Słotwiński: Skoro cyberprzestępcy są w stanie włamać się do Departamentu Stanu USA, to w odpowiednim czasie i z użyciem odpowiednich nakładów wejdą wszędzie.

<p>Krzysztof Słotwiński, dyrektor zarządzający pionem bezpieczeństwa i zarządzania ciągłością działania BNP Paribas Bank Polska</p> / Materiały prasowe
Co jest podstawą cyberbezpieczeństwa banku?
Przede wszystkim świadomość kierownictwa, że cyberbezpieczeństwo jest ważne. A także posiadanie dobrze zmotywowanego i wykształconego zespołu, który ma potrzebną wiedzę i jest w stanie wdrożyć odpowiednie systemy zabezpieczeń. W naszym przypadku ważne są tu rekomendacje Komisji Nadzoru Finansowego. Ponadto odporność na zabiegi socjotechniczne.
Niemiecki Federalny Urząd Nadzoru Finansowego znowu ostrzega, że wojna zwiększyła prawdopodobieństwo cyberataków w tym sektorze. A w Polsce pełnomocnik rządu ds. cyberbezpieczeństwa wskazuje na wzrost częstotliwości ataków typu DDoS (paraliżują system poprzez zasypanie go fałszywymi próbami skorzystania z usług). Sytuacja jest poważna?
Biorąc pod uwagę wzrost liczby cyberataków, widzimy, że tak. Już w ubiegłym roku odsetek firm mających powyżej 100 pracowników, które zostały zaatakowane przez ransomware (cyberatak dla okupu - red.), wzrósł na świecie do 66 proc., z 37 proc. rok wcześniej (dane firmy Sophos - red.). W tym roku bardzo dużą aktywność w cyberprzestrzeni zauważyliśmy tuż przed rozpoczęciem wojny. Od 18 lutego widzieliśmy intensywne ataki typu DDoS. Pojawiały się one już wcześniej - w listopadzie ub.r. - prawdopodobnie jako rekonesans dla sprawdzenia, jak instytucje odpowiadają, jakie mają zabezpieczenia. Natomiast krótko przed rozpoczęciem działań wojennych liczba ataków DDoS była już bardzo duża.
Wobec waszego banku czy w ogóle w polskiej cyberprzestrzeni?
W polskiej cyberprzestrzeni, również wobec nas. Po 24 lutego zauważyliśmy 10-krotne zwiększenie liczby e-maili phishingowych: zarówno w ramach kampanii wymierzonych w naszych pracowników, jak i skierowanych przeciwko klientom bankowości internetowej w całej Polsce. Wzrosło też tempo tworzenia przez cyberprzestępców fałszywych stron z panelami do wykonywania płatności. Nie możemy jednoznacznie stwierdzić, że są to działania Rosji czy innego państwa - ale można przypuszczać, że właśnie tak jest.
Jesteście więc na celowniku.
Jesteśmy dobrze zabezpieczeni. Nasz zespół monitoruje sytuację 24 godziny siedem dni w tygodniu, dysponujemy odpowiednimi narzędziami. Europejski Bank Centralny, a także nasz rząd ogłosiły alerty w związku z potencjalnymi cyber atakami - i takie ataki obserwujemy.
Co się zmienia w pracy specjalistów od cyberbezpieczeństwa po takich ostrzeżeniach?
To zależy od sektora. W naszym przypadku zmiana stylu pracy ze względu na podwyższony stopień zagrożenia nie była konieczna, bo całodobowy monitoring prowadziliśmy też przed wojną. Przyspieszyliśmy i usprawniamy proces wprowadzania oprogramowania, które będzie testowane pod kątem odporności na najbardziej wyszukane cyberataki.
Sektor bankowy jest bardzo dobrze przygotowany do wykrywania i odpierania cyberataków. Banki współpracują ze sobą pod tym względem. Zarówno Związek Banków Polskich, jak i KNF koordynują przepływ informacji na ten temat między instytucjami finansowymi. Gdy tylko dochodzi do ataku na którąś instytucję, od razu się o tym dowiadujemy. Dzielimy się informacjami o wszystkich jego parametrach, żeby zablokować możliwość rozszerzenia ataku na kolejne podmioty.
Jak dbanie o cyberbezpieczeństwo banku wygląda w praktyce?
Wykorzystujemy odpowiednie algorytmy, sztuczną inteligencję i uczenie maszynowe, zapewniając ochronę światowej klasy rozwiązaniami. W ramach grupy BNP Paribas mamy też możliwość rozwoju standardów cyberbezpieczeństwa zgodnie z wytycznymi NIST (National Institute of Standards and Technology). Kiedy wystąpi zdarzenie, które potencjalnie może się okazać incydentem bezpieczeństwa, włącza się alert. Analizują go inżynierowie bezpieczeństwa i jeżeli wynik jest pozytywny, tzn. wykryte zdarzenie jest incydentem bezpieczeństwa - to blokujemy dostęp do systemu i wprowadzamy środki zaradcze, żeby taki lub podobny incydent nie mógł wystąpić ponownie.
