Według niektórych źródeł wyprowadził on także pieniądze z konta firmy działającej na rynku pośredników płatności elektronicznych. To, w jaki sposób się włamał i dokonał przestępstwa, jest obecnie wyjaśnianie.
Wyczulenie na nietypowe komunikaty
Przemysław Jaroszewski z CERT Polska uważa, że częściej ataki przestępców dotyczą użytkowników bankowości elektronicznej niż samych banków.
– Są słabiej zabezpieczeni i łatwiej podatni na psychologiczne pułapki – mówi ekspert.
Warto więc być wyjątkowo wyczulonym na nietypowe komunikaty.
– Niestandardowy komunikat, który pojawia się w systemie, powinien raczej wzbudzać nasz niepokój. Lepiej go zweryfikować w banku i upewnić się, czy rzeczywiście od niego pochodzi. A poza tym czytać informacje, które dostajemy z banku, np. wtedy, gdy potwierdzamy coś kodem jednorazowym przesłanym SMS-em. Trzeba po prostu przeczytać treść SMS-a, by wiedzieć, co tak naprawdę potwierdzamy – przypomina Przemysław Jaroszewski.
Przestępstwo nie z jednego paragrafu
To, co zrobił haker, włamując się do Plus Banku, spełnia wszelkie znamiona przestępstwa. – Nawet nie z jednego paragrafu, dlatego że wykradzenie danych, czy też złamanie systemu operacyjnego i czynności naruszające integralność firmy, to jedno. Przegrywanie danych jest już bardziej agresywnym działaniem, bo można to już nazwać kradzieżą – mówi dr Mieczysław Groszek, wiceprezes Związku Banków Polskich, który był gościem radiowej Jedynki. – Następną sprawą jest sformułowany publicznie szantaż, że zaprzestanie swojego działania, jeśli bank zapłaci okup. Czyli to, co kiedyś nazywało się „hakowaniem”, czy po prostu wejściem w obcy system informacyjny, spełnia znamiona, i to w kilku punktach, autentycznego przestępstwa – dodaje wiceprezes ZBP.
To wielkie ostrzeżenie
Wykradzione dane były potem dostępne w specjalistycznym serwisie. Czy klienci detaliczni, małe, ale i wielkie firmy mogą się dziś czuć bezpiecznie? Część komentatorów twierdzi, że nie i dodaje, że może nie musimy bać się o nasze pieniądze, ale o nasze dane powinniśmy się niepokoić.
– Nie zgodziłbym się z tym, że jest to sygnał do wielkiego alertu i to zarówno po stronie banków, jak i klientów – mówi gość Jedynki.
Łącznie mamy ok. 30 mln kont w Polsce. Na tych kontach dokonywane są operacje i przepływają miliardy złotych.
– To wielkie osiągnięcie bankowości. I przy tych liczbach to nie jest wielka katastrofa, chociaż na pewno ani bank, ani całe środowisko nie ignoruje tego zdarzenia. Traktujemy je jako ostrzeżenie, a nawet pewną wskazówkę, w jaki sposób można wdrożyć bezpieczeństwo systemu – mówi wiceprezes ZBP.
Banki wyciągną wnioski
W ramach różnych grup roboczych w ZBP, banki wymieniają się informacjami na temat tego, co się stało. Sprawdzane są reguły bezpieczeństwa.
– Jeszcze nie wiemy dokładnie, w jaki sposób doszło do tego włamania, ale nie można wykluczyć, że odbyło się ono poprzez konto klienta. Musimy więc przypominać o tych elementarnych zasadach bezpieczeństwa. Często patrzymy na łatwość i przyjazność systemów, zapominając o ryzyku – przypomina Mieczysław Groszek.
Nigdy wiec dość przestróg. Nie dawajmy naszych haseł ani loginów osobom przypadkowym, nie logujmy się na przypadkowych terminalach, ani wtedy, gdy to bank rzekomo wysyła do nas e-mail.
Wykradanie danych
Klienci nie mają często wyrobionego nawyku sprawdzania wiarygodności strony, na której się logują. Stąd też spore sukcesy odnosi inny przestępczy proceder, jakim jest „fishing”, czyli wykradania danych.
– Czasem nawet niezdarnie podrabiane strony wyłudzają od nas te dane, a potem już wejście na konta jest bardzo proste i strata bardzo prawdopodobna – mówi gość Jedynki.
Co tak naprawdę się zdarzyło?
Diagnoza tego, co się wydarzyło w Plus Banku, jest bardzo ważna.
– W ten sposób sprawdza się słabe miejsca systemu – podkreśla Mieczysław Groszek.
Jest to istotne zdarzenia, ale zdaniem rozmówcy radiowej Jedynki, nie ma powodu, by zaufanie do bankowości internetowej zostało zachwiane.
Na Zachodzie zdarza się, że przestępcy potrafią buszować po systemach informatycznych całymi tygodniami.
– U nas to trwało znacznie krócej i kradzież była znacznie mniejsza – opiniuje gość.
Kontrola GIODO
Sprawie wycieku danych przygląda się Generalny Inspektor Danych Osobowych. Ma być podjęta odpowiednia kontrola w banku.
