Kým v minulosti lupiči chodili do banky so zbraňou, dnes väčšinou sedia za počítačom a snažia sa preniknúť do bankových systémov. Finančné inštitúcie preto vynakladajú množstvo úsilia i peňazí, aby dokázali zabrániť nabúraniu svojich systémov. „Občas môže byť niekto o krok pred nami, ak príde s inovatívnymi myšlienkami, ako prekonať našu ochranu. Vtedy musíme rýchlo reagovať. Ale väčšinou sú nebezpeční pre banku len tí prví, pretože hneď nastavíme potrebné opatrenia. Tí, čo len opakujú, čo už niekto vymyslel, pre nás až takú hrozbu nepredstavujú,“ vraví v rozhovore pre Finsider vedúci oddelenia informačnej bezpečnosti VÚB banky Vladimír Jančok.


V rozhovore sa dočítate:

  • Proti akým útočníkom by banka nemala šancu
  • Ako sa podarilo zlodejom nabúrať systém ruskej banky
  • Čo všetko by mohol útočník urobiť, ak by získal zamestnanecký prístup do banky
  • Prečo si útočníci vyberajú radšej výrobné firmy
  • Aký kybernetický útok na banku by klienti reálne pocítili

Banky neustále klientov upozorňujú na to, ako sa majú správať, aby podvodníci od nich nezískali prístupové údaje k účtu. Pripravujú sa aj banky na možný útok?

V bankovom prostredí máme pomerne efektívne nastavený proces riadenia a overovania úrovne bezpečnosti informačných systémov. Pri zamestnancoch ide o monitorovanie, silnú autentifikáciu, pravidelné vyhodnocovanie aktivity používateľov a množstvo ďalších opatrení, ktoré minimalizujú riziko útoku na čo najnižšiu možnú úroveň. Bankové systémy, ktorých zneužitie by útočníkovi umožnilo vykonanie útoku, sú kontinuálne monitorované. Bezpečnosť bankovej infraštruktúry sa pravidelne testuje a rovnako sú zavádzané stále pokročilejšie opatrenia a systémy ochrany pred kybernetickými útokmi.

Môže sa stať, že by sa niekto nabúral do bankového systému a následne by dokázal neobmedzene prevádzať peniaze klientov?

Stať sa môže všetko. Existujú prípady zo zahraničia, kde prebehli úspešné útoky na platobné systémy bánk. Typicky boli spojené so zanedbanou kontrolou zabezpečenia podporných systémov, alebo súviseli s tretími stranami. Väčšinou je banková infraštruktúra zabezpečená na veľmi vysokej úrovni, no každá banka spolupracuje aj s tretími stranami. Hlavným vektorom útokov tak boli zneužité prístupy dodávateľov, prostredníctvom ktorých došlo ku kompromitácii časti bankového systému. V našom regióne sa však za posledné roky nič takéto nestalo, svedčí to aj o historicky veľmi dobrej úrovni zabezpečenia bankových systémov. Je veľmi náročné prekonať takto robustnú bezpečnostnú infraštruktúru.

Kde sa takéto prípady už stali?

Jedným príkladom bol úspešný útok na banku v Rusku. Útočník bol úspešný vďaka tomu, že dokázal infikovať niekoľko pracovných staníc. Išlo phishing alebo malvér, ktorý bol zaslaný zamestnancom banky a prenikol cez antispamové kontroly a rôzne filtračné mechanizmy. Kombináciou sociálneho inžinierstva a malvéru útočník dokázal infikovať niekoľko počítačov a v priebehu viacerých mesiacov na nich monitoroval aktivity a dokázal sa dostať na vybrané servery a aj iniciovať platby. Bol schopný previesť niekoľko desiatok tisíc dolárov na zahraničné účty a dokonca sa mu podarilo vybrať peniaze z bankomatov. Išlo o pomerne sofistikovaný útok, za ktorým musela stáť dobre organizovaná zločinecká skupina, pretože bolo potrebné zorchestrovať celý útok od technických vecí, až po biele kone.

Množstvo vrstiev ochrany

Prečo sa u nás sa takéto útoky nedejú?

V našom regióne sa to nestáva práve pre to, lebo na to potrebujete zločineckú skupinu, ktorá by dokázala prebúrať bezpečnostné aj organizačné mechanizmy v banke. My máme na každej úrovni nejaký bezpečnostný mechanizmus ako aj organizačné opatrenia. Okrem toho, ako som už hovoril, je všetko neustále monitorované. Prekonať tieto opatrenia je veľmi náročné. Záleží však na schopnostiach útočníka. Ak by sa napríklad nejaký štát rozhodol, že chce zaútočiť na konkrétnu banku a mal by dostatok zdrojov na rozsiahly a sofistikovaný útok, môže to byť problém. V prípade, že by prišlo k novým typom útokov napríklad podporených umelou inteligenciu alebo takzvanej kybernetickej vojne, bolo by to niečo iné ako dnes, keď je riziko úspešných útokov na bankové systémy stále pomerne nízke.

