Τράπεζες & Κυβερνοέγκλημα

 

Οι απάτες στο διαδίκτυο φέρνουν πιο κοντά τις τράπεζες και τις αναγκάζουν να συνεργαστούν για την αντιμετώπιση των χάκερ και των ηλεκτρονικών επιθέσεων. Ο ρόλος των ρυθμιστικών αρχών, των νέων κανόνων και των αλλαγών που έρχονται.
Κυβερνοέγκλημα: Αντιμετωπίζοντας μια κοινή απειλή
 

Οι τράπεζες και τα άλλα χρηματοπιστωτικά ιδρύματα είναι στην πρώτη γραμμή του κυβερνοπολέμου.

Δέχονται διαρκή επίθεση από χάκερ, απατεώνες του διαδικτύου, οργανωμένες εγκληματικές οργανώσεις και εχθρικές ξένες κυβερνήσεις, ενώ έχουν δεχθεί αρκετές παραβάσεις ασφαλείας, περιστατικά denial of service, κλοπές δεδομένων και χρηματοοικονομικές απώλειες.

Τα αμυντικά μέτρα των τραπεζών γίνονται όλο και πιο περίπλοκα. Τα ιδρύματα δουλεύουν σε πολύ στενή συνεργασία το ένα με το άλλο μέσω τραπεζικών ενώσεων όχι μόνο στον εντοπισμό των απειλών, αλλά και για να ελαχιστοποιήσουν τις συνέπειες των επιτυχών επιθέσεων.

Στις διεργασίες έχουν ρόλο ακόμη και οι αρχές που εποπτεύουν τις τράπεζες, όπως και άλλα θεσμικά όργανα του δημόσιου τομέα. Θέλουν να διασφαλίσουν ότι η κυβερνοασφάλεια στο τραπεζικό σύστημα είναι αποτελεσματική -  όχι μόνο εντός των τραπεζών αλλά κι εντός της υποδομής που οι τράπεζες χρησιμοποιούν.

Μέρη αυτής της υποδομής είναι οι εκκαθαρίσεις πληρωμών, τα συστήματα διακανονισμού, τα δίκτυα καρτών, τα χρηματιστήρια, τα κεντρικά αποθετήρια, οι κεντρικοί αντισυμβαλλόμενοι και άλλες σημαντικές υπηρεσίες που παρέχονται από τρίτους.

Οι επιβλέποντες θέλουν να ξέρουν ότι οι τράπεζες έχουν επαρκή ασφάλεια και εν όψει επιθέσεων μπορούν να επιδείξουν υψηλά επίπεδα αντοχής, γιατί οι όποιες παραλείψεις θα μπορούσαν να θέσουν τους καταναλωτές και τις επιχειρήσεις σε κίνδυνο και να απειλήσουν τη σταθερότητα του χρηματοπιστωτικού συστήματος.

Η ευρωπαϊκή διάσταση

Οι τρεις ευρωπαϊκές εποπτικές αρχές -η European Banking Authority, η European Insurance and Occupational Pensions και η Ευρωπαϊκή Αρχή Κινητών Αξιών και Αγορών (EMEA)- είχαν επίσης ενεργό ρόλο.

Τον Απρίλιο δημοσίευσαν μια κοινή αναφορά με τίτλο «Κίνδυνοι και τρωτά σημεία στο χρηματοπιστωτικό σύστημα της Ε.Ε.». Στο τμήμα που ασχολείται με τον «λειτουργικό κίνδυνο του IT» σημειώνεται ότι τα χρηματοπιστωτικά ιδρύματα χτυπιούνται από κυβερνοπεριστατικά πιο συχνά.

Η EBA συνεργάζεται ακόμη με την ΕΚΤ για να κάνει τις λιανικές πωλήσεις πιο ασφαλείς μέσω εργασιών του European Forum για την ασφάλεια των λιανικών πληρωμών.

