Informacje o ataku na polskie banki to akcja marketingowa? Ekspert: Polska to nie Bangladesz

- IBM zrobił dużą akcję marketingową, mając nadzieję, ze sprzeda swoje narzędzie, ale za mocnymi nagłówkami nie idzie żadne nowe ani niebezpieczne zagrożenie - mówi money.pl Adam Haertle, ekspert ds. bezpieczeństwa informatycznego, komentując doniesienia o ataku złośliwego oprogramowania na ponad 200 banków w Polsce. O największym w historii ataku na polskie banki informowały w poniedziałek wszystkie media w kraju.

Jak w poniedziałek podał IBM X-force, dział bezpieczeństwa internetowego amerykańskiego giganta, w ostatnich dniach doszło do największego ataku złośliwego oprogramowania na polski system bankowy, a robak o nazwie GozNym uderzył w 17 banków komercyjnych i 230 spółdzielczych.

Sprawa odbiła się szerokim echem w mediach, ale alarmistycznych ostrzeżeń IBM nie potwierdziła ani Komisja Nadzoru Finansowego, ani Związek Banków Polskich, ani banki. Uspokaja także policja, która mówi, że nie odnotowała zgłoszeń od banków o zmasowanych atakach na ich systemy internetowe.

Według informacji przekazanych mediom przez Marcina Spychałę z IBM X-Force, złośliwe oprogramowanie działa w ten sposób, że nie dopuszcza klienta do połączenia się ze stroną bankowości elektronicznej, a zamiast tego przekierowuje go na fałszywą, gdzie ofiara wpisuje swoje dane logowania, zdradzając je przestępcom.

W wydanym we wtorek oświadczeniu, Komisja Nadzoru Finansowego stwierdziła, że posiadane przez nią informacje nadzorcze "nie potwierdzają wyjątkowości obecnej sytuacji", natomiast Związek Banków Polskich zapewnił, że pieniądze klientów zdeponowane w bankach są bezpieczne. Jak dotąd, banki w ogóle nie informują o tym, że ich systemy miałyby zostać zaatakowane.

Doniesienia IBM na temat wyjątkowej skali ataku na polskie banki poddał w wątpliwość portal Niebezpiecznik.pl, który stwierdził, że informacje na ten temat są bardzo ogólne i enigmatyczne. Jak zasugerowano, rozpowszechnianie przez IBM informacji o domniemanym ataku hakerskim może być próbą zareklamowania oprogramowania sprzedawanego przez tę firmę, które ma być specjalnie zaprojektowane do tego, by wykrywać taki atak i ostrzegać przed nim użytkowników.

O "marketingowej akcji" amerykańskiej firmy wprost mówi też Adam Haertle. - To się chyba jednak nie powiedzie, bo banki raczej się śmieją z tego, co usłyszały, zamiast się przejąć - stwierdza w rozmowie z money.pl. - Ten atak jest praktycznie niezauważalny z punktu widzenia banków. Pojawiają się pierwsze sygnały, że klienci coś zgłaszają, ale skala tego problemu jest znikoma w stosunku do tego, co banki obserwują - zauważa Haertle.

- To jest taki odgrzewany kotlet, ten złośliwy program funkcjonuje od wielu lat i jest znany pod różnymi nazwami i wersjami. IBM trochę na siłę robi z niego coś nowego - ocenia ekspert. - Lista banków, które GozNym może zaatakować, jest dużo dłuższa niż zazwyczaj, ale skala rzeczywistych ataków, które są obserwowane przez banki, jest dużo mniejsza niż zwykle - stwierdza.

Jak przekonuje Adam Haertle, najczęściej ofiarami ataków padają klienci, którzy "sami sobie zrobili krzywdę". - Zainstalowali złośliwe oprogramowanie, bo kliknęli link w mailu, czy pobrali załącznik i bez pomyślunku go uruchomili, choć miał rozszerzenie .exe - zwraca uwagę ekspert. Z tego względu - twierdzi - bardzo trudno ustalić granicę, za co odpowiada bank, a za co klient.

Adam Haertle: Banki nie powinny odpowiadać za głupotę klienta, jeśli dochowały należytej staranności

- Mamy teraz taką tendencję, ze organy nadzoru sugerują bankom, że powinny nieco bardziej odpowiadać za klienta i za to, co dzieje się po jego stronie. Bank jednak ma ograniczone możliwości, bo komputer jest klienta i klient robi to, co chce - przekonuje Haertle.

- Banki wykrywają dużo ataków; gdyby tego nie robiły, klienci traciliby miliony miesięcznie, a w ostatnich miesiącach są to znikome kwoty. Bank jest w stanie rozpoznać, czy komputer klienta jest zainfekowany i wtedy się z nim kontaktują, tłumaczą, a nawet blokują konto na wszelki wypadek - wyjaśnia Adam Haertle.

Według eksperta duże banki dobrze sobie radzą z zabezpieczeniem swoich systemów informatycznych, ale "problem może być z małymi, spółdzielczymi bankami, które z tą działką radzą sobie dość słabo". - To jest mniej łakomy kąsek dla przestępców, ale z drugiej takich banków bez działów bezpieczeństwa z prawdziwego zdarzenia jest dużo: ponad 200 - zwraca uwagę.

Piotr Rutkowski, ekspert ds. nowych technologii, wiceprezes fundacji Mikromakro, twierdzi, że banki mają zwyczaj, z którego powinny zrezygnować: nie informują klientów o atakach. - Starają się to ukryć, bo wychodzą z założenia, że jakakolwiek informacja na ten temat podważa do nich zaufanie. Dlatego w przypadku jakiegokolwiek ataku, taka informacja jest traktowana jako bardzo wrażliwa - stwierdza.

Piotr Rutkowski uważa, że choć obowiązuje rekomendacja "D” KNF-u dotycząca bezpieczeństwa, "banki najwyraźniej nie za bardzo się do niej stosują, skoro ataki się mnożą". - Nie wystarczy raz się zabezpieczyć, trzeba cały czas dbać własne systemy. Konkurencja powoduje jednak, że niektórzy są skłonni do kompromisów w tej dziedzinie - ocenia ekspert.

- Banki chcą zachować własny system nadzoru i organizacji systemów bezpieczeństwa , ale powinny wreszcie zacząć wymieniać się informacjami na temat wykrytych podatności i ataków - postuluje Rutkowski.

Jak mówi, "modelowe rozwiązania dla innych sektorów gospodarki elektronicznej ma dać unijna regulacja NIS (Network and Information Security), która po trzech latach wreszcie przybiera końcowy kształt". - Dyrektywa ta ma zachęcić wszystkie sektory, by tworzyły punkty wymiany informacji o zagrożeniach i reagowania. A to dopiero pierwszy krok do podejmowania wspólnych analiz, jakie środki zaradcze będą skuteczne, byśmy mogli bezpiecznie korzystać z sieci - stwierdza.

Przy okazji informacji o rzekomym zmasowanym ataku GozNyma na banki w Polsce, ponownie głośno zrobiło się na temat marcowego ataku, jaki został przeprowadzony na bank centralny w Bangladeszu. Pojawiły się opinie, że podobny może wydarzyć się także w Polsce.

- Sam system SWIFT nie został skutecznie zaatakowany, zaatakowano bank - zwraca uwagę Adam Haertle. - SWIFT obsługuje dziewięć tysięcy banków na świecie i przestępcy wybrali jeden z nich, który miał najgorsze zabezpieczenia i po prostu padł on ofiarą własnej ignorancji. Przestępcy wybrali instytucję w kraju mało rozwiniętym technicznie i o niskim poziomie zabezpieczeń.

- W Polsce taki atak jest raczej mało prawdopodobny, bo nasz system bankowy jest dobrze chroniony - przekonuje ekspert.