Ak by útočník začal vo veľkom prevádzať peniaze, upozorní vás na to systém?

Samozrejme, máme detekčné systémy či už v kanáloch elektronického bankovníctva, mobilného bankovníctva, alebo korporátneho bankovníctva. Každý jeden kanál, ktorý môže iniciovať platbu alebo manipulovať s nejakými atribútmi, ktoré by mohli vplývať na to, že neskôr možno vykonať platbu, je monitorovaný a pravidelne vyhodnocovaný. Máme nonstop službu, ktorá sa tomu venuje. Používame pokročilé detekčné systémy. Nemôže sa preto ani technicky stať, ak by sa aj útočníkovi podarilo iniciovať platbu, že by zostala nepovšimnutá.

V prípade, že by sa nejaká vláda rozhodla zaútočiť na banku, mohla by získať prístup, prostredníctvom ktorého by dokázala vybieliť všetky účty?

Myslím si, že je to technicky skoro nemožné. Ak chcete uskutočniť platbu, potrebujete mať autorizovaný prístup do systému. Ak by bol útočník veľmi sofistikovaný, veľmi dobre organizovaný a podarilo by sa mu nabúrať do platobného systému, tak narazí na to, že platobný systém monitoruje a viacnásobne autorizuje používateľov. Ani naši zamestnanci nedokážu takéto niečo urobiť. Systém nás automaticky upozorní, že ide o anomáliu a takúto operáciu neumožní vykonať. Ani po prekonaní množstva bezpečnostných vrstiev by ste nedokázali realizovať veľký objem platieb alebo masovo vybieliť účty.

Spomínali ste phishingové útoky na zamestnancov. Aj Národný bezpečnostný úrad vo svojej správe za rok 2020 spomínal, že sa banky s nimi stretávajú. Dostávajú aj vaši zamestnanci emaily od útočníkov?

Určite áno. Je to však riziko, ktoré pomerne úspešne zmierňujeme. Máme niekoľkovrstvovú antispamovú ochranu a približne 80 percent z prichádzajúcej elektronickej pošty je klasifikovaná ako nevyžiadaná pošta, či spam a nie sú zamestnancom ani doručené. Zamestnanec teda email ani nevidí. Ak by mu aj takýto email prišiel, musí mať nejakú prílohu, ktorá obsahuje malvér. Tam je ďalšia vrstva ochrany, ktorá zabráni tomu, aby bol spustený na počítači. Ak by sa aj toto náhodou podarilo, stále je potrebné iniciovať spojenie na server alebo dovoliť používateľovi kliknúť na link, ktorý sa mu zobrazí. Tu je zase webová bezpečnostná brána, ktorá klasifikuje všetky url adresy a vidí, že ide o falošnú stránku. Aj keby zlyhalo niekoľko vrstiev ochrany, stále by daný zamestnanec nedokázal otvoriť podvodnú stránku. Pre prípad, že by sa aj toto útočníkovi podarilo prekonať, neustále organizujeme pomerne robustnú kampaň na vzdelávania zamestnancov. Trénujeme ich, ako majú rozpoznať škodlivý email či falošnú komunikáciu.

Útočníci si vyberú radšej ľahší cieľ

Nevzrástlo riziko, že sa útočník dostane do systému banky cez zamestnanca potom, ako pre pandémiu mnohí ľudia začali pracovať z domu?

Za posledné dva roky narástol počet hrozieb. Ako zamestnanci prešli na prácu z domu, tak objemy phishingových útokov narastajú. Riziko sa teda zvyšuje. Za istých okolností sa totiž môže stať, že narastajúci počet sofistikovanejších útokov bude viesť k tomu, že niekto bude schopný prekonať bezpečnostné mechanizmy. Stále to nie je v takej miere, že by sme museli zavádzať ďalšie bezpečnostné mechanizmy. Postupne však sprísňujeme jednotlivé mechanizmy a pre prácu z domu sme hneď na začiatku prvej vlny pandémie nastavili prísne opatrenia.

Kybernetický útok na banku je ťažké zrealizovať
Šéf informačnej bezpečnosti VÚB banky Vladimír Jančok vraví, že kybernetický útok na banku je ťažké zrealizovať (Foto: VÚB)

Čo by dokázal útočník spraviť, ak by sa mu podarilo získať zamestnanecký prístup do bankového systému?

