O ovoj veoma važnoj i uvijek aktuelnoj temi razgovarali smo s regionalnim sigurnosnim stručnjacima odgovornima za sigurnost u bankama. Naši sagovornici u prvi plan ističu važnost usvajanja naprednih tehnologija s ciljem zaštite, ali i napominju da su svjesni zaposlenici najbolja i najpouzdanija zaštita banaka

Piše: Seđad Muhić; E-mail: redakcija@asadria.com

 Brza ekspanzija informacijskih tehnologija, redefiniranje sistema platnog prometa, masovna primjena kartičnog poslovanja, odnosno prelazak na online načine realizacije svih vrsta finansijskih transakcija – izazovi su koji su se stihijski nametnuli pred kompletan bankarski sektor. Stručnjaci zaduženi za sigurnost u bankama, odnosno novca i vrijednosti klijenata, osim što i dalje moraju voditi računa o fizičkim napadima, pljačkama i svim drugim vrstama sigurnosnih izazova u bankarskom sektoru, imaju i dadatni problem u vidu sve učestalijih cyber napada koje vode kriminalci za tastaturom.

Razvoj tehnike i tehnologije, dakle, uslovio je da ranije poznati načini ugrožavanja bankarskih institucija prepoznatih u razbojničkim pljačkama (fizičkim napadima) postaju gotovo zanemarivi u odnosu na novi način ugrožavanja. Potvrdio nam je to i Haris Dizdarević, direktor Sektora za informacionu i fizičko-tehničku bezbjednost u Hipotekarnoj banci Crne Gore, koji je kazao da se cilj bankarskih institucija nije promijenio, ali se morao prilagoditi novonastalim izvorima ugrožavanja, a u svrhu zaštite svih bankarskih operacija i tehnološke infrastrukture, kako bi sistemi uvijek bili u stanju sigurnog funkcionisanja.

 Napredne sigurnosne mjere

“Hipotekarna banka strateški ulaže veliki trud i sredstva kako bi uz visok stepen zaštite kontinuirano i stabilno pružila svoje usluge te klijentima pružila visok stepen zaštite od neovlaštenog pristupa podacima klijenta, krađe podataka, potencijalne prijetnje phishingom i drugih vidova zaštite. Naša banka sprovodi brojne napredne sigurnosne mjere za sprečavanje svih oblika cyber napada, ali se i trudi da što više educira i informiše sve klijente o pravilnoj i sigurnoj upotrebi bankarskih usluga. Izazovi su brojni i ne odnose se samo na vanjsko ugrožavanje već se velika pažnja mora posvetiti i unutrašnjem ugrožavanju (socijalnom inženjeringu za pristup restriktivnim područjima i poslovnoj špijunaži), što je preduslov uspješne zaštite cjelokupnog sistema”, kaže Dizdarević. Činjenica je, kaže, da je tendencija banke danas u orijentiranosti na laku pristupačnost i dostupnost klijentima.

“Veliku pažnju poklanjamo i fizičkoj zaštiti, za koju se trudimo da ni na koji način nije prepreka klijentima u obavljanju svakodnevnih aktivnosti u banci. Da ne bude upadljiva, a opet da postiže cilj u osiguranju imovine i pružanju sigurnosti kako klijentima tako i zaposlenima u banci. Aktuelni izazovi u današnjem poslovanju odnose se kako na zaštitu poslovnica tako i na zaštitu bankomata od svih vrsta napada, zaštitu transporta novca i dragocjenosti, kao i zaštitu od unutrašnjih ugrožavanja od strane zaposlenih. Kako bi se i zaposleni osjećali sigurno, mnogo pažnje i sredstava se poklanja stalnim edukacijama zaposlenih koji se odnose na sigurno poslovanje”, naglašava Dizdarević.

Ključni sistemi zaštite

S ciljem adekvatne zaštite potrebno je osigurati kvalitetan sistem fizičke zaštite kako bi se spriječio bilo kakav neželjeni incident u prostorijama banke. Neophodnost sprovođenja redovnih procjena sigurnosnog rizika od vitalne je važnosti jer doprinosi identifikaciji potencijalnih ranjivosti, doprinosi da se stekne uvid u potencijalne slabosti i da se one proaktivno rješavaju kako bi se spriječilo narušavanje sigurnosti.

