Deloitte: Prawie 11 proc. budżetów działów IT instytucji finansowych przeznaczane jest na cyberbezpieczeństwo

cyberbezpieczeństwo haker

Biały wywiad cybernetyczny kluczowy w przeciwdziałaniu atakom hakerskim.

Wirusy w systemach transakcyjnych, wyłudzanie danych dostępowych, zdobywanie poufnych informacji bankowych na masową skalę – z takimi problemami sektor usług finansowych boryka się od dłuższego czasu. Jak oceniają eksperci firmy doradczej Deloitte, zyskały one na sile w czasie pandemii w związku z niemal powszechnie przyjętym zdalnym modelem pracy. Do poprawy sytuacji wielu podmiotów operujących na rynkach finansowych może skutecznie przyczynić się tzw. biały wywiad cybernetyczny, czyli Cyber Threat Intelligence. Dostarczenie w odpowiednim momencie wiarygodnych i rzetelnych informacji o potencjalnych zagrożeniach pozwala instytucjom podjąć odpowiednie kroki zaradcze. O tym podczas X Forum Bezpieczeństwa Banków mówił Adam Rafajeński, dyrektor, lider usług cyber w Deloitte.

Bezpieczeństwo cybernetyczne było kwestią newralgiczną dla instytucji finansowych jeszcze przed wybuchem epidemii koronawirusa, a średnie roczne koszty związane z atakami hakerskimi są bardzo wysokie. Według raportu “Reshaping the cybersecurity landscape” Deloitte o stopniu zaangażowania firm sektora finansowego w kontrolę cyberzagrożeń najlepiej świadczy rosnący poziom nakładów na programy bezpieczeństwa cybernetycznego.

Jak wynika z badania zrealizowanego przez zespół Cyber Risk Service Deloitte i Centrum Analizy Wymiany Informacji sektora finansowego (FS-ISAC), respondenci w 2020 r. wydawali na ten cel średnio ok. 10,9 proc. środków z budżetu informatycznego, podczas gdy rok wcześniej było to 10,1 proc., czyli ok. 0,48 proc. średnich przychodów tych instytucji (wzrost z 0,34 proc. w 2019 roku).

Mimo wzrostu wydatków, ich podział między poszczególne obszary walki z zagrożeniami utrzymuje się na zbliżonym poziomie. W 2020 r. doszło do spadków w zakresie bezpieczeństwa punktów końcowych sieci (do 15 proc. z 18 proc. w 2019 r.) oraz z 14 do 11 proc. w przypadku zarządzania prawami dostępu i tożsamością. Jednocześnie respondenci deklarowali zwiększenie odsetka kwot wydatkowanych na monitoring bezpieczeństwa i operacji w cyberprzestrzeni (z 20 do 21 proc.), na nadzór nad procesami cyberbezpieczeństwa oraz na odporność cybernetyczną – w obu przypadkach z 10 do 12 proc.

W warunkach pandemicznych pozafinansowe rodzaje ryzyka, także z zakresu cyberbezpieczeństwa, wymagają od instytucji finansowych większej czujności. Praca zdalna i możliwość, a czasami konieczność, załatwienia wielu spraw na odległość powodują, że rośnie ilość danych udostępnianych w sieci. Coraz więcej instytucji wykorzystuje je w nowych obszarach, np. badając wzorce behawioralne czy tworząc rozwiązania biometryczne. Rozwój innowacyjnych narzędzi stawia przed instytucjami finansowymi całkiem nowe wyzwania w zakresie zarządzania zasobami informatycznymi oraz przechowywania i zabezpieczania danych klientów.

Krok przed hakerem

Niezbędne okazuje się kompleksowe wsparcie w obszarze cybernetycznym, obejmujące m.in. przeprowadzanie testów i prewencyjną ocenę systemów bezpieczeństwa. Zadaniem Cyber Threat Intelligence (CTI), czyli białego wywiadu cybernetycznego, jest właśnie wykrycie zagrożeń niezależnie od stopnia ich zaawansowania. CTI przewiduje więc pojawienie się niebezpieczeństw, zanim przerodzą się w rzeczywiste ataki, a gdy do nich dojdzie, stara się uniemożliwić skuteczne włamanie. Jeśli natomiast zabezpieczenia zostaną złamane, działanie CTI ma ograniczać skalę potencjalnych kryzysów. Pozyskane w sposób wywiadowczy informacje pozwalają też zidentyfikować potencjalnych napastników, a możliwe cyberzagrożenia w sposób zrozumiały, także dla informatycznych laików, przekładają na konkretne zagrożenia biznesowe. Ta wiedza może posłużyć do odpowiedzialnego zarządzania profilem ryzyka i budowy adekwatnej strategii bezpieczeństwa.

CTI to wyjście krok do przodu, działanie wyprzedzające reaktywne sposoby zarządzania kwestiami bezpieczeństwa, które podejmowane są w konsekwencji już dokonanego ataku. Skupia się na efektywnym badaniu otoczenia danej instytucji i sprawdzeniu potencjalnych zagrożeń, które jeszcze się nie wydarzyły, a do których może jednak dojść. To doskonała taktyka uzupełniająca, dzięki której organizacja zyskuje więcej czasu na wypracowanie adekwatnych środków zaradczych – mówi Adam Rafajeński, dyrektor, lider usług cyber w Deloitte.

