czwartek, Listopad 15, 2018
Facebook
Home Tagi Wpis otagowany "cyberprzestępczość"

cyberprzestępczość

W 2017 roku ataki hakerskie dotknęły połowy polskich instytucji finansowych, przynosząc wielomilionowe straty. Nieustannie rośnie także liczba fałszerstw, kradzieży tożsamości oraz wyłudzeń kredytowych. Skalę wyłudzeń i nadużyć, zidentyfikowanych w poszczególnych latach, pomaga określić coroczne, prowadzone od 2009 roku, badanie Konferencji Przedsiębiorstw Finansowych i EY „Nadużycia w sektorze finansowym”. Trwa właśnie kolejna edycja tego wyjątkowego projektu badawczego.

Badanie „Nadużycia w sektorze finansowym” to pierwsze badanie z zakresu wyłudzeń, które obejmuje niemal cały rynek finansowy. Jego celem jest zobrazowanie zjawiska nadużyć występujących w instytucjach działających w różnych sektorach rynku usług finansowych w Polsce. Adresatami zaproszenia do wypełnienia ankiety są eksperci, którzy na co dzień zajmują się przeciwdziałaniem nadużyciom, posiadający wiedzę i doświadczenie w tym zakresie. Instytucje, które odpowiadają założeniom co do zakresu podmiotowego badania, to banki, firmy leasingowe, instytucje pożyczkowe, firmy pośrednictwa kredytowego, zakłady ubezpieczeń, firmy telekomunikacyjne, a także centra usług wspólnych dedykowane branży finansowej.

 Przeciwdziałanie nadużyciom w sektorze finansowym to ciągły wyścig z oszustami, którzy w błyskawicznym tempie opanowują nowe techniki i metody popełniania przestępstw. Instytucje starają się być zawsze o krok przed nimi. Szukając najlepszych metod przeciwdziałania nadużyciom, balansują pomiędzy skutecznością a ekonomią. EY, wraz z Konferencją Przedsiębiorstw Finansowych, po raz kolejny podjął się próby zbadania jak instytucje radzą sobie w tym wyścigu – mówi Mariusz Witalis, Partner EY.

Raport, który powstaje w oparciu o wyniki badania, przedstawia obserwacje i wnioski wspólne dla instytucji finansowych, które biorą udział w badaniu. Tym samym stanowi niezwykle ważny element w zakresie ochrony profesjonalnych uczestników rynku finansowego i wspierania ich stabilnego rozwoju.

– Dla praktyków gospodarczych rynku finansowego niezmiernie ważnym jest, by posiadać wciąż aktualną wiedzę na temat skali oraz dostępnych możliwości i narzędzi do walki z wyłudzeniami. Na tak określone wyzwanie, musimy, także wspólnie, poszukiwać efektywnej odpowiedzi, korzystając z dynamicznego rozwoju nowych technologii w branży i stale doskonaląc swoje systemy do wykrywania oszustw pod kątem nowych metod i technik w obszarze wyłudzeń. Opracowanie, które powstaje w wyniku realizacji naszego wspólnego projektu badawczego, jest od wielu już lat źródłem praktycznych wskazówek, które pomagają w walce z tym zjawiskiem – wyjaśnia Andrzej Roter, Prezes Zarządu KPF.

Raport z badania każdego roku jest prezentowany podczas Kongresu Antyfraudowego, organizowanego przez KPF. W tym roku wydarzenie to odbędzie się 24 października w Warszawie.

Jak wskazuje ostatni raport z badania, nadużycia najczęściej dotyczą podstawowej działalności. Nie dziwi fakt, że banki najczęściej spotykają się z nadużyciami związanymi z wyłudzeniami kredytów, firmy leasingowe z przywłaszczeniem przedmiotu leasingu, a firmy pożyczkowe z wyłudzeniami pożyczek. Spośród badanych instytucji największy problem z cyberprzestępczością mają banki. Ubiegłoroczne badanie pokazało również, że pomimo różnic występujących pomiędzy badanymi instytucjami, wyzwania, z jakimi się mierzą oraz główne trendy, są aktualne dla wszystkich instytucji finansowych. Należą do nich: zauważalne nasilenie zjawiska cyberprzestępczości, dalsza specjalizacja funkcji antyfraud oraz stabilizacja w obszarze nakładów na walkę z nadużyciami.

Według szacunków cyberprzestępczość każdego roku kosztuje globalną gospodarkę prawie 500 mld dolarów. Co więcej na atak cybernetyczny narażone są zarówno duże korporacje jak i małe i średnie przedsiębiorstwa. Czy można się przed tym uchronić? Jak zadbać o bezpieczeństwo danych, aby ustrzec się przed konsekwencjami atakami hakerów?

W 2017 roku wirus komputerowy Wannacry zainfekował tysiące firm w Europie, a według specjalistów spowodował największe od dziesięcioleci szkody gospodarcze. Sparaliżowany ruch kolejowy na terenie Niemiec, nie działające komputery w brytyjskich szpitalach, zatrzymanie produkcji we francuskich fabrykach samochodów – to tylko niektóre przykłady szkód wywołanych atakiem. Specjaliści szacują, że straty spowodowane tym atakiem wyniosły ok. 1 miliarda euro na całym świecie. Jednak Wannacry to tylko jeden z wielu takich ataków. Według analityków, cyberprzestępczość każdego roku kosztuje globalną gospodarkę prawie 500 miliardów dolarów.