Οι κυβερνοεγκληματίες δεν εστιάζουν πλέον μόνο σε επιθέσεις κατά χρηστών για να κερδίσουν περισσότερη πρόσβαση σε προσωπική πληροφορία, αλλά όλο και περισσότερο βάρος δίνεται στους παρόχους υπηρεσιών» σημειώνει η μελέτη. «Ο αυξημένος αριθμός περιστατικών ασφαλείας δημιουργεί προβλήματα για τις πληρωμές ιδρυμάτων, τους καταναλωτές, τους εμπόρους και τις ρυθμιστικές αρχές», προσθέτει.

Ο Dirk Haubrich, επικεφαλής καταναλωτικής προστασίας και χρηματοπιστωτικής καινοτομίας στην EBA τονίζει πως η EBA συνεργάζεται στενά με την ΕΚΤ σε θέματα ασφάλειας πληρωμών, όχι στη βάση μιας συγκεκριμένης παρελθούσας ή επικείμενης απειλής, αλλά λόγω μιας συνεχιζόμενης και καλά τεκμηριωμένης αύξησης στις απάτες πληρωμών τα τελευταία χρόνια.

«Οι επιβλέπουσες τις πληρωμές ευρωπαϊκές αρχές συμφώνησαν ότι για να διευθετηθεί το θέμα χρειάζεται αυστηροποίηση του πλαισίου απαιτήσεων και ότι οι οδηγίες της EBA θα διασφαλίσουν μια συνεπή εφαρμογή αυτών των οδηγιών σε όλη την Ευρώπη έως την 1η Αυγούστου 2015. Οι οδηγίες της EBA επί των διαδικτυακών πληρωμών είναι μόνο το πρώτο βήμα και οι EBA και ΕΚΤ δουλεύουν στις απαιτήσεις πρόσθετης ασφάλειας για άλλες μεθόδους πληρωμών. Το πόρισμα αυτό θα δοθεί στη δημοσιότητα για διαβούλευση».

Η στρατηγική της Ε.Ε.

Η κυβερνοασφάλεια είναι μία από τις πολλές προτεραιότητες της Ψηφιακής Ατζέντας της Κομισιόν για την Ευρώπη.

Η δράση υπ' αριθμόν 124 δημιούργησε τη στρατηγική κυβερνοασφάλειας της Ε.Ε., ενώ οι δράσεις 28 και 123 είχαν ως αποτέλεσμα την οδηγία για τις Πληροφορίες Ασφαλείας Δικτύου που θα τεθεί σε εφαρμογή εντός του 2015.

Η οδηγία θα απαιτεί σημαντικούς operators υποδομών, όπως είναι oι πλατφόρμες ηλεκτρονικού εμπορίου, οι εταιρίες ενέργειας και οι τράπεζες, ώστε να διασφαλιστεί ότι διαθέτουν ασφαλή και αξιόπιστα ψηφιακά περιβάλλοντα σε όλη την Ευρώπη. Αυτό περιλαμβάνει την υιοθέτηση πρακτικών διαχείρισης κινδύνου και αναφοράς περιστατικών ασφαλείας σε πελάτες και αρχές.

Η Επιτροπή έχει επίσης προτείνει τον Κανονισμό Προστασίας Δεδομένων, που θα αντικαταστήσει την υπάρχουσα οδηγία εντός του τρέχοντος έτους. Ο κύριος σκοπός του είναι να καθιερώσει έναν νόμο προστασίας δεδομένων σε όλη την Ευρώπη αντικαθιστώντας το μωσαϊκό εθνικών νόμων. Η διάσταση κυβερνοασφάλειας είναι ότι θα απαιτεί εταιρίες, συμπεριλαμβανομένων των τραπεζών, να αναφέρουν παραβάσεις ασφαλείας στις αρχές, συμπληρώνοντας τις απαιτήσεις της οδηγίας NIS.

