Článok vznikol v spolupráci s Tatra bankou.
Čo je cieľom, ak niekto kyberneticky útočí na organizácie vrátane bánk?
V prípade útokov zameraných na organizáciu je väčšinou cieľom znefunkčniť alebo obmedziť činnosť danej spoločnosti, napríklad zneprístupniť jej weby, klientske portály alebo digitálne bankovníctvo, ide o tzv. DDoS útoky (pozn. redakcie Distributed Denial of Service). Cieľom takýchto útokov však môže byť aj ukradnúť, poškodiť alebo zašifrovať dáta tak, aby ich daná organizácia nevedela prečítať a za ich opätovné sprístupnenie žiadať výkupné, ide o tzv. ransomware.
Aké opatrenia prijímate ako banka pri takýchto útokoch?
Pri útokoch zameraných na samotnú banku sú opatrenia veľmi rozsiahle, banka ich má zavedené dlhodobo a hlavne vo viacerých vrstvách. Nejde len o implementáciu rôznych technologických bezpečnostných prvkov a nástrojov, ale aj o zavedenie procesov s nimi súvisiacimi. Tiež ide o opatrenia so zabezpečením ľudí, ktorí vedia, ako tieto nástroje používať a ako „čítať“ dáta, ktoré generujú. Tu je totiž kľúčové, aby tu bola vysoko efektívna súhra technologických bezpečnostných nástrojov, zavedených procesov a ľudských kapacít.
Keď sa pozrieme na druhú skupinu útokov, akým hrozbám čelia klienti bánk?
V prípade útokov zameraných na klienta je cieľom obrať ho o peniaze alebo citlivé dáta, ktoré môžu útočníci ďalej zneužiť. Zámienky môžu byť rôzne, zväčša ide o „donútenie“ klienta, aby sám odoslal peniaze zo svojho účtu alebo o získanie prístupu k jeho digitálnemu bankovníctvu alebo karte, čo útočníkom umožní zrealizovať si prevody peňazí.
Ako sa menia podvodné útoky zamerané na klientov? Čo sa zmenilo v posledných rokoch?
Ako sme načrtli v prvej otázke, útok priamo na banku si vyžaduje oveľa viac času, námahy a aj peňazí na strane útočníkov. Je oveľa jednoduchšie a lacnejšie upriamiť pozornosť na človeka a snažiť sa využiť jeho nepozornosť, strach, túžbu po veľmi výhodnom investovaní a podobne. To, čo sledujeme posledné dva roky, je významný nárast útokov práve na klientov a to rôznymi veľmi sofistikovanými metódami. Kedysi bolo populárne poslať email obsahujúci link na stránku napodobňujúcu internet banking, tzv. phishing. Dnes sú to najmä SMS správy (smishing) alebo vám rovno zavolajú (vishing). Cieľom je získať prihlasovacie údaje, vďaka ktorým si môže útočník nainštalovať aplikáciu alebo internet banking na svojom zariadení.
K tomu sa pridali aj ďalšie metódy ako rôzne reklamy a možnosti lákavých výhier cez sociálne médiá, falošné e-shopy s výraznými zľavami alebo veľmi časté podvody na inzertných bazároch či falošní kuriéri požadujúci zaplatiť poštovné. Stále sa objavujú aj podvody, keď ľudí kontaktujú akože z počítačovej firmy s úmyslom „opraviť“ počítač či mobil vykazujúci neštandardné správanie. Takto by som mohla pokračovať ďalej s ďalšími a ďalšími situáciami, ktoré môžu byť príležitosťou pre podvodníkov na okradnutie svojich obetí.
Aké opatrenia ste prijali na ochranu klientov pred kyber útokmi?