400 000 złośliwych programów dziennie

Eksperci szacują, że do 2020 roku światowa sieć komputerowa będzie liczyła trylion urządzeń, z czego 50 miliardów z nich będzie współdzielić dane. Jednocześnie Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) rejestruje codziennie, tylko na terenie Niemiec, prawie 400 tys. nowych, szkodliwych programów atakujących zarówno prywatnych użytkowników jak i firmy – zarówno małe przedsiębiorstwa jak i wielkie korporacje. Globalnie, liczba ta jest znacząco wyższa. – Na szczęście coraz więcej firm jest świadomych tych zagrożeń. Ma to swoje odzwierciedlenie w Barometrze Ryzyk Allianz. 40 proc. managerów firm na całym świecie wskazało, że  ataki hakerskie i cyberataki należą do trzech największych zagrożeń dla ich firm w 2018 roku. Managerowie zdają sobie sprawę, że następstwem takich ataków są zakłócenia w funkcjonowaniu przedsiębiorstw, duże ryzyko biznesowe i straty finansowe – mówi Włodzimierz Pyszczek, menedżer wydziału ubezpieczeń ryzyk finansowych, Allianz Polska

Czy polskie firmy są przygotowane?

Jak wynika z raportu PwC „Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście”[1] tylko w 2017 roku, w wyniku cyberataków straty finansowe poniosło 44% polskich przedsiębiorstw, a 62% odnotowało zakłócenia i przestoje w funkcjonowaniu. Dlatego niezwykle istotne jest, aby osoby zarządzające zdawały sobie sprawę, że cyberzagrożenia to nie tylko problem działów IT, ale przede wszystkim duże ryzyko strat biznesowych. Jednak nie tylko cyberprzestępczość jest zagrożeniem dla firmy i jej sprzętu komputerowego. Często przyczyną szkód są  błędy użytkownika. – Firmy muszą pamiętać, że wraz z rozwojem nowych technologii, wzrasta nie tylko ryzyko wystąpienia ataku hakerskiego, ale też zdarzenia niepożądanego, które może być efektem działania pracowników. Wystarczy niewłaściwe naciśnięcie przycisku, aby utracić dane i narazić firmę na znaczne straty – dodaje Włodzimierz Pyszczek, Allianz Polska

Odpowiednie ubezpieczenie chroni sprzęt i dane firmy

Klasyczne ubezpieczenia korporacyjne nie pokrywają w wystarczającym stopniu szkód spowodowanych utratą danych lub ich manipulacją. – Prosty przykład: jeśli złośliwe oprogramowanie wstrzyma kontrolę maszyny, a w rezultacie całą produkcję, jednak nie spowoduje żadnych uszkodzeń sprzętu, z punktu widzenia standardowego ubezpieczenia nie doszło do szkody. Dlatego w dzisiejszych czasach, niezwykle ważne jest rozszerzenie ochrony o dedykowane ubezpieczenia chroniące przed cyber atakami – komentuje Włodzimierz Pyszczek, Allianz Polska.

Cyber polisy chronią firmy nie tylko przed przestojami w produkcji czy zakłóceniami w działalności, ale zabezpieczają także ewentualne roszczenia klientów, które mogą wystąpić po ataku hakerskim lub innym nieuprawnionym ujawnieniu danych, w szczególności danych osobowych. Ten element jest obecnie szczególnie istotny, gdyż w ostatnim okresie, zwłaszcza w kontekście wejścia w życie przepisów RODO, obserwujemy znaczne podniesienie świadomości społecznej, jeśli chodzi o wagę ochrony prywatnych danych. Każdy przypadek ujawnienia danych powodować będzie dla firmy realne koszty, w tym: wynagrodzenie informatyków śledczych, prawników, a także grzywny i kary nakładane przez Urząd Ochrony Danych Osobowych (kary za ich utratę mogą sięgać do 20 milionów euro lub do 4% globalnych przychodów firmy). Koszty te mogą zostać zrefundowane polisą ubezpieczenia Cyber.

Każdorazowo przed wyborem ubezpieczenia, firmy powinny dokładnie przeanalizować własne ryzyko i potencjalne szkody, aby dobrać taki produkt, który będzie odpowiadał na ich potrzeby. Polityka bezpieczeństwa danych wymaga odpowiedniego zarządzania – zaczynając od opracowania strategii dotyczącej zabezpieczenia sieci i urządzeń mobilnych, a kończąc na odpowiednim przeszkoleniu pracowników w zakresie bezpieczeństwa i ochrony danych.

[1] https://www.pwc.pl/pl/media/2018/2018-02-06-pwc-cyber-ruletka-po-polsku.html

Do prowadzenia sprawnej i efektywnej polityki w zakresie cyberbezpieczeństwa w Unii Europejskiej potrzebne są odpowiednie regulacje prawne. Powinny one zagwarantować  większą współpracę, w tym publiczno – prywatną i zapewniać dużą elastyczność funkcjonowania firm – napisała Konfederacja Lewiatan w stanowisku dotyczącym tzw. pakietu cyberbezpieczeństwa.

