Bankarstvo / finansije Najave II

Nove vrste prijetnji bankarskom sektoru

Integrisana digitalna rješenja za operativne, ali i sigurnosne svrhe sve više postaju norma u industriji. Loša strana toga je veći broj napada. U ovom članku razmotrit ćemo nove vrste sigurnosnih prijetnji kojih bi korisnici bankarskih usluga trebali biti svjesni, kako se one mogu ublažiti pravilnim pristupom, kakva bi trebala biti uloga sistem-integratora te kako se prava rješenja mogu ispravno koristiti
Izvor: a&s International
E-mail: redakcija@asadria.com

Napadi na finansijske institucije postaju rasprostranjeniji. Više je napada malverom u 2019. izvršeno na bankarski sektor nego na bilo koji drugi. Cyber napadi postaju i raznovrsniji, u rasponu od jednostavnih phishing napada do složenih pokušaja pristupa kreditnim karticama i bankovnim računima. To, međutim, više i nije vijest. Banke su, po prirodi posla, privlačna meta, ali ono što zabrinjava je sve veći broj načina na koji se cyber i fizičke sigurnosne prijetnje prožimaju.

Šta možemo očekivati u ovoj godini?
Kada govorimo o napadima u ovoj godini, u Velikoj Britaniji su neke od najvećih banaka bile prisiljene zaustaviti obradu naloga u stranoj valuti nakon cyber napada na mjenjačnicu Travelex, dok su u Africi pod udarom ruskih hakera bile operacije u nekoliko banaka. Nema sumnje da će se dešavati još više incidenata s obzirom na razvoj tehnologije i način na koji hakeri uspješno iskorištavaju njene ranjivosti. Uz to, veću zabrinutost izaziva i povezanost tehničke sa cyber sigurnošću. Budući da rješenja za tehničku sigurnost postaju digitaliziranija i integrisanija, napad na bilo koji segment mogao bi imati široke posljedice.
“Finansijske organizacije suočavaju se s većim brojem fizičkih i digitalnih prijetnji. Prema našem istraživanju, u okviru kojeg je istraživano hiljadu velikih finansijskih institucija širom Velike Britanije i Sjeverne Amerike, incidenti u tom sektoru povećali su se na svim pristupnim tačkama, pri čemu je polovina ispitanika izjavila da je u posljednjih godinu povećan broj napada na pristupne sisteme zaposlenih, samo osoblje i podatkovne centre”, rekao je James Somerville-Smith, šef marketinga za globalne kupce u kompaniji Honeywell Commercial Security.

Sofisticirani napadi i veći gubici
Prema Joon Junu, šefu Odjela za globalno poslovanje IDIS-a, vjerovatno ćemo vidjeti organizovane cyber kriminalce koji nastavljaju pronalaziti i ciljati svaku slabost koju mogu iskoristiti. “S rastom globalne političke nestabilnosti možemo očekivati više državnih cyber napada na banke i drugu kritičnu infrastrukturu, gdje napad može narušiti produktivnost i rezultirati velikim poremećajima i finansijskim gubicima”, rekao je Jun. Na cyber sigurnosnom frontu glavni su napadi i prijetnje bankarskom sektoru usmjereni na tri područja: ekstrakciju osjetljivih podataka, ucjenjivački softver i DoS napade na IoT uređaje, uz rizike kod trećih strana sa slabom internom cyber higijenom, smatra Kevin Sheridan, direktor usluga za finansijske institucije za Convergint.

Konvergencija napada
Zabrinjavajuća je činjenica da je nekoliko napadača iskoristilo propuste u tehničkim sigurnosnim rješenjima koja se već koriste. Naprimjer, hakeri koji dobiju pristup nadzornim kamerama na bankomatima mogu pristupiti PIN kodovima koje kupci unose. Jun je kao primjer naveo krađu biometrijskih podataka kako bi se zaobišla multifaktorska provjera identiteta. O ovoj opasnosti se govorilo prošle godine kada su istraživači Kaspersky Laba na crnom tržištu otkrili prodaju digitalnih otisaka prstiju pridruženih ličnim podacima osobe.