“Uz trendove koji se razvijaju i najsavremeniju tehnologiju, banke danas imaju bolje opcije da osiguraju svoj prostor i poslovanje kako bi se minimizirala izloženost fizičkim prijetnjama. Postoji nekoliko ključnih sigurnosnih sistema i rješenja koji značajno unapređuju bezbjednost finansijskih institucija, tako da danas koristimo najsofisticiranije kamere za videonadzor koje snimaju i prate aktivnosti, alarmne sisteme koji se mogu aktivirati u svim slučajevima neovlaštenog pristupa, sisteme kontrole pristupa koji reguliraju ko i kada može da uđe u prostor, izuzetno tehnički opremljeni monitoring-centri sa mogućnostima davanja komandi na udaljene pozicije (daljinski nadzori), mobilne patrolne ekipe za intervencije itd.”, kaže Dizdarević.

Bankomati se posmatraju kao posebne jedinice i, radi adekvatne zaštite, opskrbljeni su velikim brojem tehničkih rješenja kojima se dolazi do ranog uzbunjivanja na sve vrste napada, kao i antieksplozivnim i protivgasnim sistemima. Generalno, kada je u pitanju bankarski sektor, Dizdarević navodi aktuelne sisteme i uređaje koji se trenutno koriste u borbi protiv kriminala. U tom smislu ističe alarmni nadzorni centar, kao srce sistema sigurnosti, koji je opremljen najsavremenijim tehničkim sredstvima pomoću kojih se u slučaju incidentnih situacija (provale, povrede prostora, požara, aktiviranja panik-alarma) omogućava dežurnim dispečerima brza obrada dobivenih podataka i reakcija u vidu upućivanja mobilne patrole na ugroženo mjesto, obavještavanja pretpostavljenih lica i ostalih dežurnih službi organizacije.

 Alarmni sistemi obavještavaju dispečere u monitoring-centru

“Sistem videonadzora igra ključnu ulogu u odvraćanju potencijalnih napadača i osiguranju dokaza u slučaju protivzakonitih radnji. Moderne kamere koje koristimo nude nam visok stepen rezolucije, daljinski pristup i napredne funkcije detekcije. Sofisticirani sistemi kontrole pristupa u stanju su da ograniče pristup određenim prostorima unutar banke i da nas informišu o pokušajima neovlaštenog pristupa. Biometrijski sistemi autentifikacije osiguravaju visok stepen bezbjednosti u prostorijama u kojima čuvamo ključnu opremu i povjerljive informacije, dok alarmni sistemi obavještavaju dispečere u monitoring-centru i nadležne osobe koje postupaju po potencijalnim prijetnjama”, kaže Dizdarević. Oni mogu biti pokrenuti raznim događajima kao što su neovlašteni pristup, specifični oblici ponašanja, požar, poplava itd. “GPS sistem je specijalizirani sistem za praćenje kretanja i aktivnosti vozila, ljudstva i sigurnosnih kofera u transportu novca, 24 sata dnevno, svakog dana u godini. Aplikacija nam omogućava da uživo pratimo sve navedeno, a da je sistem zaštićen od vanjskih upada”, zaključuje on.

Digitalna transformacija

U Bosni i Hercegovini aktuelni sigurnosni izazovi u bankarskom sektoru prije svega idu u korak s digitalnom transformacijom kao i prijetnjama koje su se prebacile u cyber prostor. Kaže to Belma Ohranović, direktorica sigurnosti Raiffeisen banke u Bosni i Hercegovini, koja napominje da izazovi kreću od socijalnog inžinjeringa, u kojem napadači pokušavaju nizom tehnika usmjerenih na zaposlenike doći do ključnih informacija za proboj u bankarske sisteme.

