Bankowe życie na podsłuchu
Afery podsłuchowe sprawiły, że także banki w Polsce zaczęły zwracać większą uwagę na zabezpieczanie rozmów telefonicznych swych pracowników. Jedne, jak ING Bank Śląski, mówią wprost, że kadrę menedżerską wyposażają w specjalne szyfrujące komórki, inne ograniczają się do zalecenia, aby przez telefon nie przekazywać poufnych informacji.
Nikt o zdrowych zmysłach nie zaprzecza, zwłaszcza po podsłuchiwaniu - nie do końca legalnym - dziennikarzy przez Agencję Bezpieczeństwa Wewnętrznego, że problem ten obejmuje nie tylko świat polityki, ale także biznesu czy finansów. Wicepremier Waldemar Pawlak stwierdził nawet w jedynym z wywiadów, że kto dziś nie jest podsłuchiwany, ten się nie liczy. Na dodatek lista instytucji, które mają możliwość kontrolowania i rejestrowania wszelkich sposobów komunikacji bez zgody podsłuchiwanych osób jest całkiem spora: ABW, policja, Agencja Wywiadu, WSI, CBA, BOR, Żandarmeria Wojskowa, służby graniczne i Wywiad Skarbowy. Dodajmy jeszcze, że podsłuchanie czyjegoś telefonu komórkowego jest z technicznego punktu widzenia sprawą stosunkowo prostą. Można zatem obawiać się nie tylko służb, ale i osób, które z tego procederu chcą wyciągnąć jakieś korzyści.
Przekonała się o tym choćby Carla Bruni, żona prezydenta Francji Nicolasa Sarkozy'ego. Jej rozmowy telefoniczne podsłuchiwała i nagrywała dwójka paparazzich. Marc-Antoine Moretto i Kamel Bahaj chcieli je potem sprzedać dwóm kolorowym magazynom. Nagrań dokonali w lutym 2006 r., a więc dwa lata przed ślubem Bruni z Sarkozym. Ich treści nie znamy. Wiemy tylko, że były to intymne rozmowy między członkami rodziny oraz z przyjaciółmi. Paparazzi, po 18-miesięcznym dochodzeniu, zostali aresztowani.
Finansiści na celowniku
Afery podsłuchowe zdarzały się także w świecie finansów i bankowości. Kilka miesięcy temu światowe media doniosły, że dzięki podsłuchowi można było oskarżyć sześciu menedżerów funduszy inwestycyjnych w Stanach Zjednoczonych o nielegalny obrót papierami wartościowymi. Przed zatrzymaniem zdążyli jednak - dzięki pozyskanym nielegalnie poufnym informacjom - zarobić 20 mln dolarów.
W Niemczech głośna była zaś sprawa Deutsche Banku, którego zarząd wykorzystywał podsłuch do inwigilowania sprawiającego kłopoty mniejszościowego akcjonariusza, szefa związków zawodowych i menedżera odpowiedzialnego za technologie internetowe. Gdy sprawa się wydała, śledztwo wszczęły prokuratura i nadzór bankowy, a pracę stracili szef działu relacji inwestorskich i szef działu ochrony, oskarżeni o kierowanie akcją szpiegowską. Ucierpiała też reputacja banku.
Tomasz Borkowski z zarządu firmy TechLab 2000, zajmującej się kryptografią i rozwiązaniami w zakresie ochrony komunikacji, podaje zasadę, którą powinni kierować się menedżerowie: "Im cenniejsze informacje przekazujesz, tym większe jest zagrożenie kradzieżą". Tłumaczy, że dzisiaj telefony komórkowe można podsłuchiwać na wiele sposobów. Najbardziej tradycyjny to dostęp do central telekomunikacyjnych lub zmanipulowanie ich oprogramowania. Bardziej nowoczesny technologicznie jest aktywny podsłuch drogą radiową (tzw. technika IMSI catcher), w której podsłuchujący przechwytuje komunikację telefonu ze stacją bazową celem wyłączenia natywnego dla GSM szyfrowania. Najbardziej zaawansowana metoda polega na pasywnym nasłuchu komunikacji radiowej i złamaniu zabezpieczeń GSM. Inną kategorią podsłuchu jest zmodyfikowanie telefonu osoby podsłuchiwanej tak, aby wykorzystywać go jako mikrofon z nadajnikiem lub sklonowanie karty SIM użytkownika dla złamania algorytmów szyfrujących.
Czy polscy bankowcy szyfrują komórki?
Widać zatem, że zagrożenia podsłuchami nie należy lekceważyć. Jak zatem do tego problemu podchodzą polskie banki? Cóż, bardzo różnie.
- W naszym banku kadra kierownicza używa szyfrowanych telefonów komórkowych. Pozostali pracownicy mają zwykłe telefony - informuje Mariusz Bondarczuk, dyrektor banku odpowiedzialny w ING BS za IT.