Koja je najbolja metoda
Da bi se uhvatile u koštac s rastućim napadima na integrisane sigurnosne sisteme, banke moraju ukloniti jaz između samostalnih platformi integrišući svoje tehničke i digitalne sigurnosne sisteme. “Budući da mnoge finansijske institucije imaju više poslovnica i da se prostiru na više regija, to znači da je potrebno uspostaviti ravnotežu između centralne kontrole integracije i regija koje koriste različite sisteme i opremu – ili, pak, lokalno nadziranih sistema s globalnim daljinskim upravljanjem kao mogućnost”, rekao je Somerville-Smith. Međutim, još je važnije da se ne zanemare sistemi tehničke sigurnosti nauštrb odbrane od cyber napada i unutrašnjih prijetnji. Jun objašnjava da ti rizici nisu prestali i uključuju pljačku banaka i bankomata, napade na vozila i osoblje koje prevozi novac i dragocjenosti, socijalni inžinjering za pristup područjima s restrikcijama i poslovnu špijunažu. Osim toga, banke bi trebale razmisliti i o sigurnosti svog zračnog prostora, pri čemu dronovi ne predstavljaju samo terorističku prijetnju preduzećima već i cyber prijetnju jer imaju mogućnost krivotvorenja bežične veze i varanja zaposlenika i posjetilaca tako da misle da se povezuju na zaštićenu mrežu, a ustvari hakerima omogućavaju pristup korporativnoj mreži i podacima banke.

Okviri za integraciju tehničke i cyber sigurnosti u bankama
Finansijske institucije u Velikoj Britaniji i Sjevernoj Americi prelaze na globalni sistem upravljanja sigurnošću. U istraživanju Honeywell Commercial Securityja gotovo polovina ispitanika (47 posto) rekla je da se sigurnošću njihove kompanije upravlja na globalnom nivou, sa svim podružnicama pod istim preduzećem ili integrisanim sistemom, dok je trećina (32 posto) izjavila da planira prelazak na globalni model. Budući da integracija igra važnu ulogu u provedbi sigurnosnih mjera i na samom tržištu, poslovna rješenja koja nude daljinski nadzor i upravljanje postat će sve popularnija.

Holistički pristup
“Ključna riječ je integracija”, objašnjava Martin Koffijberg, direktor za razvoj poslovanja u sektoru bankarstva i finansija kompanije Axis Communications, i dodaje: “Neuspjeh u holističkom pristupu tehničkoj i cyber sigurnosti – kako bi se povezalo fizičko s logičkim – neizbježno će stvoriti ranjivosti. Važno je u preduzećima usvojiti neki oblik upravljanja sigurnosnim rizikom ili konvergirani pristup sigurnosti.” I tehnička i IT sigurnost trebaju slijediti iste principe kibernetičke sigurnosti i vrednovati ih na isti način, dodao je Koffijberg. Prvi korak mora biti da sigurnosno osoblje shvati da su ti uređaji povezani na mrežu i da, tokom obavljanja sigurnosnih operacija, stvaraju nove rizike za kompaniju kakvi nisu viđeni kod starijih tehnologija.

Četiri elementa zaštite operativnih sistema
Temeljite i stalne procjene rizika trebaju biti dio aktivnosti svakog menadžera sigurnosti. Danas mnoge banke na Zapadu koriste sofisticirana rješenja za upravljanje identitetima i pristupom (PIAM), koja kontrolišu ne samo pristup objektima već i korporativnoj mreži. “Takva rješenja imaju korisne funkcije kao što su zabrana pristupa mrežama kada zaposleni ostavi laptop, završi s poslom ili izađe iz zgrade. Ostale funkcije uključuju dvofaktorsku autorizaciju prije prijave te korištenje analitike za označavanje sumnjivog pristupa mreži ili neobičnih aktivnosti”, rekao je Jun. Govoreći o iskustvu svoje kompanije u suočavanju s ovakvim situacijama, Kevin Sheridan, direktor usluga za finansijske institucije u Convergintu, rekao je da su njihovi veći klijenti iz finansijskog sektora fokusirani na četiri ključna elementa osiguravanja njihovih operativnih sigurnosnih sistema kako bi se umanjio rizik od potencijalnih ranjivosti.
Identifikacija uređaja: S većim brojem povezanih uređaja integrisanih u sigurnosne sisteme u finansijskim institucijama, svijest o tome koji se uređaji koriste, gdje su raspoređeni i koji im je operativni status postala je važnija nego ikad prije.
Protokoli za osiguravanje uređaja: Upravljanje šiframa u fokusu je važnih klijenata. S promjenom zadatih šifri, iako naizgled osnovnom aktivnošću, mnoge su se institucije borile s obzirom na broj korištenih IoT uređaja.
Potpuna enkripcija: Arhitekture sistema tehničke sigurnosti sve više koriste ovaj nivo mrežne arhitekture kao zahtjev projekta sigurnosnog sistema.
Upravljanje zakrpama: Ažuriranje sistema pomoću najnovijih zakrpa firmvera i ažuriranja softvera, u kombinaciji s navedenim elementima, znatno smanjuje opseg napada.