“Sve značajnijom integracijom s pružaocima usluga, cloud uslugama i daljinskim načinom rada, sigurnosni izazovi za bankarski sektor se prebacuju i na treće strane, a ogledaju se u obezbjeđenju adekvatnih mehanizama odgovora na pripadajuće rizike, cyber higijenu i ranjivosti koje se mogu naći u povezanim okruženjima. Veoma prisutan izazov je održati nivo svijesti o važnosti poštivanja sigurnosnih politika i procedura. Ujedno, važno je imati na umu i prijetnje u vidu ransomware i DDoS napada koji zahtijevaju posebne sigurnosne servise i mehanizme, te operatorske kapacitete za adekvatan odgovor, a sve to je moguće uz dobro pripremljene i obučene timove, interne sigurnosne kapacitete”, tvrdi Ohranović.

 Kada govorimo o najkvalitetnijim sigurnosnim rješenjima i sistemima zaštite banaka, ona napominje da ultimativna zaštita danas ne postoji, a cyber sigurnost je odgovornost svakog pojedinca u organizaciji.

Važno je imati na umu prijetnje u vidu ransomware i DDoS napada koji zahtijevaju posebne sigurnosne servise i mehanizme i operatorske kapacitete za adekvatan odgovor. To je moguće uz dobro pripremljene i obučene timove i interne sigurnosne kapacitete

 Važno je imati dobre sigurnosne prakse

“Za zaštitu su neophodni poštivanje osnova cyber higijene, relevantne kontrole usklađene s poslovnim procesima te implementacija kontrolnih mehanizama detekcije, prevencije i odgovora na cyber događaje u informacionim sistemima. S obzirom na to da nije poznato kada će se neki događaj desiti, organizacije trebaju biti spremne i otporne na njih. Sigurnosni sistemi u bankarskom sektoru su individualni i ne postoji centralizovano tijelo za odgovor na cyber događaj. Svaka banka ima timove koji vrijedno rade da doprinesu stabilnosti sigurnosti, a najkvalitetniji sistem zaštite su svjesni uposlenici te mandatorne obuke iz oblasti cyber sigurnosti. Bez toga su i najjači sigurnosni servisi i alati nedovoljni u borbi protiv malicioznih napadača i cyber kriminala”, zaključuje Ohranović.

Što se tiče sistema i uređaja koji se trenutno koriste u ovom sektoru, a s ciljem smanjenja stope kriminala, Ohranović navodi činjenicu da na tržištu postoje različiti komercijalni i open source sistemi i uređaji za detekciju i prevenciju cyber prijetnji i događaja. S tog aspekta, dodaje, banke su u većini slučajeva tehnološki agnostici ukoliko postoji omjer dobre sigurnosne kontrole i nivoa prihvatljivog rizika, kao i adekvatan kadar za upravljanje takvim sistemima i uređajima. Važno je imati dobre sigurnosne prakse, kompetentan sigurnosni i tehnološki tim te integrisati prakse i sigurnosne tehnologije u bankarske procese na nivou na kojem oni neće blokirati poslovanje.

Ubrzana digitalizacija kao najveći izazov

Iz Hrvatske udruge banaka, također, tvrde da za banke u Hrvatskoj, kao i u drugim državama, jedan od najvećih izazova predstavlja ubrzana digitalizacija poslovanja, pri čemu je potrebno voditi računa o najvišim sigurnosnim standardima.

“Banke imaju razvijen jedan od najsigurnijih kibernetičkih sustava kako bi spremno odgovarale na sve izazove digitalnog doba i nove metode pokušaja prijevara. Međutim, istovremeno je važno redovito educirati i upozoravati klijente na različite vrste prijevara koje imaju za cilj krađu osobnih i financijskih podataka klijenata banaka radi ostvarivanja financijske koristi. Također, banke teže integrirati svoje sigurnosne sustave kako bi dodatno podigle razinu zaštite. Sigurnost digitalne imovine nužan je uvjet za povjerenje klijenata banaka te je taj spektar komparativna prednost banaka jer raspolažu s dovoljnim resursima za velika ulaganja u sigurnost, a ona je ipak glavna usluga koju potrošači traže”, kažu iz organizacije koja okuplja banke u Hrvatskoj.

Sistemi banaka, navode, znatno doprinose visokoj razini sigurnosti usluga i proizvoda koje koriste njihovi klijenti. Koriste se najsavremenije metode za prijavu korisnika, zaštitu podataka u prijenosu, provjeru transakcija u sustavima za sprečavanje prevara te odobrenje transakcija.

