CSIRT GOV podległy szefowi ABW stoi na straży bezpieczeństwa systemów teleinformatycznych administracji publicznej, a CSIRT MON pilnuje obszarów podległych resortowi obrony. Za kilka tygodni na mapie cyberbezpieczeństwa przybędzie jeszcze jeden zespół, który będzie trzymał pieczę nad sektorem finansowym. To CSIRT Komisji Nadzoru Finansowego.

Pieniądze przede wszystkim

‒ Pandemia koronawirusa, podczas której wiele aktywności przeniosło się do internetu, powoduje, że przybyło również zagrożeń i trzeba się spodziewać, że będzie ich coraz więcej. Widać to choćby po lawinowym wzroście ataków phishingowych, wyłudzeniach informacji, wyciekach danych itd. Dlatego startujemy już teraz – mówi Sławomir Flis, dyrektor zarządzający Pionem Innowacji i Technologii w Urzędzie KNF.

Z badań, jakie przeprowadzono wśród 5,4 tys. firm z USA, Wielkiej Brytanii, Belgii, Francji, Niemiec, Hiszpanii i Holandii, wynika, że w 2018 r. cyberatak dotknął 45 proc. przedsiębiorstw, a w ubiegłym roku już 61 proc. Większość cyberprzestępców kieruje się motywami finansowymi, ale szpiegostwo – w tym gospodarcze – odpowiada już za jedną czwartą włamań do systemów.

Formalnie zespół KNF zacznie działać od 1 lipca. Jego powstanie to pokłosie ustawy o krajowym systemie cyberbezpieczeństwa, która nałożyła na nadzór nowe obowiązki. Za ich realizację odpowiada w urzędzie powstały w kwietniu ubiegłego roku Departament Cyberbezpieczeństwa.

‒ Chcemy wspierać cały rynek finansowy w radzeniu sobie z zagrożeniami cyberbezpieczeństwa i należy przez to rozumieć nie tylko sektor bankowy, lecz także sektory ubezpieczeniowy oraz kapitałowy. Takie holistyczne podejście podyktowane jest charakterystyką cyberzagrożeń. Mamy bowiem zagrożenia o charakterze globalnym, które mogą uderzać w dowolny sektor gospodarki, jak energetykę, transport czy instytucje finansowe, ale są pewne zagrożenie ściśle związane z rynkiem finansowym – mówi nam szef departamentu Krzysztof Zieliński.

Ze statystyk policji wynika, że liczba ataków skierowanych na użytkowników e-bankowości w kraju stale rośnie. Tylko w pierwszym półroczu 2019 r. odnotowano blisko 3 tys. przestępstw tego typu. W całym 2018 r. było ich 3,6 tys. KNF dzięki inspekcjom, jakie prowadzi w instytucjach finansowych, ma świadomość skali problemu. Chce, aby banki czy ubezpieczyciele mieli pewność, że zgłaszając problem do CSIRT, mogą liczyć na dyskrecję.

‒ Relacja zaufania pomiędzy podmiotem zgłaszającym incydent a zespołem CSIRT jest dla nas kluczowa, nie będzie więc takiej sytuacji, że np. bank X padł ofiarą ataku, a my dzwonimy do reszty sektora, informujemy ich o tym i mówimy: „Przygotujcie się”. Wszystkie informacje, ostrzeżenia i alarmy o tym, że pojawiło się jakieś zagrożenie o takim czy innym charakterze i należy się do niego przygotować w konkretny sposób, będą przekazywane w sposób w pełni zanonimizowany – podkreśla Zieliński.

Zespół będzie m.in. analizował trendy czy zagrożenia specyficzne dla polskiego sektora finansowego. Później będzie dystrybuował informacje o nich do podmiotów nadzorowanych. Część z nich działa dzisiaj w różnego rodzaju organizacjach czy strukturach pozwalających wymieniać się informacjami i wiedzą, ale zdecydowana większość działa w tym obszarze jak samotne wyspy. W Związku Banku Polskich działa np. Bankowe Centrum Cyberbezpieczeństwa.

‒ Banki są atakowane najczęściej, bo tam są pieniądze i wrażliwe dane klientów. Dzisiaj coraz rzadziej mamy fizyczne napady na oddziały, wystarczy komputer i sprawny haker – mówi nam przedstawiciel jednego z banków. Jego zdaniem inicjatywa KNF jest słuszna, bo dotąd sektor finansowy incydenty komputerowe mógł zgłaszać do CSIRT NASK, który wspiera wszystkie pozostałe podmioty działające w obrocie gospodarczym, administrację samorządową i zwykłych obywateli.

‒ Rozwiązanie nadzoru będzie, jak rozumiem, uszyte bardziej na miarę wyzwań rynku finansowego, co oznacza precyzyjną reakcję ‒ podkreśla nasz rozmówca.

Nadążyć za przestępcami

Dodatkowo CSIRT KNF będzie pomagał mierzyć się z zagrożeniami międzysektorowymi. Dzisiaj jeśli podmioty nie są w jednej grupie kapitałowej, nie dzielą się informacjami.

‒ W obecnych czasach nie uda się bez takiej wymiany skutecznie opierać się cyberprzestępcom. My umożliwimy wymianę wiedzy, doświadczeń i informacji z zapewnieniem dyskrecji. Będziemy też wspierali i koordynowali proces reagowania na incydenty cyberbezpieczeństwa oraz prowadzili analizę darknetu (sieci TOR), w której sprzedawane są np. wykradzione numery kart kredytowych, konta bankowe, loginy i hasła oraz inne dane wrażliwe pochodzące z kradzieży – tłumaczy szef Departamentu Cyberbezpieczeństwa KNF.

Zdaniem Zielińskiego duże, komercyjne banki mają odpowiednie know-how, wyspecjalizowanych ludzi i narzędzia, dzięki czemu potrafią sobie poradzić z zagrożeniem same. Ale już bank spółdzielczy czy inny podmiot prowadzący działalność, np. kapitałową, niekoniecznie musi być do tego przygotowany. Nawet jeśli zidentyfikuje takie zagrożenie, to może nie wiedzieć, jak zareagować.

‒ Na CSIRT KNF będą mogli liczyć wszyscy – mówi rozmówca DGP. I przypomina, że apele o powołanie takiego zespołu napływały do nadzoru z rynku. ‒ Często pojawiają się bowiem incydenty, których analizę należy prowadzić pod kątem tego, czy nie mają wspólnego mianownika, pozwalającego na kompleksową, wyprzedzającą reakcję całego rynku finansowego. Możemy mieć do czynienia z sytuacją ataku np. jednocześnie na trzy instytucje. Na podstawie analizy charakteru tego ataku warto wtedy ostrzec inne podmioty i przygotować je do jego odparcia, do stosownej reakcji. To będzie jedno z zadań CSIRT – tłumaczy Zieliński.