W liście do minister cyfryzacji Anny Streżyńskiej pracodawcy przedstawili pozytywną opinię do najważniejszych założeń tzw. pakietu cyberbezpieczeństwa.

– Popieramy wprowadzenie certyfikacji bezpieczeństwa cybernetycznego, bo przyczyni się do wzrostu zaufania konsumentów i jakości bezpiecznych produktów, usług oraz do szybszego rozwoju unijnego rynku Internetu Rzeczy (IoT), także w aspekcie transgranicznym. Certyfikacja powinna być dobrowolna. Tym samym, nie będzie stanowiła niepotrzebnej bariery wejścia dla start-up-ów i firm eksperymentujących z innowacyjnymi produktami i usługami, a jednocześnie może stanowić czynnik konkurencyjności pomiędzy firmami – mówi dr Aleksandra Musielak, ekspertka Konfederacji Lewiatan.

Konfederacja Lewiatan widzi też konieczność podjęcia szybkich kroków, w celu skutecznego  rozpoznawania  firm dopuszczających się cyberprzestępstw, doskonalenia pracy organów ścigania i poprawy prawa karnego.

– W polskim kodeksie karnym wciąż brak jest definicji takich pojęć jak: przestępczość komputerowa, przestępczość internetowa, cyberprzestępczość, co pośrednio przekłada się na ograniczone możliwości ich ścigania, a także na brak odpowiedniej znajomości zagadnień Internetu/nowych technologii przez policję, prokuraturę i sądy – dodaje dr Aleksandra Musielak.

Lewiatan ma nadzieję, iż implementacja przepisów unijnej dyrektywy w sprawie zwalczania fałszowania i oszustw związanych z bezgotówkowymi środkami płatniczymi w pewnej mierze przyczyni się do poprawy sytuacji w tym zakresie.

Przypadki naruszania prawa własności intelektualnej, kradzieży treści chronionych prawem, przechwytywania danych zgromadzonych na komputerach prywatnych i firmowych czy żądania okupu za przywrócenie danych wymagają z pewnością skutecznej reakcji i ukrócenia, lub przynajmniej zminimalizowania ich skali.

Konfederacja Lewiatan zgadza się, że ważnym aspektem bezpieczeństwa cybernetycznego powinna być edukacja. Istotne jest zarówno kształcenie odpowiednich kompetencji i umiejętności począwszy od szkolnictwa na poziomie podstawowym, po szeroko zakrojone kampanie edukacyjne adresowane do całego społeczeństwa, w tym do ludzi starszych, którzy są zazwyczaj stosunkowo łatwowierni i nie posiadają zbyt rozwiniętych kompetencji cyfrowych.

Źródło: Konfederacja Lewiatan

 

– Kto raz zdecydował się na logowanie do e-banku i przekonał się, że sprawdzenie konta z wykonaniem przelewu zajęły mu dosłownie kilka minut, nie wróci do tradycyjnej placówki i kolejek – mówi Jolanta Mróz z Kredyt Inkaso – fakt, że Polacy coraz bardziej kochają e-bankowość potwierdzają raporty finansowe. Eksperci przypominają jednak, żeby korzystać z bankowości bezpiecznie.

Co to oznacza?

Aż 77 proc. dorosłych Polaków posiada rachunek oszczędnościowo-rozliczeniowy, a 66 proc. kartę płatniczą. Poza tym aż 87 proc. wynagrodzeń w Polsce wypłacana jest przelewem na konto osobiste – wynika z raportu „Zwyczaje płatnicze Polaków”, Narodowego Banku Polskiego.

Z kolei z corocznego raportu „Postawy Polaków wobec finansów” przygotowanego przez Fundację Kronenberga przy Citi Handlowy wynika, że spośród Polaków, którzy posiadają konto osobiste w banku, ponad połowa zarządza nim za pośrednictwem komputera lub telefonu (53 proc). Poza tym w sieci najczęściej dokonujemy przelewów (83 proc.) i sprawdzamy stan konta (70 proc.). E-bankowość jest coraz bardziej popularna. Korzysta z niej już 5 mln Polaków. Eksperci przypominają, że wraz z rozwojem e-bankowości rośnie cyberprzestępczość. Zanim więc zaczniemy logować się do banku, należy poznać zasady, które sprawiają, że e-bankowość jest bezpieczna.

 Oto 12 zasad, dzięki którym e-bankowość będzie bezpieczna:

  1. Przed zalogowaniem na stronę banku, należy zainstalować program antywirusowy. Osoba, z której konta zniknęłyby pieniądze, nie ma szans na ich odzyskanie w banku, jeśli takiego programu nie posiada.

    2. Przed logowaniem należy sprawdzić adres strony logowania. Adres musi zaczynać się od https://. Poza tym warto zwrócić uwagę, kiedy strona została założona.

    3. Hasło do konta powinno być skomplikowane, zawierać m.in. dużą literę, liczbę. Nie należy tworzyć haseł typu: imiona męża, żony, dzieci i ich dat urodzin.

    4. E-bankowość wymaga ostrożności. Nigdy nie należy podawać osobom trzecim loginu i hasła. Poza tym trzeba pamiętać też, że żaden bank nie wysyła wiadomości z prośbą o podanie tych danych. Z badań Citi Handlowy wynika, że 75 proc. badanych by tego nie zrobiła, to niepokojący jest fakt, że 12 proc. badanych była skłonna takie dane zdradzić.