Za zaštitu je neophodno poštivanje osnova cyber higijene, relevantne kontrole usklađene s poslovnim procesima te implementacija kontrolnih mehanizama detekcije, prevencije i odgovora na cyber događaje

 Simulacije sigurnosnih incidenata

Banke su garancija autentičnosti, integriteta i neporecivosti svih aktivnosti i provedenih transakcija. One redovno prate sve vrste kibernetičkog kriminala u svijetu te provode razne simulacije sigurnosnih incidenata u svrhu otklanjanja mogućnosti proboja u njihove sisteme. “Banke ulažu značajna sredstava u najsuvremenije metode zaštite u skladu s visokim sigurnosnim standardima. Iz sigurnosnih razloga nije moguće detaljno opisati sve metode sigurnosnog sustava jer to su izrazito strogo čuvane poslovne tajne svake pojedine banke. Uz zaštitu transakcija, banke štite i svoje poslovnice i bankomate. Kod bankomata, sukladno zakonskoj obvezi, uspostavljen je sustav elektrokemijske zaštite, koji u slučaju pljačke oboji novčanice. Ključno je povezivanje svih sustava kako bi se u što većoj mjeri postigla prevencija i potencijalne napadače odvratilo od pokušaja razbojstva”, ističu iz Hrvatske udruge banaka.

Trend preventivnog djelovanja

Žanet Primorac, specijalistkinja sigurnosti u Primat logistici, distributeru sigurnosne opreme, kaže da je već dugi niz godina u Evropi i svijetu trend da se upotrebom sredstava i naprava tehničke zaštite preventivno djeluje na potencijalne počinitelje krivičnih djela. Prije svega, štiti se ljudski život koji je neprocjenjiv i nezamjenjiv, kako zaposlenika tako i ostalih osoba koje se zateknu u prostorima banaka i ostalih finansijskih institucija, a ujedno se štiti i imovina od protivpravnog otuđivanja. Iz tog razloga sve se više stavlja naglasak na preventivno djelovanje, kojim se već smanjio broj počinjenja krivičnih djela, iz razloga što su mnogi pokušaji razbojništva ostali samo na pokušaju nakon što su se razbojnici susreli s raznim preprekama i zamkama ili odustali od nauma znajući čime se banke štite i šta ih čeka.

“U bankama, već godinama, sigurnosni sefovi ili trezori i trezorske prostorije visokih su stupnjeva protuprovalnosti prema normama EN 1143-1 ili 1143-2 za depozitne sefove. Sefovi ili trezori kategorizirani su u stupnjevima I-VI prema normi EN 1143-1, dok su trezorske prostorije (trezori veći od 2 m²) u klasama od V-XII, za što posjeduju odgovarajuće certifikate koji garantiraju veliku sigurnost i okvirno vrijeme koliko je potrebno za djelomični i potpuni proboj (ovisno o stupnju protuprovalnosti) korištenjem svih poznatih sredstava za provalu. Istovremeno, tu su i visokosigurnosne brave koje sefovima i trezorima dodaju dodatnu zaštitu. Službena Europska norma po kojoj se određuje stupanj sigurnosti brave u četiri klase (A, B, C, D) je EN 1300”, navodi Primorac.

Unazad nekoliko godina, na tržištu bankarskog sektora aktuelne su brave s vremenskom odgodom otvaranja, koje sprečavaju provalnike da upotrebom prijetnje vatrenim ili drugim oružjem prisile zaposlenike na otvaranje sefova i trezora i otuđivanje njihovog sadržaja. Danas su takve brave standard ne samo u bankama već i u ostalim sektorima, a i obaveza shodno hrvatskom Zakonu o zaštiti novčarskih institucija za sve one na koje se ovaj zakon odnosi.

