Do tej pory dochodziły do nas sygnały, że cyberataki na banki są planowane albo dzieją się gdzieś na świecie. Przypadek Plus Banku pokazał jednak, że atak w cyberprzestrzeni jest coraz bardziej realnym zagrożeniem również w Polsce. Czy w takiej rzeczywistości nadal możemy być pewni, że nasze pieniądze w bankach są bezpieczne?
Niezbadany obszar
Wspomniany przykład nie jest jednak pierwszym podobnym zdarzeniem w naszym kraju. W ubiegłym roku mieliśmy serię drobniejszych awarii serwisów internetowych banków. Przynajmniej część z nich mogła nie być zwykłą awarią, tylko atakiem hakerskim, do którego nikt nie chce się przyznać. O możliwych atakach ostrzegała też w kwietniu Komisja Nadzoru Finansowego (KNF) po informacjach, które dostała od Agencji Bezpieczeństwa Wewnętrznego (ABW). Na tegorocznym kongresie finansowym bankowcy również jako jedno z głównych zagrożeń wymieniali cyberprzestępstwa.
— Ataki na banki są stałą aktywnością cyberprzestępców, dochodzi do nich codziennie. W większości przypadków zaczęły się na klientów indywidualnych banków, następnie coraz częściej były atakowane małe i średnie przedsiębiorstwa, a teraz coraz częściej atakowane są bezpośrednio banki, uważane dotychczas za bastion prawie nie do zdobycia. Oczywiście główną motywacją świata przestępczego jest możliwość atakowania zasobów z coraz większymi środkami. Niestety banki muszą się pogodzić z tym, że są już bezpośrednio na celowniku — tłumaczy Mirosław Maj, prezes Fundacji Bezpieczna Cyberprzestrzeń. Tym samym liczba cyberataków rośnie i będzie rosła.
— Powodów jest wiele. Przede wszystkim przeprowadzenie ataku jest coraz prostsze, przestępcy mają więcej narzędzi, żeby skutecznie dokonywać włamań do sieci. Cyberatakom sprzyja również trend związany ze zwiększoną skutecznością organów ścigania, która sprawia, że przestępcy muszą szukać przychodów z innych działalności — tłumaczy Cezary Piekarski, starszy menedżer w dziale zarządzania ryzykiem w Deloitte. Nie wiadomo jednak, z jak dużą liczbą ataków na banki możemy mieć do czynienia.
— Nikt nie chce się chwalić takimi informacjami, nie ma obowiązku ich raportowania przez banki, więc tak naprawdę na ten temat wiemy bardzo niewiele. Łatwiej jest np. w Wielkiej Brytanii, gdzie istnieje obowiązek informowania przynajmniej o utracie danych — tłumaczy Patryk Gęborys, menedżer w zespole bezpieczeństwa biznesu w PwC.
Nie ma zabezpieczenia
Pewne jest jedno — nie ma systemu informatycznego, do którego nie można się włamać. Firmy przeprowadzające symulowane ataki na systemy informatyczne przedsiębiorstw mówią wprost — to się udaje w każdym przypadku. PwC w ubiegłymroku informowało o zwiększonej liczbie próśb o przeprowadzenie symulowanego ataku na firmy, przeprowadzono kilkadziesiąt takich akcji, w każdym przypadku włamanie się powiodło. Średnio fałszywi hakerzy potrzebowali na to 4 godzin.
Zdaniem Rafała Jaczyńskiego, lidera zespołu bezpieczeństwa biznesu w PwC, ataków nie można uniknąć, nie można się też przed nimi zabezpieczyć, ale można nauczyć się działać we współpracy z ludźmi, procesami i technologią, w nieustannej czujności, z założeniem, że już ktoś się do nas włamał. — Rzeczywiście systemów informatycznych nie można w 100 proc. zabezpieczyć — przyznaje Cezary Piekarski. Nie oznacza to jednak, że banki nie są bezpieczne.
— Poświęcają one znacznie więcej uwagi zabezpieczeniom niż inne firmy — po pierwsze dlatego, że wymaga od nich tego regulator, a po drugie są przecież najbardziej atrakcyjnym łupem dla przestępców — zauważa Cezary Piekarski. Jego zdaniem, ich inwestycje w bezpieczeństwo polegają na kupowaniu drogich maszyn, które mają za zadanie odpierać ataki. I na tym etapie zatrzymuje się większość firm. Banki jednak stać także na to, żeby zatrudniać wyspecjalizowane zespoły ludzi, którzy mają zareagować tam, gdzie nie zareagują maszyny.
