Polskie banki i Komisja Nadzoru Finansowego celem cyberataku

Od razu śpieszymy z uspokojeniem, że nasze pieniądze na razie są bezpieczne, o ile możemy w ogóle mówić o bezpieczeństwie środków gromadzonych w cyfrowych, rozproszonych, narzędziach finansowych. Tym razem atak, jakkolwiek groźnie to nie brzmi, dotyczył przede wszystkim danych, które gromadzą instytucje sektora bankowego.

Pieniądze bezpieczne, ale to nie oznacza, że jest OK

Można odetchnąć z ulgą, ale od razu rodzi się wątpliwość, czy atak na pewno nie był dla nas szkodliwy. Mimo zapewnień Jacka Barszczewskiego z Departamentu Komunikacji Społecznej KNF, że urząd działa bez zakłóceń, a funkcjonowanie banków nie jest zagrożone.

I słusznie, bo również dane są bardzo cenną zdobyczą, wszak to dzięki nim można kontrolować przepływ pieniędzy, a w domyśle także nimi zawładnąć. Niektórzy mówią, że najlepiej trzymać pieniądze w skarpecie. Takich osób jest jednak zapewne niewiele, a nawet jeśli tak zrobimy, to nie ma szans byśmy całkowicie odcięli się od cyfrowej finansowej infrastruktury państwa. Poza tym, jesteśmy członkami społeczeństwa, którego funkcjonowanie, nawet jeśli nie bezpośrednio, to pośrednio zależy od kondycji finansowej państwa.

Atak był - KNF nie zaprzecza

Był to atak skoordynowany, a rozprzestrzenienie się infekcji na niektóre banki miało miejsce poprzez stronę Komisji Nadzoru Finansowego (KNF). Zastosowano technikę wstrzykiwania szkodliwego kodu, który propagował się na komputery pracowników banków korzystających z dostępu do danych KNF.

Teoretycznie oprogramowanie zabezpieczające powinno poradzić sobie z tego typu zagrożeniem, ale po pierwsze nie wiemy dokładnie jaki jest status zabezpieczeń w infrastrukturze bankowej, a po drugie istnieją wyrafinowane techniki skutecznie ukrywające aktywność cyberprzestępcy. Przypuszcza się, że to właśnie tego typu atak (tzw. APT, Advanced Persistent Threat) miał miejsce. Oznaczałoby to, że nie można go bagatelizować, bo możemy mieć do czynienia z jednym z wielu rozgałęzień takiego ataku, albo prowokacją, która ma odciągnąć uwagę od innych poważniejszych zagrożeń.

KNF nie zaprzecza, że atak miał miejsce, ale też zapewnia, że jego celem były dane, a nie pieniądze. Zagrożenie nie pojawiło się z dnia na dzień - komputery były zainfekowane już od kilku miesięcy i dopiero teraz udało się wykryć zagrożenie. Dlatego stwierdzenie, że wykradziono tylko dane, jest bardzo powierzchowne - trudno powiedzieć jakie wnioski można wyciągnąć z danych monitorowanych i wykradanych przez kilka miesięcy.

Jacek Barszczewski, tak tłumaczy całe zajście.

„W Urzędzie Komisji Nadzoru Finansowego zidentyfikowana została próba ingerencji z zewnątrz w system informatyczny obsługujący stronę internetową www.knf.gov.pl. Wewnętrzne systemy raportowania przez podmioty nadzorowane funkcjonują niezależnie od systemu informatycznego obsługującego stronę internetową i pozostają bezpieczne. Prace Urzędu przebiegają w sposób niezakłócony. W sprawie tej zostało złożone zawiadomienie do właściwych organów ścigania, z którymi Urząd ściśle współpracuje. Strona internetowa www.knf.gov.plzostała wyłączona przez administratorów z UKNF w celu zabezpieczenia materiału dowodowego. Urząd pozostaje w bieżącym kontakcie z przedstawicielami nadzorowanych sektorów, w tym bankowego, których działalność nie jest w żadnym stopniu zagrożona.”

Kto ponosi winę

Działania mające na celu ustalenie, a raczej próbę ustalenia, kto stoi za wspomnianymi atakami na KNF, a w efekcie polskie banki, prowadzone są przez organa ścigania, w tym ABW. Czy jednak możemy liczyć na to, że będą one w stanie w pełni kompetentnie zająć się całą sprawą? Cyfryzacja polskiego społeczeństwa, choć postępuje, nie odbywa się w pełni kontrolowany sposób, a kłopoty z pozyskaniem funduszy są powszechnie znane, o czym często przypomina minister cyfryzacji Anna Streżyńska.

Obecnie nie jesteśmy w stanie zapewnić całkowitego bezpieczeństwa, a kompetencje wielu pracowników sektora finansowego pozostawiają sporo do życzenia. Nie są to czcze oskarżenia, sami przedstawiciele wyższych szczebli zarządzania przyznają, że spora część pracowników ma jedynie podstawowe umiejętności. Konsekwencje są oczywiste - bardziej cieszymy się statystykami związanymi z cyfryzacją, tabelkami i diagramami opisującymi ich strukturę, a bagatelizujemy faktyczny poziom wdrażanych zabezpieczeń jakie tej cyfryzacji towarzyszą.

Można powiedzieć (opinia własna), że system finansowy (w szczególności oprogramowanie) jest tworzone tak, by maksymalnie uprościć pracę szeregowym pracownikom, a nie, by korzystać z ich kompetencji i zapewniać wysoki poziom bezpieczeństwa.

Kto atakował i czy jest coś więcej

Wstępne doniesienia wskazują, że atakujący doskonale znali słabości naszego systemu finansowego. To jednak wiele nie wnosi, bo taka znajomość jest kluczowa jeśli atak ma się udać. Podobnie groźnie brzmią informacje, które wskazują na powiązania atakujących z największymi grupami cyberprzestępczymi na świecie oraz wywiadami innych państw.

W tym momencie wchodzimy na grząski grunt i możemy już jedynie spekulować. Jakiemu państwu lub organizacji zależy na destabilizacji polskiego systemu finansowego, dlaczego dzieje się to właśnie teraz i czy działania nie są powiązane ze zwiększoną ogólnoświatową aktywnością grup celujących w instytucje bankowe.

Mówić czy nie mówić

To pytanie pada niejednokrotnie podczas sympozjów poświęconych bezpieczeństwu. Co zyska przeciętny Kowalski dowiadując się o takim ataku? Czy dzięki temu będzie aktywniej dbał o swoje bezpieczeństwo finansowe? Raczej wiele nie zmieni w swoim podejściu do rzeczy. Banki po raz kolejny zweryfikują swoje zabezpieczenia, może poleci kilka głów, ale nadal będzie tak samo jak było.

Za przekonaniem by nie mówić przemawia argument nie siania niepotrzebnej paniki. Skoro już nic nie pomożemy, to dlaczego zaogniać sprawę? Szczególnie że pieniądze pozostały bezpieczne.

Źródło: Zaufanatrzeciastrona, gazeta.pl, KNF, inf. własna