 Protivprovalni i vatrootporni sefovi i ormari

“Osim vremenske odgode otvaranja, nove generacije brava omogućavaju i upravljanje na daljinu, otvaranje i zatvaranje na daljinu, dodjeljivanje jednokratnih šifri i mnogo toga što banke i sve ostale čini sigurnijima, a provalnicima nedostižnima, dok istovremeno pružaju konstantnu kontrolu i nadgledanje statusa brava i njihove događaje u realnom vremenu”, kaže Primorac. Primat logistika, ističe ona, pruža sigurnu zaštitu imovine i ljudi svojim programom sigurnosne opreme u kojem nudi rješenja u skladu sa zakonom i u mogućnosti je u najkraćem roku kvalitetno i stručno implementirati visokosigurnosne brave, sisteme kontrole pristupa, protivprovalne sefove svih stepeni sigurnosti prema EN 1143-1, sigurnosne ladice s vremenskom odgodom otvaranja, depozitne sefove i slično, uz sve prateće certifikate i potvrde u skladu sa zakonom.

“Osim za bankarski sektor i ostale financijske institucije, u svom sigurnosnom programu nudimo jednako protuprovalne i vatrootporne sefove, sigurnosne vatrootporne ormare, sustave za upravljanje ključevima, sustave za upravljanjem opremom (kontrola zaduženja alata, laptopa, tableta, mobitela i ostalog inventara), vatrostalne ormare za lako zapaljive tekućine, sigurnosne ormare za pohranu i punjenje litijskih baterija. Tu su i drugi slični proizvodi za poslovni i privatni sektor”, zaključuje Primorac.

Zaštita prijenosa novca i dragocjenosti

Kada se govori o transportu novca i dragocjenosti, obavezno je poštivanje propisanih standarda u pogledu blindiranih vozila kojima se vrši prijevoz novca, opreme i sredstava u kojima se novac prenosi, korištenje tehničkih inovacija s ciljem bojenja novca usljed napada, aktivno GPS pozicioniranje i panik-tasteri s raznim mogućnostima blokade tehničke opreme i vozila koja se koriste. Elektrohemijski koferi i torbe za prijenos novca dizajnirani su da zaštite novac u transportu, da prilikom pokušaja pljačke ili neovlaštenog otvaranja u novac ispuste boju koja će nepovratno oštetiti novac. Unificirani znak kojim se obilježava novac donosi dodatnu sigurnost u stalnoj manipulaciji gotovinom i praćenju tokova novca u redovnim okvirima.

Banke ulažu značajna sredstava u najsavremenije metode zaštite u skladu s visokim sigurnosnim standardima. Iz sigurnosnih razloga nije moguće detaljno opisati sve metode sigurnosnog sistema jer to su izrazito strogo čuvane poslovne tajne svake banke

Kibernetički napadi vodeći rizici

Stanislava Zadravec Caprirolo, direktorica Udruženja banaka Slovenije, u intervjuu za magazin Korporativna sigurnost također je istaknula cyber napade kao jedan od vodećih sigurnosnih rizika u bankarskom sektoru, pa je, između ostalog, kazala da veliku pažnju posvećuju cyber rizicima.

“Upravljanje cyber rizikom jedna je od najvažnijih oblasti operacija. Svi smo sve više izloženi rizicima zbog razvoja tehnologije. U upravljanju izloženošću cyber rizik je zaista izražen, pa je izuzetno važna saradnja različitih institucija, kao što su Nacionalni centar za kibernetičku sigurnost, policija i svi oni koji mogu doprinijeti većoj zaštiti. Veoma važna je saradnja u preventivnim aktivnostima i jedna je od oblasti kojoj članovi Udruženja posvećuju veliku pažnju, posebno u podizanju svijesti javnosti. Uspješno obučen i svjestan pojedinac je vjerovatno garant visokog nivoa operativne sigurnosti u bankarskom sektoru. Banke i štedionice koriste sigurnost sistema i mehanizama pomoću kojih će zaštititi podatke klijenta u najvećoj mogućoj mjeri, ali ovi mehanizmi i sistemi ne mogu spriječiti izloženost rizicima u slučajevima kada klijenti sami, nehotice ili u nekim slučajevima čak i ako to žele, prosljeđuju svoje podatke nekome ko ih onda može proslijediti dalje u prevarantske ili druge nezakonite svrhe”, rekla je Zadravec-Caprirolo.