Obserwator Finansowy: Czy pieniądze w polskich bankach są bezpieczne przed kradzieżą?

Cezary Cichocki: Paradoksalnie nasza bankowość jest bardzo zaawansowana technologicznie. Po 1989 roku bardzo szybko wskoczyliśmy na górną półkę. Banki są technologicznie bardzo do przodu, kładą duży nacisk na bezpieczeństwo, ale dotychczas nie miały odpowiednich narzędzi do obrony. Teraz są one dostępne, więc myślę, że da się sprowadzić ryzyko do akceptowalnego poziomu. Nie ma powodu do wpadania w panikę, ale trzeba zastanowić się, co nam grozi, przygotować się na pewien poziom obrony i wypracować metody reakcji, gdy do zagrożenia dojdzie.

Liczba zagrożeń rośnie?

Zakładamy, że liczba zagrożeń elektronicznych będzie dramatycznie rosła. Mając jeden mały program, jesteśmy w stanie wyzerować sumę bilansową banku. Największymi zagrożeniami będą ataki elektroniczne, ale zaczną się także pojawiać ataki hybrydowe. Będą to dedykowane ataki na pracowników, na konkretny bank lub na system działający w konkretnym banku. Mieliśmy już z tym do czynienia. To jest realne.

Co z punktu widzenia bezpieczeństwa jest największym problemem – technologie czy ludzie?

Przede wszystkim ludzie. Główne ryzyko widzimy w ludziach młodych, niefrasobliwych, którzy nie mogą żyć bez internetu, komputer jest ich drugą ręką i jak małym dzieciom rzeczywistość miesza się z bajką, czyli wirtual z realem. Robiliśmy na ten temat badania. Ludzie po 40. z reguły wiedzą, na czym polega bankowość, mają szacunek dla pieniędzy i dla klienta. Natomiast dla młodzieży bank jest trochę jakby grą komputerową – zawsze można mieć kolejne życie. To, że pojawiło się ujemne saldo nie robi na nich wrażenia – przecież można to poprawić. Bywają niefrasobliwi. Rzadko zdarza się, że uda się starszego pracownika banku przyłapać na tym, że siedzi na facebooku. Młodzi uważają, że są sekowani, gdy im się tego zabrania.

>>> Czytaj też: Banki płacą hakerom za milczenie. Nasze pieniądze nie są bezpieczne

Zabrania im się, bo mogą ściągnąć coś niebezpiecznego?

Ba… Albo wysłać.

Mogą przecież używać swoich komórek, własnych laptopów…

Mogą, ale kiedy bank ma bardzo szybkie i wydajne łącze, to aż kusi, żeby z niego korzystać. Pewien bank musiał po prostu fizycznie zablokować porty USB, przez które pracownicy instalowali na jego łączach swój sprzęt. Gdy zablokowano porty, okazało się, że wchodzili przez bluetooth. Ten bank miał 18 „dzikich” punktów podłączonych do swojej sieci, z czego dwa były dwustronne.

Mogło coś przez nie wyciec?

Teoretycznie wszystko. Na szczęście te łącza stworzył jeden z pracowników, który sam nie mógł sobie poradzić z zadanym mu problemem. Otworzył je koledze, żeby pomógł mu go rozwiązać.

I tamten wszedł do sieci banku?

Tak. I problem rozwiązał. Ale kiedy prezes się zorientował, o co chodzi, trzeba było mu podawać tlen. Chłopak był bardzo rozżalony, że władze skoczyły mu do gardła.

Starał się sobie poradzić dzięki współpracy, dzięki sieci. W tym sensie był innowacyjny…

Mieliśmy wielu innowatorów. Wymyślili, że pracownik będzie przyjmował klienta siedząc na sofie, z laptopem. Bardzo fajny pomysł. Przynieśli więc własny punkt dostępu i podpięli go do sieci banku, jednak wystawili WiFi z nieszyfrowanym hasłem, bo tego nie umieli już zrobić. Nie zdawali sobie sprawy, że każdy, kto miał tylko trochę czasu i wystarczające umiejętności, był w stanie w zasięgu tego punktu dostępowego wejść do centralnego systemu.