    6. Cyklicznie należy zmieniać hasło do konta. Z badań Komisji Nadzoru Finansowego wynika, że aż 68 proc. nie zmienia cyklicznie hasła dostępu do konta.

    7. Koniecznie należy kontrolować historię rachunku. Jeśli jakaś transakcja wydaje się podejrzana, trzeba skontaktować się z bankiem. Z danych KNF aż 50 proc. nie sprawdza historii rachunku pod kątem podejrzanych transakcji.

    8. E-bankowość wymaga bezpiecznego logowania, dlatego nie należy korzystać z niesprawdzonych sieci podczas sprawdzania stanu konta czy robienia przelewów. Najbezpieczniejszy jest prywatny komputer. Nie należy logować się np. w kafejkach internetowych.

    9. W momencie pobrania aplikacji bankowej na telefon też należy zachować ostrożność. Przede wszystkim należy zacząć od założenia haseł, zarówno do telefonu, jak i do konta bankowego. W telefonie, w którym robimy przelewy, nie należy instalować dużej ilości innych aplikacji. Im mniej, tym lepiej.

    10. Korzystając z banku w laptopie czy smartfonie warto mieć niskie limity transakcji dziennych i miesięcznych. Takie limity można zmienić na czas wykonywania wysokiej transakcji, a następnie zmniejszyć.

    11. Karta do konta to także ważny element systemu e-bankowości. Przede wszystkim (choć zabrzmi to niewiarygodnie) nie można naklejać kartki z pinem na kartę. Niestety, ale mimo nieustannych alarmów, wciąż się to zdarza.

    12. Ważna jest także ochrona danych zawartych na karcie, zarówno danych osobowych, jak i numeru karty, jej daty ważności i trzycyfrowego numeru CVV lub CVC.

Niestosowanie się do zasad bezpieczeństwa jest ryzykowne. Po pierwsze narażamy swoje konto na opustoszenie, po drugie maleją szanse na odzyskanie środków. Jeśli eksperci banku stwierdzą, że nie mieliśmy programu antywirusowego, udostępniliśmy komuś dane lub logowaliśmy się z nieznanego komputera, nie mamy szans na odzyskanie nawet części pieniędzy. Dlatego warto stosować się do zasad. Szanse, że padniemy ofiarą hakerów maleją, a szanse na pomoc ze strony banku – rosną.

Źróło: Fundacja Zaradni

Cyberprzestępcy są przebiegli, bezwzględni i mają tylko jeden cel: uzyskać dostęp do danych wrażliwych w sieci firmowej. Polują nie tylko na dane osobowe, ale również pliki graficzne i wideo (na przykład z kamer monitoringu przemysłowego), mówi portalowi BiznesAlert.pl Elżbieta Mistachowicz, wiceprezes firmy Adrem Software.

Aby uniknąć ryzyka, przedsiębiorstwa muszą dbać o bezpieczeństwo swoich sieci. Jak to zrobić, gdzie szukać luk? Pomaga w tym system do monitorowania, który jest potężnym arsenałem odgrywającym kluczową rolę w walce z cyberprzestępczością.

Wstępem do kwestii bezpieczeństwa w firmie jest wiedza na temat tego, czy wszystko w niej odpowiednio działa. Nie ma przecież żadnych korzyści z wdrożonych najnowocześniejszych systemów do ochrony, jeśli nie funkcjonują one prawidłowo i nie są na bieżąco instalowane aktualizacje. Dobry i inteligentny system do monitorowania sieci nieustannie czuwa: po pierwsze nad sprawnością całej sieci, ale również nad aktualnością zainstalowanych zabezpieczeń i nietypowymi sytuacjami lub odchyleniami od zwykłej pracy sieci. Wiedza o stanie infrastruktury sieciowej i wszystkich systemach w niej działających jest więc kluczowa i nie zastąpi nawet najlepszych i najdroższych inwestycji w urządzenia zabezpieczające.

Ważną kwestią zatem, oprócz monitorowania pracy sieci, jest zarządzanie kontami uprzywilejowanymi, które mają dostęp do danych wrażliwych znajdujących się w posiadaniu firmy. Trzeba zdawać sobie sprawę, że dotyczy to nie tylko bardzo dużych organizacji, ale także średnich i małych przedsiębiorstw oraz wszystkich urzędów czy instytucji publicznych. Jak pokazuje życie, w wielu z nich wciąż brakuje jasno zdefiniowanych, formalnych procedur związanych z bezpieczeństwem firmowych sieci. Co gorsza, firmy nie stosują nawet tak podstawowych zabiegów jak monitorowanie tego, kto i kiedy miał dostęp do tych danych, przetrzymywanych przez dłuższy czas na wypadek audytu. W tym aspekcie z pomocą przychodzi właśnie monitorowanie tego, kto ma dostęp do informacji wrażliwych, a szczególnie monitorowanie i audyt czynności wykonywanych przez pracowników uprzywilejowanych, czyli takich, którzy na co dzień mają dostęp do danych wrażliwych.