Trzy podstawowe zagrożenia

Zdaniem ekspertów Deloitte sektor usług bankowych narażony jest na działalność różnorakich podmiotów mogących stanowić zagrożenie dla jego systemów informatycznych. Przyświecają im dwa zasadnicze motywy postępowania. Po pierwsze, naruszają systemy zabezpieczeń, aby zdobyć dane uwierzytelniające użytkowników bankowości internetowej czy dotyczące ich kart płatniczych. Pozyskane informacje są następnie z zyskiem sprzedawane innym podmiotom. Po drugie, włamują się do sieci lub systemów narzędzi informatycznych, aby dzięki temu mieć możliwość przeprowadzenia oszustw na większą skalę niż jest to możliwe w przypadku naruszenia bezpieczeństwa poszczególnych kont lub kart klientów. Niektóre z takich ataków pozwoliły na jednorazowe kradzieże sięgające dziesiątków milionów dolarów.

Jak wynika z analiz Deloitte, można wyróżnić trzy rodzaje podmiotów podejmujących się tego typu działalności: atakujący wspierani i finansowani przez państwa, przestępcy motywowani finansowo oraz haktywiści. Dla osiągnięcia swoich celów posługują się przede wszystkim takimi narzędziami jak trojany bankowe, kradną dane kart płatniczych czy włamują się do sieci bankowych.

Trojany najczęściej wykorzystywane przez spodziewających się łatwego zysku hakerów, mają za zadanie obejść zabezpieczenia systemów bankowych, także te wspierane przez uwierzytelnianie wielopoziomowe. Zdobyte w ten sposób dane użytkowników są sprzedawane, np. na forach Darknetu. Przestępcy mogą w strukturach informatycznych zainstalować także dodatkowe złośliwe oprogramowanie, np. z kategorii ransomware, czyli blokujące dostęp do systemu komputerowego i żądające od ofiary okupu za przywrócenie dostępu do jej zasobów komputerowych.

Podstawowym obszarem działalności cyberprzestępców pozostaje jednak kradzież danych o kartach płatniczych i ich sprzedaż oszustom. Informacje zbierane są przy pomocy specjalistycznego złośliwego oprogramowania instalowanego w fizycznych punktach sprzedaży (PoS) lub poprzez nakładki skanujące w bankomatach. W związku z gwałtownym rozwojem e-handlu coraz powszechniej wykorzystywane są też programy do wyłudzania danych podczas transakcji przeprowadzanych online.

Wreszcie, możliwe są też działania w wymiarze masowym, które nieoficjalnie sponsorują rządy niektórych państw i które nie ograniczają się do wyłudzania informacji o pojedynczych użytkownikach. Włamania do systemów bankowych są w tym przypadku wykorzystywane do zdobycia dostępu do wyspecjalizowanych urządzeń pozwalających na przeprowadzenie oszustw na wielką skalę – takich jak serwery bankomatowe czy terminale systemu S.W.I.F.T.

Do skutecznej kontroli całego tego przestępczego ekosystemu nie wystarcza samo kupno systemu nadzorującego. Jak pokazują badania Cyber Threat Intelligence Survey przeprowadzone przez SANS, jeszcze kilka lat temu 57 proc. organizacji nie było zadowolonych z tego, co otrzymują w ramach białego wywiadu cybernetycznego, a 28 proc. z aktualności i kompletności tych usług. Co więcej aż 35 proc. instytucji nie posiadało ich integracji z systemami monitorowania i detekcji incydentów.

W ramach CTI niezbędne jest stałe monitorowanie, weryfikowanie poszczególnych parametrów i dopasowanie wykorzystywanych narzędzi do potrzeb konkretnej instytucji. Nie są to więc działania wycelowane w ochronę konkretnych urządzeń, ale mają za zadanie z wyprzedzeniem weryfikować kto i jaki potencjalny atak planuje przeprowadzić, kto go finansuje, z jakich metod planuje skorzystać i przede wszystkim, z jakimi konsekwencjami dla danej instytucji może się to wiązać.

Nasze doświadczenie pokazuje, że organizacje potrzebują biznesowego kontekstu prowadzonego monitoringu, zweryfikowanych informacji, z których mogą wyciągać wnioski i systemu, który pozwala na wykonanie konkretnych ruchów prewencyjnych. Cyber Threat Intelligence to zestaw urządzeń, narzędzi i procesów, których wspólne funkcjonowanie daje właśnie efekt w postaci rekomendowanych działań, profilu atakujących i grożących instytucji konsekwencjach – podsumowuje Adam Rafajeński.

O badaniu

Badania będące podstawą raportu „Reshaping the cybersecurity landscape” były prowadzone przez ostatnie trzy lata przez Centrum Analizy Wymiany Informacji sektora finansowego (FS-ISAC) wśród członków tej organizacji pełniących funkcję dyrektorów ds. bezpieczeństwa informacji (CISO) lub zajmujących stanowiska równoważne, we współpracy z zespołem ds. usług związanych z ryzykiem cybernetycznym – Cyber Risk Services Deloitte. Ostatnie z tych badań rozpoczęto pod koniec 2019 roku i zakończono 27 stycznia 2020 roku. Co roku wyniki badania są przedstawiane według roku publikacji – wyniki za rok 2020 dotyczą ostatniego badania, a poprzedzają je wyniki za rok 2019 i 2018. W ramach badania przeanalizowano różne aspekty działań instytucji finansowych w zakresie bezpieczeństwa cybernetycznego, w tym sposoby organizacji i zarządzania takimi działaniami, ścieżki raportowania, budżety, zainteresowanie zarządu zadaniami dyrektorów ds. bezpieczeństwa informacji, poziomy wydatków na różnych obszarach cyberbezpieczeństwa.