– Po kontroli okaże się, czy wszystko było w porządku, czy zostały zastosowane wymagane przepisami prawa odpowiednie środki organizacyjne i techniczne w celu zapewniania bezpieczeństwa danych osobowych klientów. Ustawa oraz akty wykonawcze zobowiązują każdego administratora danych osobowych do ich odpowiedniego zabezpieczenia, to oczywiście dotyczy także banków. Z tym, że ustawa nie wskazuje rodzajów zabezpieczeń, jakie powinny być wprowadzone w danej instytucji przez dany podmiot, tylko pozostawia administratorowi swobodę wyboru środków zabezpieczających – mówi rzecznik GIODO Małgorzata Kałużyńska-Jasak.
Komunikacja była fatalna
Z punktu widzenia komunikacyjnego Plus Bank popełnił szereg błędów. Najpoważniejszym jest udawanie, że nic się nie stało.
– Banki, tak samo jak firmy ubezpieczeniowe albo linie lotnicze, działają jedynie na podstawie zaufania klientów. Reputacja i zaufanie jest sprawą absolutnie najważniejszą. Klientów nie obchodzi, czy bank posiada zabezpieczenia techniczne, tylko czy haker może się dostać do systemu. Może sprawa była zamiatana pod dywan przez wiele tygodni. Potem, gdy już wyszła na jaw, wydano jakiś dziwny komunikat, który nie został napisany pod katem uspokojenia klientów, tylko dodatkowo mógł zwielokrotnić ich niepokój – komentuje Zbigniew Lazar, specjalista ds. reputacji i wizerunku z Polskiego Stowarzyszenia Public Relations.
Dalszych ataków nie da się wykluczyć
Nie można wykluczyć incydentów polegających na blokowaniu stron czy atakach na systemy.
– Takich ataków jest kilkadziesiąt dziennie. Ale nie jesteśmy wobec nich bezbronni, ataki są lokalizowane i odpierane. A w ramach współpracy w zakresie bezpieczeństwa, zaczęliśmy w ZBP projekt, który ma wyprodukować pewne narzędzia, które są powyżej indywidualnych zabezpieczeń bankowych – wyjaśnia Mieczysław Groszek.
Wyciekły naprawdę ważne dane
Haker spełnił groźbę i opublikował część danych klientów Plus Banku. Znane są dane 500 biznesowych klientów banku: imiona i nazwiska właścicieli konta, nazwy firm, adresy zamieszkania i wszystkie posiadane rachunki wraz z ich saldami, produktami, z których korzystali, usługami bankowymi, numerami i datami ważności kart płatniczych oraz dane ostatnich 50 transakcji finansowych.
To ważne dane, które mogą być wykorzystane w różny sposób.
– Z tych danych możemy niestety dużo wyczytać o klientach. To może być im bardzo nie na rękę. Ale całość tych informacji, cały pakiet może posłużyć do wręcz setek nielegalnych zastosowań: od prostych kredytów, do wyciągania pieniędzy przez karty kredytowe. W Polsce mamy dobre zabezpieczenia. Wystarczy wyjechać za granicę z samym numerem karty, imieniem i nazwiskiem, by móc zrobić solidne zakupy – mówi Michał Kryński z portalu Bankier.pl, który był gościem w Polskim Radiu 24.
Chociaż pieniądze, jeśli uległy kradzieży, zostaną klientom przez bank zwrócone, to jednak branża na pewno na tym ucierpi.
– Nadszarpnięte zostało zaufanie do całej branży – mówi gość PR 24.
Niepokój klientów usprawiedliwiony
Afera z hakerem-szantażystą, który wykradł i opublikował dane klientów Plus Banku, stawia bankowość elektroniczną w nienajlepszym świetle. I może wzbudzić wśród klientów duży niepokój. Poza tym haker na razie jest nieuchwytny.
– To jest niepokój, który stale powinniśmy mieć z tyłu głowy. Nie bójmy się bankowości elektronicznej, ale zawsze pamiętajmy o tym, że to, iż komputer wyręcza nas w tylu czynnościach i nie musimy odstać w kolejce w banku, nie zwalnia nas od odpowiedzialności za swoje pieniądze – mówi Michał Kryński. Nie możemy też mieć zbyt mocnego poczucia bezpieczeństwa.
Mniejsze banki będą w gorszej sytuacji
Na tej sytuacji mogą stracić mniejsze banki.
– Klienci mogą się wahać i nie chcieć załatwiać niczego przez Internet, bo przecież można stracić i pieniądze, i dane. Poza tym trudniej na rynku będą miały mniejsze banki. To one zazwyczaj agresywnie grają, próbując zachęcić klientów bardziej stabilnych i bezpiecznych instytucji bankowych do przejścia do nich – wyjaśnia Michał Kryński.
Klienci będą być może teraz woleli pozostawać w tych stabilniejszych organizacjach. A brak konkurencji i ospałość rynku zawsze niekorzystnie wpływają na gospodarkę.
Krzysztof Rzyman, Justyna Golonko, Karolina Mózgowiec, Grażyna Raszkowska