Systemy monitorujące współpracują z administratorami sieci, podając im informacje, kto i kiedy logował się do serwera lub innego zasobu z poufnymi danymi. Rejestrują też próby nieudanych zalogowań na konta użytkowników uprzywilejowanych, co może być próbą włamania do sieci.  Pokazują również działania lub sytuacje niestandardowe, które zarejestrowano poza godzinami pracy czy w wolne dni.

Źródło:biznesalert.pl

Branża finansowa, medyczna i motoryzacyjna znalazły się w centrum zainteresowania cyberprzestępców na świecie w 2016 roku. Nie obyło się także bez spektakularnych wycieków danych, a bezpieczeństwo w sieci stało się jednym z głównych tematów. W Polsce wciąż najczęstszymi ofiarami ataków są klienci banków – pisze w swoim podsumowaniu roku Marcin Ludwiszewski, dyrektor, lider obszaru cyberbezpieczeństwa w Deloitte.

Polska
Rok 2016 przyniósł nam strategię cyberbezpieczeństwa. Od pierwszych opracowań wskazujących istotność tego tematu (2004 rok – Zespół do spraw krytycznej infrastruktury teleinformatycznej powołany decyzją Przewodniczącego Kolegium ds. Służb Specjalnych) minęło ponad 10 lat. Wydaje się, że od tego czasu, jesteśmy najbliżej momentu stworzenia finalnego projektu systemu ochrony cyberbezpieczeństwa państwa opartego o stosowną ustawę. Istotną przeszkodą może być budżet, którego wartości nie określono w treści przedstawionej strategii.

Wydaje się również, że 2016 był przełomowy w tym względzie dla banków w Polsce, które zdobyły zaufanie pomagając stronie rządowej w procesie potwierdzania tożsamości obywateli w programie 500+. Bardzo prawdopodobny jest trend dalszego rozbudowywania tego typu usług. Sprzyjają temu strategiczne plany cyfryzacji państwa i dotychczasowy brak kompleksowych rozwiązań tego typu po stronie rządowej.

Ciekawym wątkiem były również doniesienia o atakach na klientów banków z wykorzystaniem ich kont użytkowników systemów należących do operatów telekomunikacyjnych. Potwierdzają one, że zaproponowanie nowych usług i produktów dla klientów powinno być poprzedzone analizą ryzyka. Istotny jest najsłabszy punkt w ekosystemie płatności (bank, telekom, użytkownik), więc w tym sensie włączanie udogodnień dla użytkowników (usługa typu SMS to EMAIL) może zwiększać zagrożenie kradzieży. Pomimo sukcesów polskiej Policji i Prokuratury – szczególnie znaczące w tym roku było rozbicie grupy przestępczej w Lubelskiem, która miała charakter międzynarodowy i ukradła prawie 100 mln złotych m.in. wykorzystując oprogramowanie Timba.Klienci banków cały czas odczuwali zainteresowanie cyberprzestępców, zarówno poprzez kampanie typu phishing, jak i próby infekcji kolejnym iteracjami złośliwego oprogramowania. Jednocześnie w 2016 odnotowaliśmy cały czas popularne ataki typu skimming.

Świat
Sektor finansowy, który od lat jest na celowniku przestępców, przeszedł przede wszystkim prawdziwe tsunami spowodowane ujawnionymi w 2016 roku wcześniejszymi atakami o charakterystyce APT na system SWIFT (skradzione ponad 81 milionów dolarów w ataku na Bank Centralny w Bangladeszu, 12 milionów w Banko del Austro w Ekwadorze, i doniesienia o próbach ataków na banki w 12 innych krajach).

W 2016 przedstawiono również realne próby ataków na karty kredytowe – naukowcy z Uniwersytetu Newcastle odkryli, że system autoryzacji płatności kartami VISA w Internecie jest podatny na rozproszone ataki zgadywania prawidłowego numeru karty, jej daty ważności oraz kodu CVV. Natomiast ponad 9 tysięcy klientów brytyjskiego Banku Tesco padło ofiarą prawdziwej kradzieży (suma ich strat sięgnęła około 2,5 mln funtów). Prawdopodobną przyczyną problemów banku Tesco były sekwencyjnie nadawane numery kart płatniczych, co jak nietrudno zauważyć, znacząco zwiększało szansę trafienia prawidłowej kombinacji. W tym roku również firma Group IB opisała serię ataków na systemy zarządzania bankomatami (inne niż znany wcześniej ataki tego typu np. poprzez malwareTyupkin) w bankach na całym świecie. Według autorów raportu udokumentowane ataki miały miejsce na Tajwanie i w Tajlandii a przestępcy prawdopodobnie próbowali także atakować banki w Polsce, Rosji, Wielkiej Brytanii, Holandii, Hiszpanii, Rumunii, Estonii, Bułgarii, Gruzji, Mołdawii, Kirgistanie, Armenii i Malezji. Jakkolwiek scenariusze na pewnym etapie wymagały specjalistycznej wiedzy i narzędzi, początkowym wektorem ataku był atak socjotechniczny ukierunkowany na pracowników banku – w wiadomości email nadawca podszywał się pod Europejski Bank Centralny lub dostawcę rozwiązań bankomatowych a do wiadomości dołączony był spreparowany dokument RTF wykorzystujący błąd CVE-2015-1641 (typu „memorycorruption”), który umożliwia przejęcie kontroli nad stacją użytkownika. Celem przestępców nie zawsze były ataki na kanały bankowości elektronicznej. W jednym z banków w Liechtensteinie, atakujący po tym jak wykradł dane klientów z banku oczekiwał „wsparcia” finansowego od klientów banku grożąc ujawnieniem ich danych finansowych.