Ένας από τους επίσημους οργανισμούς που βοηθούν τις τράπεζες να κατανοήσουν το πώς η οδηγία, ο κανονισμός και άλλα μέτρα θα τους επηρεάσουν είναι η Ευρωπαϊκή Υπηρεσία για την Ασφάλεια Δικτύων και Πληροφοριών (Enisa). «Συνεργαζόμαστε στενά με τον ιδιωτικό κλάδο για να βοηθήσουμε να αλλάξει η στρατηγική της Ε.Ε. σε αυτή την περιοχή σε κάτι που λειτουργεί στον πραγματικό κόσμο και κοστίζει ένα λογικό ποσό χρημάτων και κάποιες βασικές πηγές», λέει ο Steve Purser, επικεφαλής των βασικών δραστηριοτήτων της υπηρεσίας.

Τον Οκτώβριο, η Enisa έκανε μια ημερήσια άσκηση σε 29 χώρες για περισσότερους από 200 οργανισμούς, συμπεριλαμβανομένων των τραπεζών, για να ελέγξουν την ετοιμότητα αντίδρασης σε κυβερνοεπιθέσεις. Με ονομασία Cyber Europe 2014 ήταν η μεγαλύτερη και πιο περίπλοκη τέτοια άσκηση που οργανώθηκε ποτέ στην Ευρώπη και η οποία εξομοίωνε περισσότερες από 2.000 κυβερνοεπιθέσεις.

Συμπαράταξη τραπεζιτών

Στην άλλη πλευρά του Ατλαντικού, τα χρηματοοικονομικά ιδρύματα και άλλες σημαντικές εταιρίες υποδομής υιοθετούν τα στάνταρ και τις βασικές αρχές που υπογραμμίστηκαν από τον αρμόδιο θεσμό για τη βελτίωση της ασφάλειας των σημαντικών υποδομών από κυβερνοεπιθέσεις. Ειδικά δε για τον χρηματοοικονομικό κλάδο, η κ. Valerie Abend, επικεφαλής του εποπτικού τραπεζικού οργάνου (Office of the Comptroller - OCC) επισημαίνει: Οι κυβερνοεπιθέσεις επηρεάζουν τα ιδρύματα όλων των μεγεθών. Οι μεγάλες τράπεζες έχουν υψηλό προφίλ και για αυτό υπόκεινται σε μεγαλύτερο αριθμό επιθέσεων. Η απάντησή τους χρειάζεται να είναι αντίστοιχη με τον όγκο και την πολυπλοκότητα των επιθέσεων. Έχουν εντοπίσει ήδη αρκετό υλικό για τις πολεμήσουν.

Τα μικρότερα ιδρύματα γενικά δεν έχουν την ίδια ποσότητα τέτοιου υλικού και αυτός είναι ο λόγος που όργανα όπως ο OCC και το Federal Financial Institutions Examinations Council (FFIEC) εστιάζουν στο πώς μπορούμε να τα βοηθήσουμε να διευθετήσουν τον κίνδυνο και να ελαχιστοποιήσουν τα σημεία όπου θα μπορούσαν να είναι ευάλωτα».

Οι τραπεζίτες στην Ευρώπη και στις ΗΠΑ είναι δεκτικοί στις επίσημες προσπάθειες για ενίσχυση της ασφάλειας. «Αναγνωρίζουμε ότι η προσοχή των πολιτικών και των ρυθμιστικών αρχών ξεκάθαρα αυξάνεται και ο τραπεζικός κλάδος βλέπει τα οφέλη στο να εμπλακεί όσο περισσότερο είναι δυνατόν μαζί τους, ώστε να τους βοηθήσει να δημιουργήσουν νόμους και κανόνες που επιτρέπουν μια αναλογική και αποτελεσματική προσέγγιση στη διαχείριση κυβερνοκινδύνων», λέει ο Mathew Allen, επικεφαλής του τμήματος οικονομικού εγκλήματος στην ένωση βρετανικών τραπεζών.

