Plus Bank dał sobie wykraść wrażliwe informacje mogące sporo powiedzieć o jego klientach. Jeśli stało się tak z powodu jego zaniedbania, musi się liczyć z kosztownym procesem zbiorowym
Największe ujawnione wycieki danych i ataki hakerskie / Dziennik Gazeta Prawna
Janusz Nawrat ekspert od bezpieczeństwa informatycznego, dyrektor w Raiffeisen Polbanku / Dziennik Gazeta Prawna

Przypadek Plus Banku nie jest ani pierwszy, ani ostatni. Przestępcy regularnie i z sukcesem atakują systemy informatyczne instytucji finansowych. A te zgadzają się na okup i zamiatają sprawę pod dywan

Eksperci nie mają wątpliwości: sektor bankowy nie jest wystarczająco przygotowany na ataki cyberprzestępców. – W latach 2013–2014 przeprowadziliśmy testy u kilkudziesięciu klientów. To były przede wszystkim sektor rządowy, przemysł, telekomunikacja i finanse. 8 5 proc. z nich miało u siebie zainstalowane szkodliwe oprogramowanie lub konie trojańskie. To oznacza, że ataki na te instytucje zakończyły się sukcesem – przyznaje wprost Robert Żelazo, dyrektor na region Europy Wschodniej firmy FireEye.

– Tego rodzaju incydenty zdarzały się i wciąż się zdarzają na całym świecie. Choć nie zawsze zaatakowane instytucje przyznają się do tego, że padły ich ofiarą – wskazuje Janusz Nawrat, dyrektor odpowiedzialny za bezpieczeństwo w Raif feisen Polbanku.

Opinia publiczna o udanych atakach hakerów na banki dowiaduje się bardzo rzadko. – Zazwyczaj dogadują się one z przestępcą i cała sprawa zostaje zamieciona pod dywan – mówi pragnący zachować anonimowość ekspert ds. bezpieczeństwa. Dodaje, że nieraz banki wynajmują innych hakerów, aby wyśledzić atakującego.

Nadzór rynku finansowego na pytania DGP o skalę zjawiska odpowiada, że ze względu na ustawowy obowiązek zachowania tajemnicy nadzorczej nie może komentować indywidualnych spraw. Zapewnia jednak, że każdy istotny incydent jest przez KNF wyjaśniany. A w całym sektorze trwają właśnie inspekcje związane z wdrażaną od stycznia rekomendacją D, która dotyczy bezpieczeństwa IT w bankach. – Komisja oczekuje, że wnioski z tej sprawy zostaną wyciągnięte przez całą branżę – mówi Maciej Krzysztoszek z biura prasowego KNF. Pilną kontrolę w Plus Banku zapowiada też generalny inspektor ochrony danych osobowych.