Jak się jednak okazuje, nie jest to wcale reguła. - My nie wyposażamy naszych pracowników w szyfrowane telefony. Mamy jednak świadomość, że każda rozmowa prowadzona przez telefon komórkowy może zostać podsłuchana. Zatem najlepszym rozwiązaniem jest prewencja. W Pekao SA obowiązują procedury, które mówią wyraźnie, że informacji poufnych nie przekazuje się drogą telefoniczną, a wyłącznie na spotkaniach osobistych - mówi Magdalena Załubska-Król, zastępca rzecznika prasowego ds. produktowych.
Podobną zasadę wyznaje zarząd w PKO BP. -Systemowe rozwiązania, np. umożliwiające szyfrowanie prowadzonych rozmów przez komórki, nie są stosowane, bo telefon nie powinien być wykorzystywany do przekazywania informacji chronionych - twierdzi Marek Kłuciński, rzecznik prasowy banku.
Najczęściej jednak bankowcy temat ten uważają za wstydliwy - udają, że nie słyszą pytania, lub zasłaniają się tajemnicą. - W przypadku danych tego rodzaju procedury wewnątrzbankowe i względy bezpieczeństwa organizacji nie umożliwiają udzielenia takiej informacji - odpowiada Kinga Wojciechowska, zastępca rzecznika prasowego mBanku.
A jednak banki kupują więcej
Przedstawiciele operatorów komórkowych czy firm sprzedających telefony z rozwiązaniami umożliwiającymi szyfrowanie rozmów potwierdzają, że zainteresowanie taką ofertą wzrosło - także wśród polskich banków. Jednym z produktów jest telefon szyfrujący rozmowy pod nazwą Xaos Gamma, stworzony przez polską firmę TechLab 2000. W połowie 2009 r. do sprzedaży wprowadziła go sieć Orange. - Zainteresowanie telefonem Xaos Gamma stale rośnie. Wśród klientów, poza politykami, są również banki - mówi Zbigniew Drohobycki z biura prasowego Orange.
Wzrost zainteresowania szyfrującą komórką potwierdza też Tomasz Borkowski. - Nie ukrywam, że kolejne afery podsłuchowe uświadamiają, jak słabo chroniona jest nasza prywatność. Coraz więcej ludzi rozumie, że telefony, podobnie jak nasze komputery, narażone są na włamania i wobec tego potrzebują aparatu "nie do podsłuchania" - mówi. I dodaje, że dla banków przygotowuje nawet coś więcej, bo bardziej kompleksowe rozwiązanie integrujące aparaty szyfrujące Xaos Gamma z bramką XGG-IP pozwalającą na bezpieczną łączność wewnętrznej sieci IP z pracownikami lub klientami mobilnymi. - Wiąże się z tym wiele dodatkowych zastosowań, jak np. silne uwierzytelnienie transakcji dokonywanych drogą elektroniczną - wyjaśnia. Podkreśla też, że polskie banki przykładają coraz większą wagę do bezpieczeństwa informacji. - Docierają do nas informacje o potrzebie realizacji zabezpieczeń kryptograficznych dla połączeń zarówno pomiędzy oddziałami banków, jak i z kluczowymi pracownikami.
Jednak i on nie ma wątpliwości, że nawet najlepsze zabezpieczenie stanie się wyzwaniem dla osób, które zechcą je złamać. Czy można więc stuprocentowo ochronić się przed podsłuchem? Raczej nie, problem przecież jest stary jak świat. Dawniej, gdy ktoś nie chciał być podsłuchiwany, udawał się z rozmówcą na przechadzkę np. po ogrodzie. I podczas niej poruszano tematy, których nikt postronny nie powinien usłyszeć. Być może to dobra metoda, z której - mimo dysponowania telefonem szyfrującym rozmowy - ciągle warto korzystać.
Chcąc zabezpieczyć się przed podsłuchem, można skorzystać także ze specjalnych aplikacji. Przykładem może tu być Cryptoline, która jest programem szyfrującym rozmowy głosowe realizowane przez telefony komórkowe. Aby mogło dojść do "bezpiecznego" połączenia, każda ze stron musi posiadać aparat z odpowiednią aplikacją. Cryptoline nie korzysta z zewnętrznych urządzeń wspomagających pracę aplikacji, a klucze szyfrujące generowane są podczas trwania rozmowy i zmieniają się w przedziale co 12-18 sekund.
Gwarancją wysokiej jakości programu ma być certyfikat, pod którym podpisała się firma Psiloc, developer Nokii, która należy do elitarnego forum Nokia PRO oraz fundacji Symbian. Cały projekt powstał pod czujnym okiem inżynierów Psiloc oraz programistów firmy S-ONE, którzy początkowo stworzyli system dla własnych potrzeb.
W zależności od potrzeb można wybrać jedną z czterech ofert Cryptoline. Od wersji Bussines Professional, w której otrzymuje się telefon Nokia z pełnym pakietem Cryptologic po wersję Light (jedynie oprogramowanie), na wersji CryptolineSMS kończąc, która zabezpiecza jedynie korespondencję tekstową. Jest też czwarta specjalna oferta - Cryptoline Ultra Professional - rozwiązanie przygotowane na specjalne życzenie o podwyższonym, szytym na miarę poziomie bezpieczeństwa.
Marek Jaślan