Πηγή http://www.euro2day.gr/thebanker/article/1306177/kyvernoegklhma-antimetopizontas-mia-koinh-apeilh.html

 

Πόσο ασφαλή είναι τα χρήματά μας από μια κυβερνοεπίθεση; 

Αποστολή στη Σιγκαπούρη: Βασίλης Σαμούρκας

Το ερώτημα των πολλών δισεκατομμυρίων δολαρίων που όλοι κάποια στιγμή έχουν κάνει, είναι το αν τελικά τα χρήματα μας είναι πραγματικά ασφαλή από τις επιθέσεις κυβερνοεγκληματιών.

Το FortuneGreece.com μίλησε στα πλαίσια του Kaspersky World Summit στη Σιγκαπούρη με τον Vicente Diaz, επικεφαλής αναλυτή του τμήματος παγκοσμίων ερευνών της Kaspersky και ειδικευμένο στα θέματα ασφαλείας τραπεζικών συστημάτων.

Οι απαντήσεις του δίνουν την εικόνα των δεδομένων που ισχύουν σήμερα σχετικά με την εξασφάλιση των καταθετών σε περιπτώσεις ψηφιακών επιθέσεων.

Vicente-DiazΕίναι οι καταθέσεις μας είναι απολύτως ασφαλείς σε περίπτωση μιας κυβερνοεπίθεσης;

Αυτό που μπορώ να πω είναι ότι τα χρήματά μας είναι σχετικά ασφαλή, όπως συμβαίνει συνήθως με τα πάντα στη ζωή. Ποτέ δεν μπορείς να πεις για κάτι ότι είσαι 100% βέβαιος πως δεν μπορεί να συμβεί. Αυτό το οποίο πρέπει να κάνουμε –και κάνουμε- είναι να προχωρούμε σε διαφορετικές μεθόδους προστασίας δεδομένων στο χρηματοοικονομικό τομέα σε περίπτωση που κάτι κακό συμβεί.

Οκτώ χρόνια πριν, όταν εργαζόμουν στον τραπεζικό τομέα, δεν είχαμε ακόμη τεράστια γνώση για το τι θα κάνουμε σε περίπτωση που κάτι συμβεί και χαθούν τα χρήματα των πελατών μας. Τότε βρεθήκαμε στο σημείο καμπής. Από εκεί και πέρα τα πράγματα έχουν αλλάξει. Τώρα, όλα τα στοιχεία φυλάσσονται σε αντίγραφα ασφαλείας. Ακόμη κι αν όντως κλαπούν χρήματα από μια τράπεζα, αυτά είναι ασφαλισμένα. Έχουμε πλέον χτίσει πολλές και διαφορετικές παραμέτρους ασφαλείας γύρω από τον τραπεζικό τομέα. Όμως, όλοι αυτοί οι μηχανισμοί κοστίζουν. Επομένως, αν θες πραγματικά να διατηρήσεις τα χρήματα σου ασφαλή, πρέπει να πληρώσεις.

Πώς συμβαίνει μια κυβερνοεπίθεση σε ένα τραπεζικό ίδρυμα;

Υπάρχουν πολλοί τρόποι για να συμβεί κάτι τέτοιο. Το σενάριο ενός και μόνο ανθρώπου ο οποίος κάθεται μπροστά σε έναν υπολογιστή, μπαίνει σε τραπεζικούς λογαριασμούς και κλέβει χρήματα, δεν είναι δυνατό. Αυτό που έχουμε συναντήσει ως τώρα, είναι πολύ καλά οργανωμένες ομάδες ανθρώπων οι οποίες ενώνουν τις δυνάμεις τους για να κλέψουν όσο το δυνατόν περισσότερα χρήματα μπορούν από ένα τραπεζικό ίδρυμα.

