ich klienci. Największe zagrożenia płyną ze strony świetnie zorganizowanych grup przestępczych, a nie drobnych złodziejaszków. Dlatego banki również muszą to brać pod uwagę i świadczyć na rzecz swoich klientów dodatkowe usługi podnoszące poziom ich bezpieczeństwa.

Jakub Syta, menedżer ds. bezpieczeństwa w RBS

RBS Bank (Polska), będąc częścią The Royal Bank of Scotland Group, korzysta z dobrodziejstw międzynarodowej korporacji. Sieć łącząca wszystkie lokalizacje jest utrzymywana centralnie, przy współpracy z najlepszymi dostawcami usług oraz technologii informatycznych. Chroniona jest na wielu poziomach. Szczególnie narażonym na niebezpieczeństwo punktem jest styk sieci wewnętrznej z siecią publiczną. Z tego względu jest to miejsce najbardziej chronione. Dedykowane formy zapór sieciowych oraz sond chronią sieć informatyczną przed wtargnięciami na wszystkich punktach styku, zarówno w interfejsach przygotowanych dla klientów i dla partnerów biznesowych, jak również dla głównych dostawców i graczy z rynków finansowych.

Osobną warstwę stanowią zabezpieczenia na poszczególnych maszynach: serwerach i stacjach roboczych. Wszystkie maszyny zabezpieczane są zgodnie z wewnętrznymi zasadami grupy. Ponadto instalowane jest dodatkowe oprogramowanie zabezpieczające, a poprawność stosowanych zabezpieczeń jest regularnie weryfikowana.

Innym bardzo ważnym i nierozłącznym elementem zabezpieczenia sieci i danych banku są jego pracownicy. Regularnie prowadzone są szkolenia oraz akcje uświadamiające, mające na celu nie tylko zaznajomienie pracowników z niebezpieczeństwami, ale także metodami, jak rozpoznawać ewentualne zagrożenia. Istotną rolę spełniają pracownicy ds. bezpieczeństwa, którzy przez aktywną codzienną współpracę ze wszystkimi liniami biznesu - połączoną z analizami aktualnych danych - kreują, dopasowują i na bieżąco aktualizują politykę bezpieczeństwa banku.

Paweł Olszar, Departament Przeciwdziałania Oszustwom w ING Banku Śląskim

Dostęp do systemu bankowości internetowej ING BankOnLine klient uzyskuje po podaniu identyfikatora użytkownika oraz hasła dostępu. Przy logowaniu bank wprowadził maskowanie hasła, co znacznie utrudnia jego odgadnięcie, gdyż nawet rejestrując wprowadzane znaki, przestępca nie zna pozycji znaku w haśle. Wprowadzając dane i hasło, lepiej jest używać klawiatury wirtualnej. Na stronach internetowych bank prezentuje wytyczne w zakresie ustalania silnego hasła logowania, jego długości i częstotliwości zmiany.

Komunikacja między komputerem klienta a serwerem banku szyfrowana jest protokołem SSL o długości klucza 128 bitów. Gwarantuje to w pełni bezpieczne szyfrowanie danych, zabezpiecza je przed zmianami dokonywanymi z zewnątrz oraz uwierzytelnia komputery komunikujące się z sobą. Dzięki certyfikatom wydanym przez amerykańską korporację VeriSign klient ma pewność, że nawiązał w pełni bezpieczne połączenie z serwerem banku.

Jeżeli chodzi o autoryzację transakcji, w ING BankOnLine stosowana jest metoda z użyciem kodów autoryzacyjnych. Jeżeli bank uzna, że dyspozycja wymaga autoryzacji, dostarczy kod w formie wiadomości SMS lub za pośrednictwem serwisu telefonicznego HaloŚląski (serwis automatyczny). Kod autoryzacyjny jest generowany do jednej konkretnej dyspozycji i ma ograniczony czas ważności: 30 min. Wraz z kodem otrzymuje się informacje o szczegółach transakcji: kwocie oraz ostatnich cyfrach rachunku beneficjenta. Informacje te pozwalają dodatkowo zweryfikować dyspozycję.

Nie każda dyspozycja w systemie ING BankOnLine jest potwierdzana kodem autoryzacyjnym. Mechanizm autoryzacji transakcji uzupełniony został o moduł oceny poziomu ryzyka składanej dyspozycji tak, aby nie każda musiała być potwierdzana takim kodem. Moduł oceny ryzyka działa na podobnej zasadzie jak programy monitorujące transakcje kartowe, oceniając dyspozycje na podstawie typowego profilu zachowań użytkownika. Algorytm oceny nie jest udostępniany klientom, by przy tej okazji nie przekazywać wiedzy przestępcom internetowym.

Bank profiluje zachowanie klienta i bazując na kluczowych parametrach transakcji, takich jak: konto beneficjenta, kwota, rodzaj dyspozycji, historia transakcji, suma kwot itd. ustala, czy realizowana należy do grupy transakcji małego ryzyka (nosi znamiona typowej dyspozycji klienta), które nie wymagają autoryzacji za pomocą kodu jednorazowego.

Mieczysław T. Starkowski