V prípade útokov zameraných na klientov si opatrenia vyžadujú komplexný prístup a koordináciu viacerých oblastí, ktorých cieľom je ochrana klienta v digitálnom priestore. My sme tieto oblasti spojili a vytvorili tím, v ktorom pôsobia kolegovia zodpovední za bezpečnosť, compliance, komunikáciu, vzdelávanie, customer experience, platobný styk, digitálne kanály. Pri takomto spojení jednotlivých expertíz je ochrana klienta komplexnejšia a kompaktnejšia.
Ako sa vo Vašej banke vzdelávajú zamestnanci v oblasti digitálnej bezpečnosti? Asi každý jeden z nich musí vedieť rozpoznať podvod a vedieť, čo robiť.
Vzdelávanie zamestnancov je nevyhnutnosť. V oblasti zvyšovania bezpečnostného povedomia u našich zamestnancov a pri zabezpečovaní prevencie nám veľmi pomáha naša firemná kultúra a pravidlá internej komunikácie. Vysvetľujeme dôvody, prečo je potrebné sa chrániť, akým situáciám sa vyhnúť, ako ich rozpoznať a tiež, čo môžem spôsobiť svojím konaním. To všetko robíme nielen teoretickým vzdelávaním, ale aj poukazovaním na konkrétne príklady z praxe. Využívame rôzne formy vzdelávania od efektívnych e-learningov až po sériu krátkych videí, pri ktorých nám bol inšpiráciou Netflix.
Len takto informovaný zamestnanec vie vyhodnotiť neštandardnú situáciu a nestať sa jej obeťou. Pomáha nám to k tomu, aby zamestnanci nepovažovali tému bezpečnosti za nevyhnutné zlo, ale naopak za niečo, čo im pomáha nielen v pracovnom, ale aj v súkromnom živote.
A napríklad aké technické opatrenia či nástroje ste zaviedli, ktoré môžu pomôcť viac ochrániť klienta pred hrozbami?
Ide o kombináciu viacerých bezpečnostných systémov na vyhodnocovanie rizikových transakcií. Pri konkrétnej transakcii môže byť vyžadovaná napríklad dodatočná autorizácia prostredníctvom autorizačného nástroja ČítačkaTB alebo ju môže systém aj úplne zastaviť. Práve pri tejto téme často dostávame otázku, ako systém vie, že ide o podozrivú transakciu. Komunikovanie takýchto nastavení alebo pravidiel by však v mediálnom priestore bolo rovnako čitateľné nielen pre podvedených klientov, ale aj pre podvodníkov, preto nie je možné byť konkrétny. Útočníkom by to výrazne uľahčilo ich „prácu“.
Svojich klientov teda učíte, ako sa bezpečne chrániť. Ako?
Tak ako pri zamestnancoch, aj pri klientoch je vzdelávanie nevyhnutné. V Tatra banke dlhodobo budujeme povedomie a znalosť v tejto oblasti. Pre našich klientov, ale v podstate aj pre celú verejnosť, máme web www.predigitalnubezpecnost.sk, ktorý je plný informácií, rád a odporúčaní podaných zrozumiteľným spôsobom. Súčasťou prevencie je aj komunikácia na sociálnych sieťach a aj v našom vlastnom digitálnom prostredí mobilnej aplikácie a internet bankingu. Práve nedávno sme takto cielene upozorňovali klientov aj na podvody pri investovaní do kryptomien.
Aké sú ďalšie možnosti ochrany klienta?
Napríklad, veľa možností prináša aj naša mobilná aplikácia. Klienti si môžu online v reálnom čase nastavovať a meniť limity pre platby kartou v kamennom aj internetovom obchode alebo pre výbery hotovosti. Taktiež sme priniesli unikátnu a jedinečnú možnosť jednorazovej karty práve pre nákupy na internete. Klienti si vedia aj sami zablokovať kartu, ak majú podozrenie na zneužitie, nemusia čakať na spojenie s operátorom alebo ísť osobne do pobočky. No a pre vyššiu ochranu pred podvodmi cez telefón sme zaviedli overenie volajúceho prostredníctvom kódu, ktorý pozná len klient a ten, kto mu z banky volá. Ak ho volajúci povedať nevie alebo sa nezhoduje s tým, ktorý klient vidí vo svojej aplikácii, mal by taký hovor okamžite ukončiť a nahlásiť takéto konanie v banke.
