Każdy bank da się okraść, czyli cyber(nie)bezpieczeństwo sektora finansowego

Jeszcze kilkanaście lat temu nikt nie przypuszczał, że w ciągu dekady obrabowanie banku stanie się możliwe bez wychodzenia z domu. A jednak, potrzeba zawsze była matką wynalazków. W dobie nieprawdopodobnego postępu technologicznego formy rabunku również uległy ewolucji, a wręcz rewolucji.

Dzisiejszą bronią stał się komputer, który w odpowiednich rękach może wyrządzić niewyobrażalne szkody. Szacuje się, że w wyniku cyberataków tylko w 2015 roku straty poniesione przez rynki finansowe na całym świecie wynoszą 500 mld dolarów, a do 2019 roku mają wzrosnąć do 2,1 bln dolarów[1].

Czy możemy się przed tym uchronić? Dziś wiele banków bardziej minimalizuje straty, a poniesione koszta wpisuje w budżet, aniżeli prowadzi działania prewencyjne. Z czego to wynika? Głównie z tego, że poważne ataki zdarzają się jednak sporadycznie, a jednorazowa strata często bywa niższa, niż koszt utrzymania wyspecjalizowanego systemu zabezpieczeń. Przede wszystkim jednak, zmienny charakter ataków nie pozwala na całkowite uszczelnienie systemu[2].

Przez ostatnie 3 lata mogliśmy obserwować cały wachlarz najróżniejszych metod wykorzystywanych przez hakerów. Jednym z najpoważniejszych cyberataków była sprawa JPMorgan Chase, kiedy w 2014 roku dokonano kradzieży poufnych danych ponad 83 mln klientów. Następnie, dane te wykorzystano do tzw.        , za pomocą którego nakłoniono setki tysięcy osób do kupna akcji świeżo zarejestrowanych spółek, a kiedy akcje spółek poszybowały w górę, tuż przed nieuniknionym krachem, hakerzy sprzedali swoje udziały i zarobili ponad 100 mln dolarów[3].

Jedną z cech rynku finansowego jest wyjątkowa wrażliwość i reakcja na każdą informację mogącą wpłynąć na nastroje inwestorów. Idealnym przykładem jest spadek notowań amerykańskiego indeksu S&P 500 w 2013 roku o ponad 100 punktów w trakcie zaledwie 2 minut ze względu na jednego tweeta! Wystarczyło włamać się na oficjalne konto Associated Press i opublikować fałszywą informację o wybuchach w Białym Domu i rannym prezydencie Obamie, żeby z amerykańskiej giełdy wyparowało 136 mld dolarów. Co prawda, dość szybko zorientowano się, że była to celowa manipulacja i notowania wróciły do normy w ciągu kilku minut, jednak historia ta pokazuje, że w dzisiejszym świecie zależności występujące pomiędzy instytucjami finansowymi a mediami są tak silne, że czasem wystarczy szybka i precyzyjna akcja dezinformacyjna, aby dokonać gigantycznej manipulacji na rynkach finansowych[4].

Ale czy rzeczywiście każdy bank da się okraść? Najwięksi gracze na rynku amerykańskim przeznaczają po kilkaset milionów dolarów rocznie na ochronę swoich danych przed cyberatakami. Jednak co roku liczba skutecznych ataków rośnie w zastraszającym tempie. Banki, bojąc się utraty wiarygodności, często zatajają fakt zaistniałych ataków hakerskich przed opinią publiczną, a żeby uniknąć rozgłosu nie zgłaszają sprawy do Komisji Nadzoru Finansowego. Klienci natomiast karmieni są lakonicznymi powiadomieniami o „awarii”.

Czy to oznaka niewydolności systemu bankowego, który nie potrafi dobrać odpowiednich narzędzi do walki z cyberprzestępcami? A może ignorancji wynikającej z niewystarczającej analizy? Możliwe. Jednak banki od kilku lat wprowadzają coraz bardziej rygorystyczne systemy zabezpieczeń, a większość z nich co roku bierze udział w symulacjach ataków hakerskich. Mimo to problem pozostaje ten sam – w tak skomplikowanym systemie informatycznym zawsze znajdzie się jakaś luka. Pytanie, kto pierwszy ją znajdzie.

1. [1] https://www.forbes.com/sites/stevemorgan/2016/01/27/bank-of-americas-unlimited-cybersecurity-budget-sums-up-spending-plans-in-a-war-against-hackers/#7577bd5f434b
2. [2] https://www.cyberdefence24.pl/460009,raport-taniej-jest-pozwolic-sie-zaatakowac-niz-zbudowac-solidne-cyberzabezpieczenia
3. [3] https://money.cnn.com/2015/11/10/technology/jpmorgan-hack-charges/
4. [4] https://www.bloomberg.com/news/articles/2013-04-23/a-fake-ap-tweet-sinks-the-dow-for-an-instant