Skala ataku hakerskiego na Plus Bank była w Polsce bez precedensu. Ale problem nie dotyczy tylko jednej instytucji. Zdaniem ekspertów sektor bankowy nie jest wystarczająco przygotowany na ataki cyberprzestępców. – W latach 2013–2014 przeprowadziliśmy testy u kilkudziesięciu klientów. To był przede wszystkim sektor rządowy, przemysł, telekomunikacja i finanse. Około 85–87 proc. z nich miało u siebie zainstalowane szkodliwe oprogramowanie lub konie trojańskie, co oznacza, że ataki na te instytucje zakończyły się sukcesem – mówi Robert Żelazo, dyrektor na region Europy Wschodniej firmy FireEye.
– Tego rodzaju incydenty zdarzały się i wciąż się zdarzają na całym świecie, choć nie zawsze zaatakowane instytucje przyznają się do tego, że padły ich ofiarą – wskazuje Janusz Nawrat, dyrektor odpowiedzialny za bezpieczeństwo w Raiffeisen Polbanku.
Opinia publiczna o udanych atakach hakerów na banki dowiaduje się bardzo rzadko. – Zazwyczaj instytucja dogaduje się z przestępcą i cała sprawa zostaje zamieciona pod dywan – mówi pragnący zachować anonimowość ekspert ds. bezpieczeństwa. Ale dodaje, że zdarza się, iż banki wynajmują również innych hakerów, aby wyśledzić atakującego.
Nadzór rynku finansowego na pytania DGP o skalę zjawiska odpowiada, że ze względu na ustawowy obowiązek zachowania tajemnicy nadzorczej nie może komentować indywidualnych spraw. Zapewnia jednak, że każdy istotny incydent IT w instytucji finansowej jest przez KNF wyjaśniany, a w całym sektorze trwają właśnie inspekcje związane z wdrażaną od stycznia rekomendacją D, która dotyczy bezpieczeństwa IT w bankach.
– Komisja Nadzoru Finansowego oczekuje, że wnioski z tej sprawy zostaną wyciągnięte przez całą branżę – mówi Maciej Krzysztoszek z biura prasowego KNF. Pilną kontrolę w Plus Banku zapowiada też Generalny Inspektor Ochrony Danych Osobowych.
>>> Czytaj też: Armia hakerów Kim Dzong Una to dopiero początek. Rok 2015 będzie rokiem cyberwojny
Bezpieczeństwo pieniędzy w banku to nie wszystko
Plus Bank dał sobie wykraść wrażliwe informacje mogące sporo powiedzieć na temat jej klientów. O sprawie włamania do tej instytucji pierwszy napisał blog „zaufana trzecia strona”. Bloger publikujący pod nickiem „Adam” poinformował, że haker o pseudonimie Razor4 twierdzi, że do serwerów banku dostał się pod koniec stycznia, wykorzystując błąd systemu wynikający z braku regularnych aktualizacji oprogramowania. Następnie przez kilka tygodni wykradał zgromadzone tam dane, w tym informacje o transakcjach i płatnościach kartami płatniczymi prawie 100 tys. klientów banku.
Haker najpierw próbował porozumieć się z bankiem, ale po tym jak został zignorowany, zwrócił się o pomoc w negocjacjach do redakcji portalu niebezpiecznik.pl. Przesłał tam dane świadczące o tym, że atak był udany i że wszedł w posiadanie wielu cennych informacji.
Jak poinformował portal RMF24, w ostatni weekend haker rozpoczął publikację danych w internecie. Rzekomo po tym, jak szantażowany przez niego bank odmówił mu wypłaty ok. 200 tys. zł.
Sam bank przyznaje, że w I kw. bieżącego roku stał się celem ataku przestępców internetowych. Nie chce jednak zdradzić, jakie dane wykradziono oraz jakiej liczby klientów dotyczy ten incydent. – Temat został nagłośniony w ostatnich dniach, ale przypominam, że incydent ma charakter historyczny. Żaden z klientów nie poniósł uszczerbku finansowego. Ich środki były i są bezpieczne – podkreśla Mikołaj Jabłoński z biura prasowego banku. Jego zdaniem Plus Bank nie oszczędzał na zabezpieczeniach, a systemy zostały opracowane i wdrożone przez jednego z liderów IT w Polsce. Ponadto w odpowiedzi na atak bank wzmocnił i dodatkowo je zabezpieczył. – Między innymi wymuszono na wszystkich klientach wymianę haseł do systemu bankowości elektronicznej plusbank24.pl z dodatkową metodą autoryzacji – zastrzega Jabłoński. Dodaje, że od początku wykrycia ataku bank współpracuje z organami ścigania w celu wykrycia sprawcy.
Eksperci podkreślają jednak, że bezpieczeństwo środków to nie jest jedyny problem, z którym wiąże atak hakera. Wyrządził on bowiem nieodwracalne szkody, publikując dane w sieci. Jeśli się okaże, że wyciek nastąpił ze względu na zaniedbania w samym banku, instytucja będzie musiała się tłumaczyć przed Komisją Nadzoru Finansowego i generalnym inspektorem ochrony danych osobowych.
– W banku została już zaplanowana przez GIODO kontrola. Zostanie ona przeprowadzona w możliwe jak najszybszym terminie. Za nieprzestrzeganie zasad ochrony danych osobowych ustawa przewiduje odpowiedzialność karną – przypomina Małgorzata Kałużyńska-Jasak, dyrektor zespołu rzecznika prasowego w GIODO. Jak dodaje, za niewłaściwe zabezpieczenie danych osobowych, czego konsekwencją jest ich zabranie przez osobę nieuprawnioną lub ich uszkodzenie czy zniszczenie, grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2.
– Klienci poszkodowani w wyniku zdarzenia z winy banku mają prawo do rekompensaty, a w przypadku sporów prawnych z bankiem jest możliwość skorzystania z centrum mediacji sądu polubownego przy KNF – dodaje Maciej Krzysztoszek z biura prasowego komisji.
Zdaniem ekspertów skala włamania świadczy o tym, że bank był kiepsko zabezpieczony przed działalnością hakera. – To nie był finezyjny atak nakierowany na kradzież konkretnych danych. Złodziej całymi tygodniami przesyłał z serwerów banku gigabajty danych. Jak można było tego nie zauważyć? – zastanawia się pragnący zachować anonimowość ekspert, zajmujący się testowaniem systemów bezpieczeństwa w polskich bankach. Dodaje, że organy nadzoru przede wszystkim powinny sprawdzić, czy, a jeśli tak, to kiedy ostatnio w Plus Banku został przeprowadzony audyt bezpieczeństwa oraz jakie są tam stosowane procedury zabezpieczeń. – Jeśli okaże się, że wina leży po stronie banku, grozi mu kosztowny pozew zbiorowy – ocenia ekspert.