Υπάρχουν ομάδες οι οποίες παρέχουν στους κυβερνοεγκληματίες όλα τα απαραίτητα εργαλεία για να επιτεθούν. Από botnets που θα μολύνουν τα τραπεζικά συστήματα, malwares, εργαλεία μεταφοράς χρηματικών ποσών, ακόμη και κυκλώματα ξεπλύματος χρήματος. Είναι ένας είδος «κοινωνικοποίησης» μεταξύ των κυβερνοεγκληματιών, οι οποίοι πουλούν με το αντίστοιχο αντίτιμο τα εργαλεία αυτά σε όποιον ενδιαφέρεται.

Οι ομάδες αυτές είναι πραγματικά πολύ καλά οργανωμένες. Άλλοι είναι εξειδικευμένοι στο ξέπλυμα χρήματος, άλλοι παρέχουν τις υποδομές για τέτοιου είδους ενέργειες, κι άλλοι για να εντοπίσουν τους κατάλληλους στόχους. Όλοι αυτοί οι παράγοντες συνεργάζονται για να πετύχουν τον σκοπό τους, γι’ αυτό και δεν μιλάμε για μια δουλειά ενός μόνο ανθρώπου, αλλά πολύ περισσότερων από ό,τι φανταζόμαστε.

Τον Φεβρουάριο που μας πέρασε η Kaspersky αποκάλυψε την κλοπή περίπου 1 δισ. δολαρίων από δεκάδες τραπεζικά ιδρύματα μέσω μιας οργανωμένης κυβερνοεπίθεσης. Σε ποιο επίπεδο βρίσκονται οι έρευνες αυτή τη στιγμή; 

Αφότου ανακαλύψαμε και δημοσιεύσαμε την κυβερνοεπίθεση, τα πράγματα ηρέμησαν. Όμως βλέπουμε ότι υπάρχουν θύματα. Ακόμη κάποια χρήματα μεταφέρονται από λογαριασμούς. Αυτό οι εγκληματίες το κατάφεραν χρησιμοποιώντας λογισμικά μέσω phising emails, τα οποία άνοιξαν κρυφές πόρτες στα εσωτερικά τραπεζικά συστήματα και μετέφεραν χρήματα σε ψεύτικους λογαριασμούς.

Σύμφωνα με τις εκτιμήσεις τις Kaspersky, κάθε τράπεζα έχασε κάπου μεταξύ 2,5-10 εκατ. δολάρια και το συνολικό ποσό μπορεί να φτάνει έως και το 1 δισ. δολάρια. Οι χώρες που επηρεάστηκαν ήταν οι Ρωσία, ΗΠΑ, Γερμανία, Κίνα και Ουκρανία. Δυστυχώς δεν μπορώ να δώσω περισσότερες λεπτομέρειες γιατί η έρευνα βρίσκεται ακόμη σε εξέλιξη σε συνεργασία με την αστυνομία. Πρόκειται για μια διεθνή σύμπραξη με πολλές διωκτικές αρχές σε όλο τον κόσμο. Η Kaspersky δουλεύει πάνω στη διαδικασία των ερευνών από την πρώτη μέρα, και παρέχει όσο το δυνατόν μεγαλύτερη βοήθεια.

Ανακαλύψατε στο παρελθόν μια υπόθεση κλοπής στοιχείων τραπεζικών λογαριασμών, όμως αυτή δεν προχώρησε. Μάλιστα απειληθήκατε ακόμη και με μηνύσεις. Τι ακριβώς συνέβη; 

Αυτό που ανακαλύψαμε ήταν κλεμμένα δεδομένα μιας τράπεζας σε κάποιον σέρβερ. Αυτός ο σέρβερ περιείχε όλες τις πληροφορίες για τους λογαριασμούς μιας συγκεκριμένης τράπεζας. Όταν πήγαμε στην τράπεζα αυτή και τους δείξαμε τα στοιχεία, εκείνοι θέλησαν να μας μηνύσουν. Δεν μπορώ να πω το όνομα της τράπεζας, αλλά αυτή έχει έδρα την Ευρώπη.