Co z nimi robić? To często studenci na zleceniach. Nie identyfikują się z kulturą korporacyjną.

A tym bardziej z kulturą bezpieczeństwa. Potrzebują mieć możliwość wpisania do CV stażu, bo to będzie dobrze widziane, kiedy wyjadą do Anglii. Podpisują umowy o poufności, ale mają je naprawdę w nosie. Jest to cholernie niebezpieczne.\

>>> Czytaj też: Świat finansów bezradny wobec ataków hakerskich. Banki potrzebują cyberpolicji

Nie elektronika, a socjotechnika stanowi największe zagrożenie?

Słynny hacker Kevin Mitnick był słabym programistą. Nie umiał łamać programów, ale łamał ludzi. Pierwsza linia obrony to linia organizacyjna. Nadzór nad ludźmi, znajomość pracowników, wiedza o ich zachowaniach i reagowanie na to, gdy je zmieniają. Gdy na przykład pracownik zaczyna przyjeżdżać świetnym autem, a zarabia jako kasjer. Bardziej podatni ma atak są szeregowi pracownicy. Kadra jest sprawdzana, a szeregowi nie. To prawdziwe wyzwania dla działów kadr. Bardzo ważny jest również mentor, czyli kierownik, przełożony, który tłumaczy, czym naprawdę jest bank i jakich głupot nie można się dopuścić. I konieczne są po prostu szkolenia. A poza tym, jak mówił Włodzimierz Lenin – zaufanie jest dobre, ale kontrola jest lepsza.

Co kontrolować?

Nawet kolektory kanalizacyjne.

Po co?

Żeby pobrać próbki do narkotestów. Amerykańskie banki systematycznie to robią.

Nie powie mi pan, że kasjerka liczy pieniądze, popalając skręta…

Póki jest to marihuana czy amfetamina, mamy spokój. Gorzej, kiedy pojawia się koka.

W pracy?

W czasie weekendowego clubbingu. Jeżeli kogoś stać na kokainę, to znaczy, że ma sporo pieniędzy. Skąd?

To działa w Polsce?

Działa. Nie tak dawno w jednej z warszawskich firm dzięki temu właściwie wytypowano człowieka. Jest podejrzany o szpiegostwo przemysłowe.

Jakie jeszcze zagrożenia stwarza „czynnik ludzki”?

Na polskim rynku jest „do wzięcia” co najmniej 200 osób, które wcześniej pracowały dla firm wdrażających systemy bankowe i bardzo dobrze je znają. Pracują w innych branżach, nie tylko w bankach. Jest z nimi ten sam problem, który ma armia z byłymi komandosami: z wojska wychodzi profesjonalny zabójca. Dla zorganizowanych grup przestępczych ci ludzie są piekielnie cennym źródłem informacji. Ktoś, kto dobrze się porusza w tych systemach, wie jak dokonać nadużycia zgodnego z ogólną logiką działania systemu. Można je będzie wykryć, gdy już będzie pozamiatane.

Wróćmy do technologii. Jakie są najsłabsze punkty?

Niezmiernie ważne jest, żeby banki były w stanie analizować charakterystykę ruchu w sieci i sposoby funkcjonowania użytkowników. Zarówno wewnętrznych, jak zewnętrznych. Polega to na wykrywaniu anomalii. Jeżeli na przykład dziewczyna łączy się z punktu kasowego, robi dwa, trzy przelewy przed południem, analiza ruchu w sieci pokazuje, że wszystko jest w porządku. Ale jeżeli nagle w takim małym punkcie kasowym następuje duże zlecenie albo kilkanaście małych, czy też zmienia się częstotliwość zleceń, analiza pokazuje, że sytuacja nie jest normalna. System ochrony pasywnej sam uczy się sieci. Może wychwytywać anomalie zdarzające się w back-office. Jeżeli zaczną się pojawiać wirusy celowane w pracownika, to właśnie będą wchodziły do banku przez zaplecze.

To jest zautomatyzowane, czy analizy muszą wykonywać ludzie?

