Alábecsülik a kiber­veszélyeket a bankok

Számos pénzintézet nem foglalkozik kellő mértékben a biztonság kérdésével, túl magabiztos és úgy gondolja, nem érhetik meglepetések.

Az Accenture Security pénzügyi tanácsadócég arra volt kíváncsi a legutóbbi felmérésében, hogy a bankok és más pénzügyi szolgáltatók miként védik meg a vagyonukat és az ügyfelek adatait az online csalókkal és az IT-rendszereiket támadókkal szemben. A tapasztalatok elszomorítóak és elgondolkodtatóak.

"A megkérdezett bankmenedzserek 78 százaléka bízott a meglévő védelmi intézkedésekben, azt ugyanakkor nem vették figyelembe, hogy a támadók állandóan továbbfejlesztik a módszereiket és az akcióik is egyre kifinomultabbak. Az IT-biztonság nem egy egyszeri beruházás, a védelmi mechanizmusokat folyamatosan fejleszteni kell. A pénzintézetek rendkívül vonzó célpontok; a hackerek nem csupán a pénzt akarják megszerezni, hanem az ügyfelek adatait is. Egy átlagos bankot évente 85 alkalommal támadnak meg és minden harmadik akció sikeres." - nyilatkozta Thomas Schumacher, a tanácsadócég IT-biztonsági vezetője.

"Az egyes ágazatokban alig különbözik egymástól a megkísérelt támadások száma. Ami viszont szembetűnő, az a pénzintézetek átlagon felüli magabiztossága, amivel a hamis biztonság illúziójába ringatják magukat. Az elkövetők manapság már nem magányos, a hackerképességeiket tesztelni akaró gyerekek, hanem állami szervezetek és egyéb professzionális támadók, akik nagyszabású és specializált műveleteket hajtanak végre. Ők gyakran a céges hálózatokba törnek be, ahol folyamatokat kémlelhetnek ki és leállíthatnak vezérlőmechanizmusokat azért, hogy később célzott támadást indíthassanak. Amíg az ilyen behatolókat felfedezik, akár hónapok is eltelhetnek - ezt a válaszolók 59 százaléka is elismerte, 14 százalékuk pedig azt mondta, hogy az időtartam egy év vagy még hosszabb idő is lehet" - jelentette ki Thomas Schumacher.


A menedzser hozzátette, hogy a hálózatokba való betörés segíthet elérni a pénzügyi célokat, elfogni az adatokat és kihasználni a rendszer sebezhetőségét. Ráadásul, ha egy ilyen akció híre kiszivárog, akkor ez komoly imázskárt is jelent az adott banknak, még akkor is, ha közvetlen pénzügyi kár nem is valósult meg. A támadások nem csupán kívülről jöhetnek, hanem a munkatársaktól is, akár rossz szándék nélkül, közvetve is. Így például elég, ha az egyik alkalmazott csatlakoztatja a saját készülékét a pénzintézet egyik számítógépéhez és ilyen módon átkerül egy kártevő a konfigurációra, vagy ha valaki könnyen megfejthető jelszót használ.

Az Accenture Security tanulmányában a válaszolók 48 százaléka közölte azt, hogy a rosszindulatú belső dolgozók jelentik a legnagyobb veszélyt, éppen ezért nem elegendő külső falat felhúzni a bank köré. Minden külső hozzáférés és interfész további új lehetséges támadási felületet jelent, amelyeket természetesen biztosítani kell.

"Jelenleg a pénzintézetek az IT-költségvetésük átlagosan 8,2 százalékát költik kiberbiztonságra. Ez közel sem elegendő. De önmagában a sok pénz sem minden, mert az összegeket célzottan kell alkalmazni. A bankoknak először elemezniük kell, hogy mik a sebezhetőségeik és mely adataik, illetve rendszereik lehetnek nagyon vonzóak a támadók számára. Fontos az is, hogy nem csupán az IT-részleg felel az IT-biztonságért. Az utóbbinak a mindennapi üzlet és vállalati stratégia integrált részévé kell válnia. Amennyiben újdonságok vannak az üzleti folyamatokban vagy a technológiák tekintetében, akkor a biztonsági intézkedéseket is felül kell vizsgálni és szükség esetén az új dolgokhoz kell igazítani azokat."

"Nincs száz százalékos biztonság, de minél nehezebbé kell tenni a betörők dolgát. Amennyiben egy családi házhoz hosszú idő betörni, úgy nagy a valószínűsége annak, hogy a szomszédok felfigyelnek a dologra és a betörő felhagy a tervével vagy a tevékenységével. Egy IT-rendszer is annál biztonságosabb, minél több akadályt kell leküzdeniük az elkövetőknek. Azt sem szabad elfelejteni, hogy a támadók erőforrásai sem korlátlanok. Minél hosszabb ideig tart egy akció, annál nagyobb a felfedezés valószínűsége" - hangsúlyozta a szakember.

A Society for Worldwide Interbank Financial Telecommunication (SWIFT, Nemzetközi Bankközi Pénzügyi Telekommunikációs Társaság) azt szeretné elérni, hogy a tagjainak számító pénzintézetek az idén sokkal jobban figyeljenek a kiberbiztonságra. Nemrég kiderült, hogy az európai uniós tagállamoknak egy új irányelvet kell bevezetniük 2018-ig, mely az eddigieknél sokkal szigorúbb szabályozást és azonosítási eljárások bevezetését írja elő az online banki szolgáltatások üzemeltetői számára. A legfontosabb újdonság, hogy a banki adatok más vállalkozások számára is elérhetők lesznek.