W tym roku wyraźnie zaznaczył się również trend zainteresowania sektorem medycznym i motoryzacyjnym. Sektory te narażone są na zupełnie nowe kategorie zagrożeń, których nie doświadczały jeszcze kilka lat temu. Można stwierdzić, że szpitale stały się idealnym celem dla wymuszania okupu nie tylko z powodu oprogramowania złośliwego typu ransomware (np. Hollywood PresbyterianMedical Center), ale również w wyniku kradzieży danych medycznych i groźby ich ujawnienia (klinika sportowa w Atlancie). Cyberprzestępcy nauczyli się, że potencjalne zagrożenie zdrowia lub życia pacjenta bardziej motywuje do płacenia haraczu (zakładając, że szpital sam ma środki, aby taki okup zapłacić). W niedawnym badaniu firmy NCC Group szpitalom w Wielkiej Brytanii zadano pytanie, czy w ciągu ostatniego roku padły ofiarą ataku ransomware. 31 odmówiło odpowiedzi, 28 przyznało że było skutecznie zaatakowanych a jedynie 1 szpital poinformował, ze w ostatnim roku nie odnotował tego typu incydentów. W tym roku ujawniły się również liczne słabości samych urządzeń medycznych. W 2016 roku w 9 krajach Deloitte przeprowadził badanie 24 szpitali pod kątem bezpieczeństwa urządzeń medycznych podłączonych do sieci. Wynika z niego, że urządzenia posiadają hasła fabryczne, nie szyfrują komunikacji sieciowej, a w swoim cyklu życia ujawniają wiele podatności, którymi nikt nie zarządza. Potwierdziły to na przykład informacje o ujawnionych w 2016 roku podatnościach m.in. rozruszników i defibrylatorów firmy St. JudeMedical.

W branży motoryzacyjnej, w 2016 roku mogliśmy usłyszeć o udanych atakach na pojazdy marek niemieckich, japońskich i przynajmniej jednym ataku na producenta amerykańskiego. Natomiast Fiat, Chrysler oraz Tesla poinformowały o uruchomieniu programów Bug Bounty (wynagradzanie za zgłaszanie producentom znalezionych błędów w oprogramowaniu). Na konferencji Usenix badacze mieli pokazać, że pojazdy takich marek jak Volkswagen, Audi, Skoda, Alfa Romeo, Citroen, Fiat, Ford, Mitsubishi, Nissan, Opel oraz Peugeot wyprodukowane w ciągu ostatnich 20 lat są podatne na prosty w przeprowadzeniu atak kryptograficzny na system otwierania pojazdu. Wprowadzanie więc zasad „security by design”, analizy ryzyka i procesów monitorowania oraz odpowiedzi na incydenty stało się częścią życia producentów aut. Z resztą, wystarczy spojrzeć na ilość interfejsów udostępnianych w nowych pojazdach – USB, OBD II, Bluetooth, ECU, ADAS, DSRC, TPMS, i wiele więcej. Być może Euro ENCAP powinien rozważyć dodatkowe gwiazdy za bezpieczeństwo w klasie: Internet of Things.

Jeśli chodzi o trendy zagrożeń, istotny był również wzrostowy trend ataków tupu DDoS (odmowa usługi) z wykorzystaniem botnetów różnych urządzeń sieciowych (Internet of Things). Oprogramowanie złośliwe Mirai wykorzystywało podstawowe luki (np. hasła domyślne), aby infekować urządzenia (np. zdalne kamery, routery domowe), które tworząc botnety o wielkości do kilkuset tysięcy urządzeń były narzędziem do prowadzenia ataków DDOS na inne cele. Skutki takich ataków odczuli m.in. klienci firmy hostingowej OVH oraz firmy DYN, która świadczy m.in. usługi DNS dla wielu firm, w tym Amazona, Netflixa czy Twittera. Na świecie warto odnotować również akcję The ShadowBrokers – w sierpniu i grudniu opublikowane zostały dane określane jako narzędzia dedykowane do działań ofensywnych amerykańskiej Narodowej Agencji Bezpieczeństwa (NSA) stosowane przez departament Tailored Access Operations. Chyba nikt nie ma wątpliwości, jakie możliwości miała NSA już wiele lat temu.

Rok 2016 to również megawycieki, a właściwie w niektórych przypadkach ujawnienie wycieków, które wydarzyły się do kilku lat wstecz. Poza Mossak Fonseca, Yahoo i Linkedin przestrogą dla wszystkich powinna być współpraca dostawcami – w przypadku Michael Page i Capgemini – skutkująca wyciekiem 30GB danych klientów Michael Page. O podstawowych zasadach bezpieczeństwa przypominały nam stale informacje o poważnych (lub jak się okazywało później mniej poważnych) lukach w produktach każdego dużego producenta. Błędy nie ominęły też otwartych implementacji (m.in. OpenSSL, SSH, itd.). Inne ujawnione ciekawe ataki i błędy to m.in. DirtyCow w Linuxie (nieuprawnione lokalne podniesienie uprawnień), Bad Tunnel pokazany na Black Hat oraz potencjalny błąd w TorBrowser (również Firefox) umożliwiający prowadzenie ataków na użytkowników sieci Tor.