Ljudski faktor i AI
Prilikom projektovanja sveobuhvatnog sigurnosnog rješenja s holističkim pristupom tehnologija je samo dio problema koji se mora riješiti. Drugi dio su ljudi koji je koriste. Da bi se smanjili fizički upadi, ljudske i greške pri nadzoru, važno je riješiti problem umora. “Tu dubinsko učenje i AI rješenja mogu transformirati rad kontrolnih soba za velike finansijske kuće, uključujući one koje nadziru stotine ili čak hiljade kamera na više lokacija. Budući da duboko učenje proširuje znanje, ono može razlikovati okolinske faktore od stvarnih prijetnji, poput uljeza ili sumnjivog pljačkaša. Rezultat je manji broj lažnih alarma i manja mogućnost da osoblje u kontrolnoj sobi isključi alarm, odnosno brži i prikladniji odgovor na incidente”, rekao je Jun.

Rješenja za borbu protiv prijetnji
Sigurnosni sistemi i uređaji koji su povezani na mrežu krajnje su tačke koje mogu biti rizične za organizaciju u pogledu cyber napada. IT odjeli često zanemare sigurnosne uređaje, ne ažuriraju ih i ne instaliraju zakrpe. “Ti su uređaji obično konfigurisani sa zadatim šiframa, otvorenim portovima i protokolima te koriste stare verzije sistemskog softvera s poznatim ranjivostima. Zlonamjerne osobe mogu iskoristiti ove ranjivosti, omogućujući im da uđu u mrežu organizacije. Kompromitovani uređaji se zatim mogu koristiti kao ulazna tačka u mreži za prebacivanje na druge uređaje ili sisteme”, objasnio je Kevin Sheridan iz Converginta. Pravilno osiguravanje kamere, čitača kartica i ostalih umreženih sistema prije njihovog prvog korištenja i pravilno upravljanje njima tokom životnog ciklusa znatno će umanjiti obuhvat napada, time smanjujući i rizik.

Važni faktori koji se moraju uzeti u obzir
Prema Jamesu Somerville-Smithu, nekoliko je bitnih stvari koje treba uzeti u obzir prilikom integracije cyber i tehničkih sigurnosnih sistema. “Potrebno je sve hardverske komponente osigurati od cyber napada. Podaci moraju biti zaštićeni iza snažnog i sveobuhvatnog firewalla, a pristup osjetljivim segmentima kao što su prostorije s podacima treba zaštititi višeslojnom provjerom. Sistemi u osjetljivim područjima zaštićeni su lokalno, tako da im osoblje ne može pristupiti ukoliko nemaju ispravne akreditacije za ulazak u područje s ograničenim pristupom. Ovime će se izbjeći davanje pristupa osoblju područjima na koja su ilegalno ušli, pri čemu će svako kršenje odmah biti zabilježeno u centralnoj kontrolnoj sobi kako bi se mogao poslati tim za odgovor da provjeri situaciju”, kaže Somerville-Smith. Sheridan je dodao da je, osim pravilnog upravljanja cyber sigurnošću sigurnosnih uređaja na lokaciji klijenta, također neophodno da sam integrator ima jak interni program cyber sigurnosti kako bi se osiguralo da ne bude slaba tačka za ugrožavanje podataka klijenta.

Između troškova i efikasnosti
Martin Koffijberg iz Axis Communicationsa smatra da koncept cyber sigurnosti treba promatrati kao proces, a ne kao tehnologiju. “Možete imati najbolje zaštitne mjere ugrađene u tehnologiju, ali ako one nisu uključene ili ispravno podešene, ulaganje se neće isplatiti, a rizik je veći. U ovome nema razlike između tehnologija tehničke zaštite i bilo kojeg drugog IT uređaja spojenog na mrežu”, kaže on. Nije neobično da banke brigu o svojim tehničkim sigurnosnim sistemima prepuste ICT odjelima. Rizici od cyber napada čine konvergenciju u nekim sektorima mogućom, uključujući bankarstvo, daleko brže nego što je to bio slučaj s pojavom IP videonadzora. Više nije neobično vidjeti da odluke o nadzoru donose šefovi IT i cyber sigurnosnih odjela, ali ovaj se trend javlja više na Zapadu nego drugdje. “Međutim, ovakve prakse su van domašaja mnogih banaka i smatra ih se preskupim za uvođenje i održavanje. Posljedica je to činjenice da je u nekim dijelovima svijeta teško doći do stručnjaka iz oblasti cyber sigurnosti”, rekao je Jun. On je naglasio i važnost cjenovne isplativosti, zaključujući kako je bankama potrebno najefikasnije lokalno dostupno rješenje s mrežnim videosnimačem i centraliziranim serverom, koji koriste vlasnički zaštićene protokole i posebno razvijene strukture datoteka, koje su nepoznate cyber kriminalcima i samim tim teške za hakirati. Plug-and-play rješenja također mogu igrati ključnu ulogu, jer su jednostavnija za instaliranje u odnosu na tradicionalne sisteme.

