Ćwiczenia Cyber-EXE Polsko 2013 zostały przeprowadzone 29 października 2013 roku z inicjatywy Fundacji Bezpieczna Cyberprzestrzeń przy wsparciu Rządowego Centrum Bezpieczeństwa oraz firmy doradczej Deloitte.
W przedsięwzięciu wzięło udział 6 banków, 5 komercyjnych i jeden spółdzielczy. Jak wynika z raportu stworzonego przez Fundację Bezpieczna Cyberprzestrzeń banki komercyjne były dobrane tak, aby stanowić reprezentatywną grupę pod względem ich typów, formy własności, jak i oferty bankowości mobilnej i internetowej. Nazwy banków nie zostały jednak ujawnione, wiemy tylko, że były to instytucje z pierwszej dziesiątki pod względem sumy bilansowej.
Ćwiczenia ataku cyberprzestępców nie były oczywiście przeprowadzone na „żywym organizmie” systemu bankowego, dodatkowo każda z instytucji mogła poinformować swoich pracowników o ćwiczeniu. Scenariusz ataku zaczynał się od telefonu szantażysty do banku z żądaniem zapłaty pieniędzy. W przypadku nie spełnienia żądań strona banku miałaby zostać zablokowana, a w sieci pojawiłaby się fałszywa strona, informująca klientów o awarii i umożliwiająca zalogowanie się do pseudosystemu. W wyniku takich operacji klienci banków podaliby przestępcom swoje dane dostępowe do konta. Czyli klasyczny atak phishingowy.
Jak przedstawia raport, instytucje finansowe dobrze poradziły sobie z tymi problemami, procedury zadziałały właściwie. Oczywiście trudno wskazywać, jak wyglądałaby sytuacja z faktycznym atakiem, o którym banki nie byłyby wcześniej uprzedzone. Ciekawym wnioskiem z ćwiczeń był brak współpracy banków pomiędzy sobą i chęć rozwiązania problemu za wszelką cenę we własnym zakresie. Jest to o tyle groźne, że atak na pierwsze sześć banków mógłby być początkiem skonsolidowanej akcji na cały system bankowy w Polsce. „Wydaje się, że w czasie ćwiczeń, banki nie chciały odsłaniać przed sobą procedur, jak i infrastruktury systemowej. Stąd taka, a nie inna reakcja” – uważa Mirosław Maj, prezes Fundacji Bezpieczna Cyberprzestrzeń. Ponadto żaden z banków biorących udział w ćwiczeniu nie poinformował o zaistniałej sytuacji swojego regulatora, czyli KNF.
Ataki na sektor bankowy można podzielić na dwa rodzaje, równie groźne dla klientów. Pierwszy, to ataki bezpośrednio na klientów poprzez złośliwe oprogramowanie zainstalowane na komputerach, ale nie tylko. Te zagrożenia w związku z rozwojem bankowości mobilnej przenoszą się na nasze smartfony i tablety.
Drugim rodzajem ataków są bezpośrednie „uderzenia w banki, ich systemy i infrastrukturę” w tym szczególnie groźne ataki DDoS (ang. Distributed Denial of Service). Jest to działanie cyberprzestępców polegające na ingerencji w bankowy system komputerowy lub usługę sieciową w celu uniemożliwienia działania jej podstawowych funkcji, przeprowadzany z wielu komputerów. Umożliwiają one np. skuteczny phishing.
Jak wskazują wyniki raportu z ćwiczeń Cyber-EXE Polska 2013 pomimo dobrego działania procedur w bankach, instytucje powinny położyć większy nacisk na współpracę w tym zakresie.