Mohol by dostať napríklad prístup do domény a najhoršie, čo by sa mohlo stať, ak by zneužil možnosť silnej autentifikácie, vďaka čomu by sa dostal možno k nejakým emailom alebo interným dokumentom. Ale platobnú operáciu by vykonať nedokázal. Aj náš zamestnanec potrebuje zaškolenie a dodatočné schválenie, aby mohol pracovať v transakčnom bankovom systéme. Teoreticky by sa útočník mohol nabúrať do web mailovej služby, ale bolo by veľmi náročné, aby sa dostal do samotného informačného systému, ktorý umožňuje prístup ku klientskym dátam alebo nebodaj uskutočniť nejaké transakcie. Aj keby mal prihlasovacie údaje zamestnanca, potrebuje ďalšie prihlasovacie údaje a ďalší prvok, aby sa mohol prihlásiť. Navyše iná osoba musí takúto transakciu autorizovať, čiže jeden účet by mu aj tak nestačil. Vždy je tam kontrola štyroch očí.

Mohol by nejaký vírus zmazať všetky údaje alebo ich poškodiť?

Evidujeme hrozbu ransomware (vydieračský softvér, ktorý zašifruje údaje). Je to niečo, s čím musí každá veľká organizácia kalkulovať. Ransomware sa do banky môže dostať napríklad cez webové rozhranie, ak stránka bude šíriť malvér, ktorý sa dostane do systému prostredníctvom nejakej zraniteľnosti. Videli sme tieto útoky štyri-päť rokov dozadu, ale dnes systémy na ochranu už pomerne dobre vedia rozpoznať takéto útoky. Videli sme prípad, keď bol škodlivý kód rozdelený na dve časti. Jedna časť prišla emailom spolu s obrázkom. Druhá časť sa stiahla o dva týždne neskôr z webovej stránky, na ktorej si útočník prenajal banner a vložil doňho zvyšok kódu. Ten sa spojil s prvou časťou a následne začal kryptovať počítače a zdieľané adresáre. Formou červa sa môže šíriť ďalej na servery a systémy, ktoré sú v rámci siete dostupné. Ale toto už máme na viacerých vrstvách dobre zabezpečené. Moderné firewally dokážu takúto komunikáciu spoľahlivo identifikovať a aj na koncovom počítači vedia webové a mailové brány rozpoznať škodlivý kód, ktorý sa podobá na ransomware.

Vo svete sa ransomware často objavuje. V Českej republike útočníci zablokovali nemocnicu, v USA zase plynovod. Vyberajú si skôr firmy z mimobankového prostredia, keďže vedia, že banky sú dobre zabezpečené?

Útočník potrebuje ransomware nejakým spôsobom do siete dostať. A banka je veľmi uzavretý systém. My nemáme informačné systémy, ktoré by boli prístupné z internetu takým spôsobom, že by bolo možné na ne takto zaútočiť. Máme segmentované siete, máme niekoľko DNZ zón (podsiete, ktoré sú oddelené od ostatných zariadení), kde máme špeciálne typy firewallov. Aj keby ste v extrémnom prípade nabúrali nejakú službu, nedokážete sa dostať do našej siete, pretože vnútorný informačný systém je oddelený. Museli by ste infikovať server alebo pracovnú stanicu vo vnútri v banke a to je veľmi ťažké. Tieto systémy nemajú typicky ani priamy prístup na internet. Je tam niekoľko mechanizmov na to, aby sme tomu zamedzili. Útočník by musel prekonať nejakú zraniteľnosť, preto máme zavedený systém monitorovania zraniteľnosti a každú v čo najkratšom čase riešime. Ak tento proces nie je dobre nastavený, pretože na to potrebujete pomerne veľa zdrojov, tak útočník môže byť úspešný. Typicky môže ísť o výrobné systémy, pri ktorých nemôžete aktualizovať operačný systém alebo aplikáciu. Naprogramoval ich niekto pred viac ako desiatimi rokmi a odvtedy sú v prevádzke. V bankách takéto systémy však nemáme. Akonáhle je nejaký systém z bezpečnostného hľadiska zastaraný, realizuje sa jeho aktualizácia alebo výmena.

Kybernetický útok na banku je ťažké zrelizovať

Musíte neustále sledovať, aké útoky sa vo svete objavia a na základe toho upravujete svoje zabezpečenie?

Áno. Nazývame to vulnerability assessment program (program hodnotenia zraniteľnosti), kde v  priebehu roka prechádzame niekoľkokrát všetky systémy a overujeme aj to, či správne funguje proces inštalácie bezpečnostných aktualizácií. Vieme vyhodnotiť, či sú naozaj všetky zraniteľnosti načas odstránené. Ak by sa niekde stalo, že nemôže byť včas zraniteľnosť systému alebo aplikácie riešená, dokážeme takýto systém izolovať a nastavíme špeciálny typ monitorovania.

