Banki gotowe na cyberzagrożenia

Często słyszymy o konieczności zachowania czujności, chronienia się przed cyberatakami. Wiele z porad formułują banki, więc można sobie zadać pytanie, czy same instytucje finansowe są przygotowane na ataki cyberprzestępców, czy mają wdrożone odpowiednie procedury? Sprawdziły to ćwiczenia Cyber-EXE Polska.

Cyberzagrożenia stanowią jedno z największych ryzyk dla sektora bankowego. Dlatego od lat branża finansowa stara się przygotować na różne ewentualności i budować procedury pozwalające zapobiegać i ograniczać skutki ewentualnych wirtualnych naruszeń. W naszym kraju realizuje się to m.in. poprzez ćwiczenia Cyber-EXE Polska, które od 2012 roku pomagają firmom oraz instytucjom z kluczowych sektorów gospodarki zwiększać poziom swojej cyfrowej odporności.

Unijne regulacje

Działania utrudniające cyberprzestępcom działalność podejmowane są także na szczeblu Unii Europejskiej. Chodzi zarówno o wdrażanie rozwiązań technicznych, ale i zalecenia oraz regulacje prawne, które mają wymóc na sektorze finansowym stosowanie najlepszych praktyk. Jednym z takich działań jest wdrożenie przepisów Rozporządzenia DORA wydanego przez Parlament Europejski i Radę UE w zakresie odporności cyfrowej sektora finansowego. Dodatkowe regulacje wprowadza również dyrektywa NIS2, która nie została jeszcze zaimplementowana do krajowych przepisów. Ma to nastąpić poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Oba akty prawne stanowią duże wyzwanie dla sektora finansowego, ponieważ wymuszają dostosowanie swoich procedur i procesów w obszarze cyberbezpieczeństwa do wyśrubowanych standardów.

Ćwiczenia Cyber-EXE Polska 2024 miały umożliwić podmiotom bankowym przetestowanie gotowości do spełnienia wymagań nowych regulacji. Wzięło w nich udział 18 instytucji, w tym przedstawiciele największych polskich banków.

Atak hakerski

W ramach ćwiczeń rozegrano dwa scenariusze symulujące ataki na sektor finansowy, wzorowane na rzeczywistych ruchach grup hakerskich APT (Advanced Persistent Threat).

Jeden z nich bazował na działaniach stosowanych przez organizacje przestępcze przy atakowaniu platform kryptowalut. Chodziło o stworzenie sytuacji, w której użytkownicy muszą zarządzać narastającym incydentem w warunkach przełamania mechanizmów obronnych oraz reagować na zagrożenia zakwalifikowane zgodnie z definicją rozporządzenia DORA jako poważne. To z kolei oznaczało konieczność koordynacji działań naprawczych, współpracy z organami administracji publicznej i minimalizacji skutków incydentu.

– Ćwiczenia składały się z dwóch faz. W pierwszej poprzez dedykowaną platformę uczestnicy musieli zaprojektować i wdrożyć wirtualne systemy zabezpieczeń z kategorii takich jak infrastruktura fizyczna, zabezpieczenia urządzeń końcowych czy bezpieczeństwo sieci wewnętrznej. W drugiej zaczęły być odwzorowywane działania atakujące, a zadaniem ćwiczących zespołów było monitorowanie tych systemów pod kątem podejrzanych aktywności, co pozwoliłoby zidentyfikować ich rodzaj i skalę. W fazie reagowania ćwiczono współpracę z zespołami technicznymi, komunikację z Zespołami Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT – z ang. Computer Emergency Response Team, istnieją na poziomie krajowym i sektorowym), innymi zewnętrznymi organami oraz analizę wpływu włamania na organizację – tłumaczył Mirosław Maj, Prezes Fundacji Bezpieczna Cyberprzestrzeń.

Wnioski płynące z ćwiczeń

Najważniejszym elementem ćwiczeń było zebranie wniosków i opracowanie rekomendacji, które oceniają stan przygotowania sektora finansowego nie tylko do nowych regulacji, ale też do sytuacji, w której instytucje muszą sobie poradzić z incydentem bezpieczeństwa. Oto kilka wniosków z przeprowadzonych ćwiczeń:

• kluczowe znaczenie współpracy; podczas warsztatów testowano dwa tryby reagowania. W pierwszym banki musiały działać samodzielnie, a w drugim mogły współpracować i wymieniać się informacjami. Okazało się, że możliwość wymiany informacji pozwoliła sprawniej weryfikować zgromadzone dane, co zmniejszyło liczbę fałszywie pozytywnych zgłoszeń. W przypadku współpracy czas zgłoszenia wstępnego spadł z 38 do 30 minut, śródokresowego – ze 107 do 70 minut, a odsetek formularzy z pełnymi informacjami o wystąpieniu incydentu w zakresie bezpieczeństwa wzrósł z 51 do 71 procent.
• banki są przygotowane na nadchodzące zmiany; ćwiczenia pokazały, że instytucje finansowe dysponują odpowiednimi narzędziami umożliwiającymi klasyfikację incydentu jako poważny według Regulacyjnych Standardów Technicznych, a także posiadają wystarczające kompetencje do analizy sytuacji związanych z ćwiczonym incydentem oraz do zebrania wszystkich niezbędnych informacji technicznych do zgłoszenia incydentu poważnego.
• rekomendacja dotycząca złożoności ćwiczeń; scenariusze przedstawiały rzeczywiste metody ataków, z którymi banki poradziły sobie bardzo dobrze. Dlatego zalecono, aby w kolejnych latach zastosować scenariusze o jeszcze większej złożoności, żeby przygotować branżę na jeszcze szersze spektrum potencjalnych zagrożeń.

Dobre przygotowanie banków do walki z cyberatakami i rzeczywistymi zagrożeniami cieszy. Warto też zwrócić uwagę na pokazanie kluczowej roli kooperacji w przypadku tak trudnych sytuacji. Trzeba bowiem pamiętać, że podczas poważnego ataku na szali są przede wszystkim środki zgromadzone na kontach klientów i ich zaufanie do sektora bankowego. Dlatego świadomość, że branża potrafi współpracować i że przynosi to realne efekty, stanowi dobry sygnał dla korzystających z usług finansowych.

Cyber-EXE Polska 2024 to 8. edycja ćwiczeń organizowanych przez Fundację Bezpieczna Cyberprzestrzeń i 4. skupiająca się na sektorze bankowym. Ćwiczenia realizowane były w warstwie technicznej, informacyjnej oraz procesowej. Punktacja i ocena wyników w ćwiczeniach CEP24 zostały opracowane zgodnie z wytycznymi rozporządzenia DORA i Komisji Nadzoru Finansowego oraz standardami RTS.