Na rynku są systemy, które działają całkiem automatycznie. Oprócz monitorowania ruchu w sieci potrafią sprawdzać aktualność systemów wewnętrznych, oprogramowania oraz konfigurację, prawidłowość używania uprawnień i błędy logowania, używany sprzęt i jego zgodność z systemem centralnym. Nawet mały bank, zatrudniający 80 osób, ma do 200 aktywnych urządzeń. Nad tym nie da się zapanować ręcznym łataniem dziur. Takie systemy potrafią także weryfikować, czy system centralny banku jest zgodny z jego polityką bezpieczeństwa. Zastępują papierowego firewalla.

To jakiś nowy software?

Niestety często używany. Polega na tym, że informatyk odpowiedzialny za dany odcinek co pewien czas produkuje raport. Ten raport idzie do szefa, który opatruje go swoimi uwagami i wnioskami. I tak dalej po szczeblach drabinki służbowej, aż na biurko prezesa trafiają trzy opasłe tomy akt. Ponieważ w zarządach jest niewielu informatyków, a wszyscy po drodze chcieli się wykazać dogłębną wiedzą, tak naprawdę nikt nie wie, co tam naprawdę jest, ale zarząd ufa, że informatycy napisali prawdę. Tomy papieru służą do tego, żeby je pokazywać kontrolerom. Przychodzi inspekcja z Komisji Nadzoru Finansowego i łapie się za głowę. Jeśli inspektor jest mniej wnikliwy, to też zaufa papierom.

Automatyzacja eliminuje ludzkie błędy?

Zarząd w określonym czasie dostaje raport wskazujący na wszystkie anomalie, jakie następują w sieci, i informację o realizacji celów bezpieczeństwa, założonych w polityce banku. Jeżeli któryś z nich nie jest zrealizowany w 100 proc., to w oparciu o analizę kosztów zwiększenia bezpieczeństwa, potencjalnych strat albo rezerw na ryzyko, może podjąć w pełni racjonalną decyzję. Może zgodzić się na ryzyko informatyczne, jakie pokazuje mu system, albo zmienić polityką bezpieczeństwa. Może uznać, że pewne zdarzenia nie są anomaliami, tylko standardem, albo też politykę bezpieczeństwa zaostrzyć i starać się je wyeliminować. Ma informacje i przesłanki do wnioskowania. Pozwala to wyważyć kwestie zarządzania strategicznego, określać świadomie politykę bezpieczeństwa. Paradoksalnie, ludzie mają znacznie mniej pracy, informatycy zajmują się utrzymywaniem codziennej działalności banku i reagują wtedy, gdy naprawdę jest problem, gdy system zawiadamia ich o anomaliach. Jeżeli problem jest naprawdę duży, działania mogą iść daleko, łącznie z wyłączeniem systemu centralnego i wywieszeniem kartki – przepraszamy bank nieczynny z powodu awarii zasilania. Bank powinien być wtedy przygotowany na zarządzanie ryzykiem reputacyjnym, mieć gotowe odpowiedzi na pytania, gotową informację, kiedy system ruszy, jakie są powody awarii itp. Systemy ochrony pasywnej sieci działają w dużych, transgranicznych bankach.

A mimo wszystko cyberprzestępcy kradną pieniądze. Doskonalą narzędzia i sposoby ataku. Co może im się udać?

Prawdopodobnie w nieodległej przyszłości najgroźniejsze będą ataki rozproszone.

Na czym one polegają?

– Chodzi o upodobnienie działania przestępców do charakterystyki ruchu klientów. To mechanizm „ćwiartek centa”. W dawnych czasach były problemy z ich księgowaniem, na przykład wtedy, gdy naliczano odsetki od lokaty. Przestępcy wpadli wtedy na pomysł, żeby dziesiętne centa, setne centa przelewać na własny rachunek. W ten sposób z malutkich kwot zebrali kilkadziesiąt milionów dolarów. Ataki rozproszone są możliwe wtedy, gdy łatwiej jest „zniknąć” w tłumie przelewów, czyli np. gdy rozliczane są operacje ZUS, płacony jest PIT i VAT albo gdy firma przelewa pensje. Trudno wychwycić kilka dodatkowych przelewów. Mogą prześlizgnąć się przez wszystkie sesje.