— Banki stosują skomplikowane zabezpieczenia wielopoziomowe, które są skuteczne i kosztowne. Elementem systemu bezpieczeństwa jest też współpraca banków, która w Polsce jest bardzo rozwinięta — przekonuje Paweł Widawski, dyrektor zespołu ds. systemu płatniczego i bankowości elektronicznej w Związku Banków Polskich (ZBP). Przyznaje on, że żadna instytucja na świecie nie jest w stanie zagwarantować 100 proc. odporności na cyberatak, ale ryzyko udaje się istotnie minimalizować. W efekcie zwykle atak jest identyfikowany i udaremniany na wczesnym etapie przez bank. Ponadto sektor bankowy jest także ściśle kontrolowany pod kątem bezpieczeństwa działania.
— Banki posiadają szczegółowe wytyczne dotyczące zapewnienia bezpieczeństwa teleinformatycznego wynikające z wydawanych przez KNF rekomendacji — mówi Maciej Gawroński, radca prawny, partner w warszawskim biurze Bird & Bird, szef praktyki prawa IT i nowych technologii. — Z jednej strony hakerzy mają zatem coraz więcej umiejętności, ale z drugiej zabezpieczenia są coraz lepsze. Trwa wyścig zbrojeń — podsumowuje Patryk Gęborys.
Bezpieczniej niż w Europie
W dodatku pod wieloma względami polska infrastruktura jest dużo bezpieczniejsza i nowocześniejsza niż w innych krajach UE. — Nasze systemy bankowe są nowszej generacji, ponieważ banki je wdrażały na przestrzeni ostatnich kilkunastu lat, podczas gdy wiele krajów wciąż pracuje na starych systemach, np. z lat 70., których modernizacja albo wymiana jest kosztowna — mówi Patryk Gęborys.
— Popularne technologie bankowe zaczęły się pojawiać dość późno u nas, i to od razu zaawansowane. W efekcie dzisiaj, podczas gdy wiele krajów wciąż pracuje na dość starych technologiach, ponieważ się do nich przyzwyczaili, my mamy nowoczesne. Na przykład zabezpieczenia hasłami SMS u nas są standardem, a w wielu krajach to rozszerzony model bezpieczeństwa, za który dodatkowo trzeba zapłacić — uważa Cezary Piekarski. Zabezpieczenia mogą się jednak różnić także w konkretnych bankach.
— Generalnie im większy i lepszy bank, tym lepsze zabezpieczenia. Dotychczas największe polskie komercyjne banki przodowały w wykorzystaniu technologii, gorzej sytuacja przedstawiała się w bankach mniejszych, niszowych. Przykładem wyzwań w dziedzinie informatyki są banki spółdzielcze oraz — jak pokazują wydarzenia — banki wyspecjalizowane — uważa Maciej Gawroński.
Bank zapłaci
Warto także pamiętać, że na bezpieczeństwie równie silnie jak klientom zależy samym bankom, które w razie jakichkolwiek problemów zobowiązane są przecież do pokrycia strat poniesionych przez klienta. To kolejny argument, dla którego, pomimo że systemów w 100 proc. zabezpieczyć się nie da, a hakerzy są coraz sprytniejsi, możemy nadal bezpiecznie przechowywać pieniądze w bankach.
— Nawet jeśli dojdzie do ataku, wszelkie ewentualne straty ponosi bank — pociesza Paweł Widawski. Chyba że to klient zawinił. Swoją drogą takie sytuacje zdarzają się znacznie częściej niż ataki na same banki, ale również nieczęsto, skoro, jak zwraca uwagę Adrian Latoszek, prawnik w departamencie Bankowości i Finansów Międzynarodowych warszawskiego biura CMS, według danych Narodowego Banku Polskiego wartość oszukańczych transakcji kartowych, których znaczna liczba odbywa się przez internet, stanowi zaledwie ok. 0,02 proc. wartości wszystkich transakcji kartowych w Polsce.