W wakacje izraelska firma NSO pokazała serię 0 Day na najnowszą wersję systemu iOS umożliwiająca przejęcie pełnej kontroli nad iPhonem poprzez kliknięcie w odpowiednio spreparowany link wysłany w wiadomości SMS. Warto zaznaczyć, że firma Zerodium za podatności 0 Day m.in. na system operacyjny iOS 10.x, płaci do 1 500 000 USD. A jeśli chodzi o kwoty w dolarach, to firma Cymmetria w tym roku wprowadziła swojego rodzaju polisę dla użytkowników swojej platformy do wykrywania ataków APT. Warunki programu zakładają, że klient otrzyma do 1 miliona dolarów, jeżeli zostanie potwierdzone, że atak APT, którego padł ofiarą, nie został wykryty przez opisywaną platformę.

Na koniec, trendem wartym odnotowania jest również na pewno dynamiczny i wszechobecny wzrost użycia słowa „cyber”. W 2016 roku mieliśmy więc chroniące nas cyberpatrole, ale również cyberłącza, cybermonday i cyberkalifat.

Autor: Marcin Ludwiszewski, dyrektor, lider obszaru cyberbezpieczeństwa w Deloitte

Jedynie 9 proc. światowych banków zakończyło wdrożenie strategii cyfrowej – wynika z raportu GFT Digital Banking Expert Survey. To niewielki, bo zaledwie 2 procentowy wzrost w stosunku do roku 2015. W porównaniu do ubiegłorocznych wyników widoczne jest jednak zdecydowane przesunięcie priorytetów banków. Respondenci przyznali, że najistotniejszym aspektem cyfryzacji jest dla nich zapewnienie bezpieczeństwa, które w roku ubiegłym znalazło się na miejscu 8. Wyzwaniem dla instytucji finansowych staje się więc pogodzenie wymagań klientów, którzy z jednej strony oczekują szybkich i wygodnych usług bankowych online, z drugiej wymagają zapewnienia bezpieczeństwa swoich danych. Coraz mocniej banki odczuwają też ciężar regulacji branży finansowej, które w tym roku znalazły się na miejscu drugim wśród istotnych dla respondentów barier we wprowadzeniu digitalizacji.

Najnowszy raport GFT poświęcony cyfryzacji banków, pokazuje, że jest to proces, który cały czas się toczy. Liczba instytucji, które ukończyły wdrażanie strategii cyfrowej wzrosła w przeciągu ostatniego roku z 7 do 9 procent. Liczniejsza natomiast jest grupa banków, które zakończyły tworzenie samej strategii – należy do niej 34 proc. respondentów. 60 proc. nadal nad nią pracuje. Oznacza to, że wiele instytucji finansowych wdraża rozwiązania cyfrowe na bieżąco, reagując na zmieniające się realia rynkowe. Raport wyraźnie pokazuje, że cyfryzacja jest pracą „na żywym organizmie”, wymagającą elastycznego reagowania na zmiany w bardzo wymagającym obecnie otoczeniu biznesowym.

Bezpieczeństwo w centrum uwagi

Jednym z największych wyzwań stojących przed bankami jest pogodzenie wymagań klientów, którzy oczekują możliwości sprawnego i szybkiego przeprowadzani transakcji w kanałach cyfrowych i mobilnych z redukcją ryzyka związanego z cyberprzestępczością. Z danych policji wynika, że na 5023 przestępstwa o charakterze bankowym odnotowane w  Polsce w 2015 r., aż 1117 dotyczyło e-bankowości. Na kwestie bezpieczeństwa zwraca również uwagę Komisja Nadzoru Finansowego, która w lipcu opublikowała zalecenia, zgodnie z którymi banki w swoich działaniach stosowały metodę „security first”, czyli przede wszystkim bezpieczeństwo. Rekomendacje KNF obejmują również wprowadzenie obowiązku podpisania przez klienta oświadczenia, że został on poinformowany o ryzyku związanym z operacjami bankowymi online. Nie zawsze jednak takie rozwiązanie jest możliwe, np. w przypadku usług zdalnych, takich jak bankowość mobilna.

O kluczowym znaczeniu zapewnienia bezpieczeństwa w procesie cyfryzacji bankowości przekonują wyniki raportu GFT. Respondenci zostali poproszeni o wskazanie najistotniejszych czynników decydujących o powodzeniu wdrożenia strategii cyfrowej. Na miejscu pierwszym jako czynnik sukcesu wymieniane jest właśnie bezpieczeństwo, które roku temu znalazło się zaledwie na miejscu ósmym. W ten sposób doświadczenie klienta spadło na miejsce drugie.

Wyzwaniem stojącym przed bankami jest pogodzenie zapotrzebowania na szybkie i wygodne cyfrowe usługi bankowe także w kanałach mobilnych z zapewnieniem bezpieczeństwa klientów. Z jednej strony klienci oczekują postępującej digitalizacji i nowoczesnych rozwiązań, zapewniających łatwość i szybkość wykonywania operacji bankowych. Z drugiej strony cyfryzacja nie może się odbyć kosztem bezpieczeństwa. Jednocześnie oba te wymogi trzeba pogodzić z wywierającymi coraz większą presję na rynek regulacjami prawnymi  ­– mówi Piotr Kania, Dyrektor Zarządzający GFT Polska.