Inna metoda polega na tym, że z każdego rachunku znika np. po 500 zł i wychodzi na rachunki słupów. Tym bardziej, że teraz kupują oni karty pre-paid, a do każdej jest przypisany prawidłowy numer rachunku. Są ograniczenia w postaci limitu wpłat, ale jest i na to sposób, np. kradzież z 10 tys. rachunków po tysiąc złotych i wypłacanie ich zanim bank się zorientuje, że pieniądze poszły na lewe konto. Banki zastanawiały się, czy nie wyjaśniać każdej takiej operacji, ale nie wolno im tego robić. Nawet jeśli kwoty są większe niż przewiduje ustawa o praniu brudnych pieniędzy, bank musi zrealizować operację. Musi ją zaraportować, ale nie wolno mu jej wstrzymać. Choć nie spotkałem jeszcze banku, w którym ktoś przynajmniej nie rzuciłby okiem na łączną kwotę wychodzącą na sesję ELIXIR-u, boję się, że duży skoordynowany atak z wewnątrz, na pięć minut przed zamknięciem sesji, mógłby się źle skończyć. Tu banki są bezbronne.

Czy także wobec phishingu?

Wciąż duża część ataków odbywa się na klienta. Otwierając załącznik niewiadomego pochodzenia instaluje na swoim PC oprogramowanie, które obserwuje, czy wszedł na stronę banku, i składa zlecenie przelewu, a wtedy wstrzykuje inny numer rachunku bankowego, np. słupa.

Czy z tego wynika, że banki powinny zabezpieczać pecety klientów?

Nie mogą na urządzeniach klienta instalować oprogramowania, choćby dlatego, że on sam mógłby je zmodyfikować. Ale mają już skuteczne aplikacje. Ważne jest tu, żeby po stronie klienta aplikacja ochronna nie była agresywna, choćby dlatego, że to nie on pierwszy powinien wiedzieć, że zadziałała, a bank.

Mimo wszystko w Polsce nie dochodzi do spektakularnych ataków i kradzieży pieniędzy. Dlatego, że jesteśmy biedni?

To kwestia kulturowa, także bariery językowej, która utrudnia zrobienie dobrej fałszywki. Grupy przestępcze w USA mają dużo ludzi władających hiszpańskim, portugalskim, ale nie polskim. Ale po najnowszych mailach phishingowych już widać, że za to wzięli się zawodowcy, władający perfekcyjną polszczyzną.

Amerykańska mafia?

Mafia amerykańska nie jest jeszcze zainteresowana Polską. Dla kogoś z USA jest pewnym problemem przyjechanie do Polski i łapanie tu słupów. Duże transfery do USA też wzbudziłyby zainteresowanie, gdyż jesteśmy raczej przyzwyczajeni do sytuacji odwrotnej. Mamy natomiast gości zza Buga i z Dalekiego Wschodu. Widać wyraźnie ich ekspansję. Nie stanowi dla nich żadnego problemu znaleźć na „ścianie wschodniej” przydatnych ludzi. Duża liczba małych transferów z Polski na Wschód to norma, bo pracujące tu sprzątaczki wysyłają pieniądze rodzinie. Jest to znacznie mniejsza anomalia i trudniej ją wychwycić.

Czy to działania czysto biznesowe, czy też polityczne?

To dobre pytanie, na ile ich działalność ma związki z próbami destabilizacji gospodarczej z pobudek politycznych, ale wydaje się to być powiązane w jakiś sposób. W każdym razie zakładamy, że wschodnia granica będzie się aktywizowała, także z powodu zamówień politycznych. Na razie jesteśmy podszczypywani, nie zdarzyło się jeszcze coś, co by naprawdę zabolało. Sprawdzają jak szybko się zorientujemy, zareagujemy, jak szybko słup zostanie zdjęty i jak dużo powie. Na razie to przymiarki. Obawiam się, że nasze służby troszeczkę przespały właściwy moment i tamta strona powiedziała: OK, możemy zaczynać.