Czasami o potencjalnych incydentach informują nas klienci, którzy zauważą coś podejrzanego. W dziedzinie cyberbezpieczeństwa staramy się stale podnosić świadomość nie tylko naszych pracowników, lecz także osób korzystających z usług banku. Bo w ostatecznym rachunku to oni są ofiarami cyberprzestępców. Automatyczne narzędzia ochrony nic nie pomogą, jeżeli klient świadomie poda przestępcy swój login, hasło i kod uwierzytelniający z SMS. Albo gdy - a to też się zdarza - ostrzegamy go, że transakcja, którą chce wykonać, jest najprawdopodobniej próbą oszustwa, ale on i tak przy niej obstaje. Były np. takie oszukańcze kampanie związane z kupnem jednostek intratnych funduszy inwestycyjnych. Przestępca dzwonił do ofiary i mówił, że musi zainstalować na swoim komputerze specjalne oprogramowanie. Potem razem logowali się do bankowości internetowej i przestępca pokazywał, jak zrobić przelew. Gdy dzwoniliśmy z banku, że zlecony przelew wydaje nam się podejrzany, klient odpierał, że wszystko jest w porządku, bo wierzył, że zapłacił za lukratywną inwestycję. Dopiero po jakimś czasie przekonywał się, że padł ofiarą oszusta.
Często się zdarzają hakerskie napady na bank?
Skoro cyberprzestępcy są w stanie włamać się do Departamentu Stanu w USA, to w odpowiednim czasie i z użyciem odpowiednio dużych nakładów wejdą wszędzie. Zdarzały się np. udane cyberataki na banki w Brazylii czy ataki na system SWIFT (globalna sieć wymiany informacji między bankami - red.), gdy zmieniano parametry przelewu i pieniądze trafiały na rachunki przestępców. To są jednak rzadkie przypadki. Banki są dobrze zabezpieczone. Mniejsze podmioty stanowią łatwiejszy cel dla cyberprzestępców.
Mimo wojny w Ukrainie w polskiej cyberprzestrzeni nadal grozi nam przede wszystkim utrata pieniędzy, a nie np. paraliż państwa?
Utrata pieniędzy i utrata danych - tego drugiego ryzyka nie należy lekceważyć. Tylko w ostatnich kilku tygodniach Samsung stracił 190 GB danych swoich klientów i informacji o technologiach, z Microsoftu wykradziono dane 38 mln użytkowników. Ofiarami wycieków danych padły też m.in. Coca-Cola, T-Mobile. To powoduje duże straty. Przy czym, o ile wcześniej dominowały kradzieże danych dla okupu (ransomware), o tyle teraz coraz częściej przestępcy po prostu kasują wszystkie dane (ataki typu wiper). Jeżeli przedsiębiorstwo jest w stanie odtworzyć je z kopii zapasowych - które przezornie zrobiło - to taki atak utrudnia mu działalność o tyle, że potrzebuje na to trochę czasu. Ale bez backupu sytuacja jest ciężka.
Metody hakerów się zmieniają?
Przez cały czas się zmieniają. Oni widzą, co działa, a co nie. Ponadto świat wprowadza nowe narzędzia ochrony i przestępcy się do tego dostosowują, wypracowując nowe sposoby ataków, żeby dotrzymać kroku tej „jasnej” stronie.
To widać np. w phishingu. E-mail phishingowy ma nas skłonić do kliknięcia w link, który z kolei zaprowadzi nas na fałszywą stronę, gdzie wpiszemy swoje dane uwierzytelniające - wprost w ręce przestępców. Ale sieciowe systemy zabezpieczające bardzo dobrze nauczyły się rozpoznawać, że strona phishingowa jest stroną o złej reputacji i ostrzegały użytkowników. To co zrobili przestępcy? Zaczęli przejmować strony o dobrej reputacji i wykorzystywać je do swoich celów, dodając podstrony do wyłudzania informacji. Te witryny nie są od razu rozpoznawane jako oszukańcze, więc działają przez dzień, dwa lub trzy - dopóki nie zostaną przez kogoś zgłoszone i zablokowane. Wtedy przestępcy przenoszą się gdzie indziej.
I coraz trudniej się bronić.
W cyberbezpieczeństwie jest podobnie jak w medycynie: wirusy wciąż mutują, więc przez cały czas opracowywane są nowe szczepionki i lekarstwa.
A gdyby wojna rozszerzyła się na terytorium Polski?
Bliskość konfliktu spowodowała, że częściej zaczęło pojawiać się pytanie o fizyczne bezpieczeństwo danych i systemów, w tym rozmowy dotyczące tego, czy lokalizacja centrów przetwarzania danych wyłącznie na terytorium naszego kraju - jak to ma miejsce w przypadku większości banków w Polsce - jest wystarczającym zabezpieczeniem na wypadek zaistnienia konfliktu.
I jaki scenariusz macie na taką okoliczność?
Chmura jako ośrodek zapasowy to model, który jest teraz intensywnie dyskutowany w bankach, gdyż potencjalnie jest to najprostszy sposób zapewnienia ciągłości dostępu do danych i pracy systemów na wypadek niedostępności centrów przetwarzania danych posiadanych przez banki.
Z racji dużej dojrzałości oraz różnorodności rozwiązań dostarczanych przez dostawców chmurowych pozwoliłoby to najszybciej umożliwić świadczenie usług IT spoza Polski. Jednak niesie to też za sobą wiele ryzyk bezpieczeństwa, którymi trzeba należycie zarządzać, oraz wyzwań operacyjnych (zmiana modelu działania) i regulacyjnych. Wydaje się to właściwy kierunek z perspektywy zapewnienia ciągłości działania oraz ochrony interesów klientów. Natomiast, aby było to możliwe, musimy wykonać jeszcze trochę pracy.
Rozmawiała Elżbieta Rutkowska