 Jeśli chodzi o przeszkody w digitalizacji na jakie napotykają banki, widać wyraźnie, że coraz mocniej odczuwają ciężar regulacji. Ten czynnik znalazł się na miejscu drugim wśród barier we wprowadzaniu strategii cyfrowych, w porównaniu do miejsca piątego w roku ubiegłym.

Zbyt dużo danych?

Za kluczowe dla powodzenia cyfryzacji respondenci badania GFT uznali także umiejętne zarządzanie danymi. Co ciekawe, dla instytucji finansowych ważniejsza jest analiza istniejących danych, niż uzyskiwanie dostępu do nowych informacji. Dwa aspekty ocenione przez banki jako bardzo istotne to zarządzanie strukturyzowanymi danymi (72 procent) i dostęp do wszystkich typów wewnętrznych danych klientów (70 procent). Odpowiednia analiza danych ma strategiczne znaczenie z punktu widzenia relacji z klientami, dlatego automatyzacja procesów i integracja danych muszą stać się standardem w działaniach  banków.

Cyfryzacja wesprze także fizyczne placówki

Badanie The Digital Banking Expert Survey pokazuje również związek pomiędzy digitalizacją, a funkcjonowaniem tradycyjnych oddziałów. Pomimo, że ze statystyk jasno wynika, że liczba placówek bankowych ulega zmianie, tylko 5 proc. uczestników ankiety przyznało, że planują oni całkowitą rezygnację z fizycznych oddziałów. Wśród pozostałych respondentów, największa liczba banków (26 proc.) planuje tworzenie oddziałów mieszanych tzn. takich łączących tradycyjną obsługę klienta ze stanowiskami samoobsługowymi, w ramach których klienci realizują procesy bankowe za pomocą technologii cyfrowych. Niewiele mniej instytucji – 23 proc. – zamierza skupić się na punktach całkowicie samoobsługowych.

Redukcja liczby fizycznych oddziałów wynika z tego, że klienci preferują realizowanie prostych operacji bankowych online. Jednak badanie pokazuje, że banki nie są gotowe na to, aby całkowicie zrezygnować z tej formy kontaktu z klientem. Cyfryzacja bankowości nie sprawi więc, że oddziały bankowe całkowicie znikną, ale zmieni się sposób ich funkcjonowania. Oddziały bankowe będą ewoluować w stronę centrów doradczych, w których obsługiwane są bardziej złożone procesy ­– mówi Piotr Kania, GFT Polska.

 

O badaniu Digital Banking Expert Survey:

Ankieta została przeprowadzona przez GFT Technologies SE w siedmiu krajach: Brazylia, Niemcy, Wielka Brytania, Meksyk, Włochy, Szwajcaria oraz Hiszpania. W bieżącym roku liczba respondentów ankiety wzrosła dwukrotnie. Ogółem w ankiecie wzięło udział 260 osób zaangażowanych w sektor bankowości. Ponad połowa ekspertów to kadra zarządzająca średniego i wyższego poziomu.

 

 GFT

Eksperci

Bugaj: Kolejne ciosy w GPW

Polska transformacja ustrojowa stawiana jest za wzór innym krajom. Do pewnego czasu jednym z symboli...

Co łączy Włochy, Turcję i Rumunię?

Coraz gorsze perspektywy dla włoskiej gospodarki wyłaniają się z jesiennych prognoz Komisji Europejs...

Ten tydzień pod znakiem USA, Wielkiej Brytanii oraz Chin

W przyszłym tygodniu uwaga rynków najpierw skupi się na wynikach wyborów do Kongresu USA, gdzie wiel...

Niewiele potrzeba, by zburzyć spokój

Rynkowi z łatwością przychodzą zmiany kierunku, co podkreśla, z jak niskim przekonaniem odbywa się h...

Inflacja nie odpuszcza

We wrześniu wskaźnik cen towarów i usług konsumpcyjnych wzrósł o 1,9 proc., a więc tylko minimalnie ...

AKTUALNOŚCI

Zniesienia górnego limitu składek na ZUS nie będzie

14 listopada 2018 r. Trybunał Konstytucyjny wydał długo oczekiwany wyrok w zakresie zgodności z Kons...

Wtorek, 12 listopada w PE: debata o wieloletnich ramach finansowych, wystąpienie kanclerz Niemiec A

We wtorek 12 listopada w Parlamencie Europejskim odbędzie się debata na temat wieloletnich ram finan...

Przedsiębiorcy przeciwni zmianom w ordynacji podatkowej

W dniu 23 października 2018 roku Sejm RP przegłosował rządowy projekt ustawy o zmianie ustawy o poda...

Eksport to jeden z motorów polskiej gospodarki

Po I półroczu 2018 r. eksport osiągnął wartość 107,6 mld EUR, poziom o 5,7% wyższy niż przed rokiem ...

Tauron i KGHM łączą siły na rzecz rozwoju elektromobilności

TAURON i KGHM Polska Miedź rozpoczną współpracę w obszarze budowania infrastruktury ładowania pojazd...