Náklady na kybernetickú bezpečnosť sa pohybujú v miliónoch eur ročne. Sú preto vo výhode veľké banky, keďže aj malá banka musí vynaložiť podobnú sumu ako veľká?

V malej banke viete veci rýchlejšie implementovať. To je určitá výhoda. Na druhej strane väčšia banka má výhodu v tom, že keď implementuje nejaký typ bezpečnostného mechanizmu, je jedno, či máte päť databáz alebo 50. Jedenkrát nastavíme systém a pridávanie ďalšej databázy nás už nestojí toľko úsilia ani peňazí. Naproti tomu malá banka, ktorá má heterogénne prostredie, musí pre každý typ systému nastaviť  bezpečnostné opatrenia a štandardy. My máme napríklad špecialistu, ktorý sa venuje len jednému typu systémov. V menšej firme máte tých vecí viac a preto ani nemôžete mať pre každú oblasť takého odborníka ako vo veľkej spoločnosti. Výhodou väčšej firmy je aj to, že má väčšie zdroje. Čím ste väčší, tým lepšie viete riešiť hrozby súvisiace s informačnou bezpečnosťou. Na druhej strane ste zároveň atraktívnejším terčom a musíte počítať s väčším počtom útokov.

Aj keď sa neustále pripravujete na možný útok, nie sú útočníci vždy o krok pred vami?

Ja by som útočníkov rozdelil do viacerých kategórií. Ak je to niekto, kto je sponzorovaný štátom, bude asi vždy pred nami, pretože má viac zdrojov a ľudí. Ak si predstavíte, že niekde máte armádu ľudí, ktorá pracuje na príprave škodlivého kódu a reálne modeluje vo vojenskom systéme útok na firmu, tak musí mať náskok. Takýto útok by bol veľmi ťažký a opatrenia by boli účinné len do určitej miery. Potom máme útočníkov, s ktorými sa stretávame my i klienti pomerne pravidelne. Ide o typický organizovaný zločin, ktorý prešiel z ulíc do kyberpriestoru. Práve pre tieto typy útokov musíme robiť väčšinu opatrení. A potom sú tu útočníci, ktorí sa chcú niečo naučiť, ale s tými informačný systém banky nemá problém. Lebo jednotlivec dnes už nemá šancu. Občas môže byť niekto o krok pred nami, ak príde s inovatívnymi myšlienkami, ako prekonať našu ochranu. Vtedy musíme rýchlo reagovať. Ale väčšinou sú nebezpeční pre banku len tí prví, pretože hneď nastavíme potrebné opatrenia. Tí, čo len opakujú, čo už niekto vymyslel, pre nás až takú hrozbu nepredstavujú.

Dokážu všetky tieto opatrenia zabrániť tomu, aby boli služby banky istý čas nedostupné?

Jedinou reálnou hrozbou je DDOS útok (zahltenie cieľa množstvom požiadaviek z viacerých počítačov). Pri nej totiž nepotrebujete prelomiť bezpečnostný systém. Stačí ho dostatočne zahltiť dopytmi a pre klienta sa môže javiť, že služba internet bankingu alebo mobile bankingu nie je dostupná. Napriek tomu, že máme množstvo opatrení a dátové centrá máme aj mimo Slovenska a máme aj dohody s operátormi o odklone takýchto útokov, zaznamenali sme aj v našej skupine takéto útoky. Vyskytujú sa aj v iných bankách. Tieto útoky môžu klienti reálne pocítiť. Nikdy neviete postaviť takú veľkú infraštruktúru, a ani to nedáva finančný zmysel, aby ste dokázali odolať každému typu útokov. Ak sa také niečo stane, máme viacero možností, ako môžeme sprístupniť naše systémy klientom. Typicky to trvá nanajvýš pár hodín.

Takže nemusí mať klient doma hotovosť pre prípad, že by služby banky boli nedostupné?

To určite nie. Robíme aj diverzifikáciu systémov. Ak by sa čokoľvek stalo, tak nepríde k tomu, že by nefungovalo naraz ani elektronické bankovníctvo ani mobilná aplikácia, či bankomaty a systémy pobočky súčasne. Máme viacero oddelených systémov, takže ak by aj niekto bol super úspešný a mal dobre organizovaný DDOS útok, tak nedokáže ho zorganizovať tak, aby ochromil všetky platobné kanály a možnosti pre klientov.

Vladimír Jančok

Po ukončení vysokoškolského štúdia pôsobil v Londýne, kde sa venoval oblasti IT a informačnej bezpečnosti. Vo VÚB pôsobí na pozícii vedúceho oddelenia informačnej bezpečnosti od roku 2014. Tejto oblasti sa venuje približne desať rokov a je držiteľom viacerých odborných certifikátov (CISSP, CISM, CRISC atď.).

Prečítajte si ďalšie články na túto tému:

(Inzercia)