O sprawie włamania do tej instytucji pierwszy napisał blog Zaufana trzecia strona. Bloger publikujący pod nickiem „Adam” poinformował, że haker Razor4 twierdzi, iż do serwerów banku dostał się pod koniec stycznia, wykorzystując błąd systemu wynikający z braku regularnych aktualizacji oprogramowania. Następnie przez kilka tygodni wykradał zgromadzone tam dane, w tym informacje o transakcjach i płatnościach kartami płatniczymi 100 tys. klientów.
Haker próbował porozumieć się z bankiem, ale po tym, jak został zignorowany, zwrócił się o pomoc w negocjacjach do redakcji portalu Niebezpiecznik.pl. Przesłał tam dane świadczące o tym, że atak był udany i że wszedł w posiadanie wielu cennych informacji.
Jak poinformował portal RMF24, w ostatni weekend haker rozpoczął publikację danych w internecie. Ponoć po tym, jak szantażowany przez niego bank odmówił mu wypłaty 200 tys. zł.
Bank przyznaje: w I kw. tego roku stał się celem ataku przestępców internetowych. Nie chce jednak zdradzić, jakie dane wykradziono oraz jakiej liczby klientów to dotyczy. – Temat został nagłośniony, ale przypominam, że incydent ma charakter historyczny. Żaden z klientów nie poniósł uszczerbku finansowego. Ich środki były i są bezpieczne – podkreśla Mikołaj Jabłoński z biura prasowego banku. Jego zdaniem Plus Bank nie oszczędzał na zabezpieczeniach, a systemy zostały opracowane i wdrożone przez jednego z liderów IT w Polsce. W odpowiedzi na atak bank je wzmocnił i dodatkowo zabezpieczył. – Wymuszono też na klientach wymianę haseł do systemu bankowości elektronicznej Plusbank24.pl z dodatkową metodą autoryzacji – zastrzega Jabłoński. Dodaje, że od początku wykrycia ataku bank współpracuje z organami ścigania w celu wykrycia sprawcy.
Eksperci podkreślają jednak, że bezpieczeństwo środków to nie jest jedyny problem, który spowodował atak hakera. Wyrządził on nieodwracalne szkody, publikując dane w sieci. Jeśli się okaże, że wyciek nastąpił ze względu na zaniedbania w banku, instytucja będzie musiała się tłumaczyć przed Komisją Nadzoru Finansowego i generalnym inspektorem ochrony danych osobowych.
– W banku została już zaplanowana kontrola. Zostanie przeprowadzona w jak najszybszym terminie. Za nieprzestrzeganie zasad ochrony danych osobowych ustawa przewiduje odpowiedzialność karną – przypomina Małgorzata Kałużyńska-Jasak, dyrektor zespołu rzecznika prasowego w GIODO. Za niewłaściwe zabezpieczenie danych osobowych, czego konsekwencją jest ich zabranie przez osobę nieuprawnioną lub ich uszkodzenie czy zniszczenie, grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2.
– Klienci poszkodowani z winy banku mają prawo do rekompensaty, a w przypadku sporów prawnych z bankiem jest możliwość skorzystania z centrum mediacji sądu polubownego przy KNF – dodaje Maciej Krzysztoszek z biura prasowego komisji.
Zdaniem ekspertów skala włamania świadczy o tym, że bank był kiepsko zabezpieczony przed hakerem. – To nie był finezyjny atak nakierowany na kradzież konkretnych danych. Złodziej tygodniami przesyłał z serwerów banku gigabajty danych. Jak można było tego nie zauważyć? – zastanawia się pragnący zachować anonimowość ekspert, zajmujący się testowaniem systemów bezpieczeństwa w bankach. Dodaje, że organy nadzoru przede wszystkim powinny sprawdzić, czy, a jeśli tak, to kiedy ostatnio w Plus Banku został przeprowadzony audyt bezpieczeństwa oraz jakie są tam stosowane procedury zabezpieczeń. – Jeśli okaże się, że wina leży po stronie banku, grozi mu kosztowny pozew zbiorowy – ocenia ekspert.
OPINIA
Takie incydenty zdarzały się i wciąż się zdarzają na całym świecie
Ataki takie jak ten, o którym jest ostatnio tak głośno, określane są skrótem APT (od anglojęzycznej nazwy zagrożenia: Advanced Persistent Threats). Po polsku nazywa się je atakami ukierunkowanymi. Tego rodzaju incydenty zdarzały się i wciąż się zdarzają na całym świecie, choć nie zawsze zaatakowane instytucje przyznają się do tego, że padły ich ofiarą. Każda organizacja, niezależnie od tego, czy jest to instytucja finansowa jak bank, czy jakakolwiek inna firma, może stać się ofiarą tego rodzaju ataku. Oczywiście nie zawsze tego rodzaju atak musi zakończyć się katastrofą, bo bardzo często bywa tak, że jest on na wczesnym etapie identyfikowany i udaremniany przez ekspertów od zarządzania bezpieczeństwem systemów informatycznych.
Pierwszym etapem ataku jest na ogół zainfekowanie komputera użytkownika końcowego, czyli pracownika banku lub kontraktora realizującego jakieś prace zlecone mu przez bank, szkodliwym oprogramowaniem (wirusem). Infekcja następuje na zewnątrz organizacji, kiedy użytkownik, będąc podłączony swoim laptopem do sieci domowej, sieci osiedlowej lub hotspotu WiFi, odwiedza serwery WWW z zainfekowaną treścią. Co ciekawe, współczesne wirusy używane do tego rodzaju ataków potrafią w sprytny sposób uniknąć wykrycia przez program antywirusowy, stosując różne mechanizmy zaciemniania swojego kodu. W kolejnych etapach ataku zainfekowany komputer użytkownika końcowego wykorzystany jest jako przyczółek do dalszych działań agresorów – rozpoznania podatnych na ataki systemów wewnętrznych i ich atakowania metodami najlepiej dopasowanymi do rodzaju wykrytych luk w bezpieczeństwie systemów wewnętrznych.
Banki mogą bronić się przed takimi zagrożeniami, stosując zabezpieczenia wielopoziomowe, które zawsze są najskuteczniejsze, w przeciwieństwie do zabezpieczeń – powiedziałbym – punktowych. Nie powinny polegać wyłącznie na programie antywirusowym, ale korzystać kompleksowo także z systemów przeciwdziałających włamaniom, monitorujących ruch w sieci wewnętrznej, wykrywających fraudy, przeciwdziałających wyciekom informacji, śledzących anomalie w systemach, analizujących zdarzenia istotne z punktu widzenia bezpieczeństwa i kontrolujących logi systemowe oraz dzienniki zdarzeń systemów, by wspomnieć tylko o tych podstawowych.
Czy w tym konkretnym przypadku, o którym dziś tak głośno, można zarzucić bankowi niedbalstwo? Trudno powiedzieć. Być może doszło do zaniedbań, ale nie mamy na to żadnych dowodów.