Izazovi zaštite banaka i uloga integratora
Niko ne spori potrebu da se osmisli sveobuhvatan razvojni okvir koji bi integrisao cyber i tehničku sigurnost u bankarskom sektoru. Nažalost, da bi implementirale tako efikasan okvir, banke moraju premostiti određene izazove. Naprimjer, teško je klijente uvjeriti u opravdanost zamjene starih operativnih sistema. Ako platforma za kontrolu pristupa, primjerice, ne investira u skup funkcija kibernetičke sigurnosti, klijenti se mogu dovesti u tešku poziciju. Dobar integrator može pomoći klijentu da shvati mogućnosti postojećih sistema i alternativnih platformi. “Osim toga, mnogo je poslovnih jedinica u finansijskim institucijama koje imaju vlastita operativna ovlaštenja i poslovne ciljeve. Koordiniranje zaštite tih odjela od cyber napada je apsolutno neophodno. Zaposlenici koji održavaju bankomate i interaktivne bankomate, sigurnosno osoblje i IT odjeli mogu imati različite prioritete, ali svi oni koriste tehničke sigurnosne sisteme da bi pružili usluge svojim klijentima”, rekao je Kevin Sheridan iz Converginta. Nekada su mnogi odjeli koristili razne integratore, kako regionalno tako i unutar različitih poslovnih područja, ali danas klijenti koji su najsvjesniji rizika traže jednog integratora koji će ujednačiti sigurnosne protokole u cijelom preduzeću.

Ljudski faktor
Neki od drugih izazova uključuju manjak razumijevanja uprave u pogledu rizika koji predstavljaju nezaštićeni IoT uređaji, uključujući IP kamere. Zbunjenost potiču poruke proizvođača o “jakoj cyber sigurnosnoj zaštiti”, gdje, ustvari, neki nude kamere koje su daleko od sigurnih – čak je za neke uređaje na web-stranicama navedeno da su poznati po ranjivostima ili stražnjim vratima (backdoor) za neovlašten ulazak u sistem. “Sigurnost se i dalje često doživljava kao trošak, a u tome je opasnost – greška je samo osigurati budžet za nadogradnju videonadzornog sistema bez potpunog razmatranja cyber prijetnji”, rekao je Joon Jun iz IDIS-a. On smatra da podjednako opasno može biti neulaganje u nadogradnju ili čak održavanje, jer se sigurnost ne posmatra kao važan poslovni faktor. “A kada se dogodi katastrofa, uprava prekasno otkrije da uspješan cyber napad putem IoT uređaja može biti jednako poguban i skup kao i fizički napad”, zaključuje Jun.

Šta integratori mogu učiniti
Kada sve ove izazove uzmemo u obzir, očito je da su stalna edukacija, treninzi i jačanje vještina od ključne važnosti. Svaki pojedinac u osnovi može izazvati potencijalnu ranjivost, a lanac je jak koliko i njegova najslabija karika. Prema Martinu Koffijbergu iz Axisa, to znači da integratori moraju usko sarađivati s proizvođačima sigurnosne opreme kako bi bili u toku s inovacijama u domenu cyber sigurnosti i potencijalnim ranjivostima, odnosno aktivnostima potrebnim za njihovo smanjenje.
“Način na koji su sigurnosni sistemi dizajnirani i proizvedeni iz korijena se promijenio posljednjih godina. Promijenila se važnost instalacije i puštanja u rad sigurnosnih sistema, kao i razumijevanje kako se korporativne mreže moraju konfigurisati radi zaštite uređaja i mreža, a ljudske greške su najveći rizik”, kaže Koffijberg. Drugim riječima, integratori bi se trebali pripremiti ulaganjem u tehnologije i vrhunske cyber stručnjake s obje strane, i ofanzivne i defanzivne, kako bi bolje razumjeli rizike koje uređaji tehničke sigurnosti mogu predstavljati za mrežu organizacije. Kevin Sheridan iz Converginta je objasnio da su ulaganja u tehnologije za upravljanje akreditivima, skalabilno upravljanje zakrpama u kompanijama i platforme za instalaciju i nadogradnju firmvera, kao i veće mogućnosti otkrivanja i reakcije na napade neki od alata potrebni za smanjenje rizika povezanih sa sigurnosnim uređajima. “Primjenjujte isprobani standard – Okvir za cyber sigurnost američkog Nacionalnog instituta za standarde i tehnologiju (NIST). On nam pruža zajednički jezik koji osoblju na svim nivoima unutar organizacije – i na svim tačkama lanca snabdijevanja – omogućava da razumiju rizike po cyber sigurnost. Okvir ne samo da pomaže finansijskim organizacijama da ih razumiju već i da ih smanje adekvatnim mjerama”, zaključuje Sheridan.

Related Posts

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *