Nawet jeśli czasowo zablokowany zostanie dostęp do serwisów internetowych banków, to nie oznacza, że z naszego konta zniknęły pieniądze. Dużo groźniejszy jest jednak phishing, czyli wyłudzanie poufnych danych, na przykład haseł do bankowości internetowej, albo informacji dotyczących karty kredytowej.
Ostrzeżenie o niebezpieczeństwie
Niedawno do polskich instytucji trafiło ostrzeżenie o możliwych atakach hakerskich na ich infrastrukturę teleinformatyczną. ABW ostrzega, KNF przekazuje informację dalej i apeluje o przegląd infrastruktury sieciowej i przygotowanie planów ewentualnej reakcji. Sami klienci tych instytucji, chociażby banków, nie powinni się jednak niepokoić, bo ich pieniądze mimo zagrożenia ze strony hakerów są bezpieczne – wyjaśnia Piotr Marek Balcerzak ze Związku Banków Polskich
– Nawet, jeśli będziemy mieli do czynienia z sytuacją, gdy serwis bankowości internetowej będzie niedostępny, to nie ma takiej możliwości, żeby pieniądze zginęły z konta w przypadku takich ataków. Naprawdę, możemy spać spokojnie, banki czuwają, są sztaby ludzi, którzy sprawdzają ciągłość działania systemów i reagują bardzo szybko w sytuacji, gdyby taka niedostępność się pojawiła, chociażby poprzez kontakty z dostawcami usług internetowych, którzy zapewniają łączność witryny bankowej ze światem – mówi.
Ataki są nieuniknione
Na razie nic złego na szczęście się nie stało, ale warto być dobrze poinformowanym na wypadek zagrożenia.
– Takie rzeczy się zdarzały, zdarzają i zdarzać będą, ale my jako klienci banków możemy się przed nimi chronić – mówi Mateusz Górnisiewicz z Departamentu Inspekcji Bankowych, Instytucji Płatniczych i Spółdzielczych Kas Oszczędnościowo-Kredytowych w Urzędzie Komisji Nadzoru Finansowego, który był gościem radiowej Jedynki.
Niedawno Komisja dostała od Rządowego Zespołu Reagowania na Incydenty Komputerowe informację o możliwych w najbliższym czasie atakach na infrastrukturę teleinformatyczną instytucji sektora finansowego.
Czy to oznacza, że w takim razie klienci, na przykład banków, mają się czego bać?
– Ostrzeżenie, które opublikowaliśmy, dotyczyło ataków związanych nie tyle z zagrożeniem dla bezpieczeństwa finansowego czy to dla klientów, czy samych banków, ale z uniemożliwieniem dostępu do serwisów internetowych tych banków. Tego typu ataki, jeżeli są skuteczne, mogą być z całą pewnością dotkliwe dla klientów, bo nie może się on zalogować do swojego rachunku i dokonywać operacji. Natomiast w żadnym stopniu jego pieniądze nie są zagrożone.
W bankach mamy wiele innych kanałów służących do zarządzania naszymi pieniędzmi. To nie tylko Internet, ale też telefon, bankomaty, czy osobista wizyta w placówce.
Tłok na stronie
Jednak ataki DDOS (ang. Distributed Denial of Service – rozproszona odmowa usługi) zdarzają się co jakiś czas.
– Nie są to jakieś bardzo duże ilości. Np. w 2013 r. siedem banków było przedmiotem skutecznych tego rodzaju ataków. Przy czym były one raczej krótkotrwałe.
I dodaje: – Można zastosować taką analogię: w przypadku palcówek bankowych byłaby to taka sytuacja, gdy do placówki przychodzi bardzo wielu rzekomych klientów, a tak naprawdę chcą oni uniemożliwić dostęp do niej klientom rzeczywistym.
Przestępcy, wykorzystując wiele komputerów, wchodzą na strony internetowe banków, w związku z czym w pewnym momencie następuje przeładowanie tych stron i zwykli klienci już się nie mogą tam dostać.
– W takiej sytuacji nie mamy do czynienia z kradzieżą pieniędzy czy danych – podkreśla rozmówca Jedynki.
Podszywanie, czyli phishing
Przestępstwem, o którym dość często się mówi jest phishing, czyli wyłudzanie poufnych informacji osobistych (np. haseł lub szczegółów karty kredytowej) przez podszywanie się pod bank i wysyłanie informacji mailowych. Hakerzy używają grafiki bardzo podobnej do tej oryginalnej, więc łatwo się pomylić.
Kiedy takie maile powinny wzbudzać nasze podejrzenie?
– Ta sytuacja jest z całą pewnością znacznie groźniejsza dla klienta banku. Jeżeli zaufa on przestępcy i temu, że mail nadszedł ze strony banku i poda swoje poufne informacje, np. dane logowania, wtedy rzeczywiście przestępca może się zalogować na jego rachunek i wykraść z tego rachunku środki ¬– mówi Mateusz Górnisiewicz z Urzędu Komisji Nadzoru Finansowego.
Informuje też, że przypadki tego rodzaju nie są zbyt częste, ale niestety się zdarzają.
– Banki mają swoje systemy bezpieczeństwa. I nawet jeśli przestępca się zaloguje, ale będzie chciał wykonać operację nietypową, to instytucja wychwyci taki przypadek i zablokuje taką transakcję – uspokaja.
Najważniejsze zasady bezpieczeństwa
Dlatego bardzo ważne jest stosowanie się do kilku podstawowych zasad bezpieczeństwa.
– Po pierwsze, warto pamiętać, że banki raczej nie wysyłają do klientów maili, zwłaszcza masowych, a jeśli już to robią, to nigdy w mailu nie poproszą o podanie loginu, hasła czy kodów jednorazowych – podkreśla Mateusz Górnisiewicz.
Poza tym należy zachowywać spokój, zdrowy rozsądek i pewną dozę braku zaufania do wszelkich maili, które do nas docierają. – W szczególności, gdy są pisane łamaną polszczyzną, a tak w przypadku ataków phishingowych jest – podaje rozmówca.
Po trzecie należy pamiętać o tym, by aktualizować oprogramowanie, które mamy na komputerze, aktualizować przeglądarkę, system operacyjny, oprogramowanie antywirusowe. – Stosowanie się do tych zasad powinno nam pozwolić na spokojny sen – mówi rozmówca.
Dostępny poradnik
Urząd Komisji Nadzoru Finansowego opublikował poradnik dotyczący bezpieczeństwa finansowego w bankowości elektronicznej. – Staraliśmy się w przystępny sposób opisać zagrożenia i zasady bezpieczeństwa – informuje Mateusz Górnisiewicz.
Zwraca też uwagę, że najlepiej jest od razu skasować podejrzaną informację, a już na pewno nie otwierać dołączonych do niego załączników, bo mogą się w nim znajdować wirusy.
– Warto też powiadomić bank w przypadku otrzymania takiego podejrzanego maila, bo będzie mógł on zareagować i ostrzec innych – dopowiada gość Jedynki.
Można zgłosić się na policję
Policja również rzadko odnotowuje takie problemy, jednak radzi, by nie zaniedbywać zgłoszenia, wtedy, gdy stało się coś podejrzanego.
– Jeżeli podejrzewamy, że mogliśmy paść ofiarą przestępstwa, to warto zabezpieczyć minimum dowodów, np. zrobić tzw. zrzut z ekranu – mówi młodszy inspektor Krzysztof Hajdas, z Komendy Głównej Policji. A w razie potrzeby pomogą policyjni specjaliści.
Rekomendacja D
31 grudnia bieżącego roku w życie ma wejść aktualizacja Rekomendacji D, wydana przez Komisję Nadzoru Finansowego. Dotyczy zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. Chodzi o wprowadzenie takich zmian, które mają zapewnić nie tylko bezpieczeństwo zasobów informatycznych banków, ale przede wszystkim bezpieczeństwo i jakość obsługi jego klientów.
Konieczność aktualizacji wynika stąd, że zmieniły się zarówno sposoby działania przestępców, jak i możliwości zabezpieczania systemów. Pojawiły się też nowe zagrożenia.
Rekomendacja D skierowana jest nie tylko do działów IT, ale do wszystkich pracowników banków.
– Trzeba kłaść duży nacisk na budowanie kultury bezpieczeństwa. A ta kultura wymaga zaangażowania nie tylko obszaru informatyki, ale tak naprawdę wszystkich pracowników – mówi gość Jedynki.
Zwraca też uwagę, że nie tylko wielkie banki, ale także banki spółdzielcze są odpowiednio zabezpieczone od strony IT.
Można się też spodziewać, że zarówno bankowość internetowa jak i mobilna, mimo zagrożeń, rozwijać się będzie w dobrym tempie.
Potrzebne plany reakcji
Polskie instytucje przygotowują się do ewentualnych ataków hakerów. Mają plany reakcji np. wówczas, gdy w wyniku informatycznego ataku następuje odmowa świadczenia usług.
– Takie ataki do systemów informatycznych powodują, że sieć nie funkcjonuje i jest olbrzymi natłok informacji, są zapchane łącza, procesory w sieci są zajęte w stu procentach. W wyniku takich ataków systemy i sieci nie są w stanie realizować tego do czego zostały stworzone. Próba zaatakowania natłokiem informacji powoduje, że można wykorzystać luki w bezpieczeństwie systemów czy też błędy, które mają aplikacje czy konfiguracja sieci – mówi Michał Szczęsny, dyrektor Biura Architektury i Planowania Sieci Exatel, który był gościem PR 24.
Ataków będzie coraz więcej
Taka niekorzystna dla systemu sytuacja, pozwala hakerowi w sposób nieuprawniony przedrzeć się przez standardowe mechanizmy ochrony i zdobyć poufne informacji i wrażliwe dane.
Przy najbardziej sprzyjających dla hakerów modyfikacjach funkcjonowania systemu, są oni w stanie wyciągnąć nawet dane kontaktowe, dane personalne, numer karty kredytowej, czy datę jej terminu ważności.
I dlatego nasze instytucje finansowe wprowadzają kosztowne, innowacyjne rozwiązania, które mają zabezpieczyć środowisko teleinformatyczne przed takim atakami.
Ostatnio taki udany atak hakerów miał miejsce w Stanach Zjednoczonych. Hakerzy włamali się do systemu amerykańskiej sieci hipermarketów budowlanych Home Depot i ukradli dane milionów klientów.
Gość PR 24 zwraca uwagę, że ataki są nieuniknione i będzie ich w przyszłości znacznie więcej, od drobnych spraw, takich jak przejęcie profilu na FB, po ataki na instytucje finansowe. Bardzo ważnym elementem bezpieczeństwa jest edukacja na temat bezpieczeństwa sieciowego. Jej rola także będzie w przyszłości rosła.
Sylwia Zadrożna, Justyna Golonko, Grażyna Raszkowska