Στη συγκεκριμένη περίπτωση δεν πήγαμε μόνο στην τράπεζα, αλλά φτάσαμε και στην ένωση τραπεζών, την τοπική αστυνομία, ακόμη και σε ευρωπαϊκό επίπεδο. Έψαξα κι ο ίδιος προσωπικά ανθρώπους στη χώρα που εδρεύει η τράπεζα για να βρω μια άκρη, κι έπειτα από δύο ολόκληρους μήνες χωρίς να γίνει κάτι ετοιμάσαμε μια αναφορά την οποία μοιράσαμε εμπιστευτικά σε όσους εμπλέκονταν στις έρευνες – και στην τοπική αστυνομία. Αυτό το οποίο σημειώσαμε είναι πως δεν υπήρχε κάποια απόπειρα κλοπής χρημάτων, όμως υποπτευόμασταν ότι μπορεί να φτάσουμε ως εκεί. Εμείς το μόνο που προσπαθήσαμε να κάνουμε είναι να προστατέψουμε τους πελάτες της τράπεζας. Κι έπειτα από όλα αυτά, απείλησαν να μας μηνύσουν. Αφότου έγινε αυτό, σταματήσαμε. Τους δώσαμε όλα τα στοιχεία που βρήκαμε, όμως από όσο ξέρω η υπόθεση δεν προχώρησε.

Η Kaspersky χρησιμοποίησε τη λέξη «αναπόφευκτο» για να περιγράψει το ενδεχόμενο των ψηφιακών απειλών για επιχειρήσεις και τραπεζικά ιδρύματα. Η χρήση αυτής της λέξης είναι πραγματικά απαραίτητη για την πιθανότητα επίθεσης από κυβερνοεγκληματίες;

Θα έλεγα πως ναι. Δεν είναι τόσο αναπόφευκτη η τελική μας έκθεση σε μια κυβερνοεπίθεση και η παραβίαση των δεδομένων μας, αλλά είναι σίγουρα αναπόφευκτο το γεγονός ότι μια επιχείρηση θα βρεθεί κάποια στιγμή αντιμέτωπη με τις προκλήσεις της ψηφιακής ασφάλειας.

Τι σημαίνει η πρόσφατη συνεργασία της Kaspersky με την Interpol για θέματα κυβερνοασφάλειας, η οποία παρουσιάστηκε και στο Kaspersky CyberSecurity Summitστη Σιγκαπούρη;

Η συνεργασία της Kaspersky με τις τοπικές αρχές πολλών χωρών έχει ήδη μπει σε έναν πολύ καλό δρόμο εδώ και αρκετό καιρό. Αυτό όμως που ανακαλύψαμε είναι πως οι περισσότερες σοβαρές περιπτώσεις κυβερνοεπιθέσεων δεν επικεντρώνονταν σε μια μόνο χώρα. Για εμάς είναι εξαιρετικά χρήσιμη αυτή η συνεργασία με την Interpol και την Europol. Με αυτόν τον τρόπο μπορούμε να εξηγήσουμε διεξοδικά τι συμβαίνει σε κάθε ξεχωριστή περίπτωση και να προτείνουμε λύσεις. Με τον τρόπο αυτό όλες οι διαδικασίες των ερευνών επισπεύδονται χωρίς την τεράστια γραφειοκρατία του παρελθόντος. Φυσικά, υπάρχουν και κάποια όρια τα οποία ο νόμος προβλέπει για το πόσες πληροφορίες μπορούν να μας παρέχουν οι αρχές, όμως αν δεν υπήρχε αυτού του είδους η συνεργασία είναι πολύ πιθανό οι εγκληματίες να καταφέρνουν τελικά να παίρνουν τα χρήματα που θέλουν και να μην εντοπίζονται ποτέ.

Πηγή http://www.fortunegreece.com/article/poso-asfali-ine-ta-chrimata-mas-apo-mia-kivernoepithesi/