Ide aj o snahu zo strany klienta dať si pozor a byť dostatočne obozretný...
To, čo veľmi často hovoríme našim klientom, je vo svojej podstate veľmi jednoduché – zamyslieť sa aspoň na pár sekúnd nad tým, akú akciu vykonávam, čo potvrdzujem a na základe akého podnetu. Žiaľ, v dnešnej dobe viacerí z nás trpia tzv. „notifikačnou slepotou“. Často dostávame rôzne notifikácie, je ich veľa a nie sú len z banky. Pomohlo by však, keby sme im aspoň v prípade aktivít spojených s bankou venovali zvýšenú pozornosť. Aby sme ich naozaj čítali a až potom klikali či potvrdzovali. Naozaj si chcem pridať kartu do Apple alebo Google Peňaženky? Naozaj si inštalujem aplikáciu banky na nové zariadenie? Naozaj potvrdzujem platbu za 5.99 a nie za 599 eur? Naozaj môže byť môj účet v ohrození a banka by mi to napísala cez stručnú SMS?
Aký je dopad zavedenia okamžitých platieb na neustále prebiehajúce útoky?
Zavedenie okamžitých platieb výrazne zrýchlilo prevod peňazí medzi bankami. Čo je pre klientov super, nemusia čakať niekoľko dní, kým im budú platby pripísané na účet, majú ich okamžite k dispozícii a teda ich vedia okamžite použiť. Na druhej strane, ak sa stanete obeťou podvodu, finančné prostriedky vám môžu odísť z účtu rýchlejšie. O to viac je potrebné byť obozretný pri zadávaní platieb, ale aj pri ich potvrdzovaní.
Zaviedli ste v banke Business Continuity Management (BCM) pre zabránenie narušenia bežných bankových aktivít. V čom ešte môže pomôcť?
BCM máme zavedený v banke už veľa rokov, no najväčšiu pozornosť získal počas pandémie. Zaujímavé je, že väčšina ľudí má BCM prevažne spojené s krízovým riadením v čase výpadku IT služieb s vysokým dopadom na klienta alebo na prevádzku. Dôvodov na naštartovanie BCM je však oveľa viac. Už spomínaná pandémia, ale pokojne aj iná rozsiahla epidémia spôsobená inou chorobou, ktorá vám môže spôsobiť výpadok ľudí. Môže ísť ale aj o výpadok významného dodávateľa, rôzne problémy alebo komplikácie v okolí vašich budov, kybernetické útoky a množstvo ďalších. Práve preto sa v poslednej dobe oveľa častejšie používa aj pojem odolnosť, v angličtine resilience, ktorej úroveň sa odvíja od pripravenosti organizácie čeliť rôznym typom neštandardných situácií alebo ich kombinácii. A práve tu je pridaná hodnota BCM – mať identifikované možné krízové scenáre a popísané kroky a zodpovednosti v prípade, že sa taká situácia vyskytne. Samozrejme, dôležité je aj robiť cvičenia, pri ktorých si vyskúšate navrhnutý postup, aby ste si potvrdili správnosť nastaveného procesu alebo naopak, aby ste odhalili nelogickosť jednotlivých krokov.
Využívate AI ako pomocný prostriedok proti kyber útokom?
Teraz je veľký mediálny boom v oblasti generatívnej AI a veľa sa spomína ChatGPT. Isté formy AI sme však využívali už dávno pred tým, len sme si to možno až tak neuvedomovali. Koľkí z nás idú ráno do práce so zapnutou aplikáciou Waze, aby sa vyhli preplneným cestám? Takže áno, aj my v banke využívame tieto možnosti a to hlavne z dôvodu, že potrebujeme spracovať a vyhodnotiť veľké množstvo dát za veľmi krátku dobu.
.