Jaka była skala ostatniego ataku na polski sektor bankowy?

Leszek Tasiemski*: Atak wyglądał na bardzo zaawansowany i skoordynowany, a jego skala to najbardziej interesująca część. Można przypuszczać, że wektorem ataku był popularnie używany komponent, jak np. przeglądarka internetowa, dokument w formacie .pdf, system operacyjny lub podatne urządzenie z infrastruktury sieciowej. Przede wszystkim interesujące jest to, czy organizacje odkryły atak w tym samym czasie (i w jaki sposób) oraz od jak dawna ten atak był prowadzony. Możliwe, że atak (wyprowadzanie danych) był przeprowadzony w sposób skoordynowany, a na skutek błędu lub nieostrożności "wypłynął" w jednej organizacji, która zaalarmowała pozostałe.

Najbardziej skuteczne i zaawansowane ataki trwają latami, są odpowiednio zakamuflowane i nie zostawiają (łatwych do odkrycia) śladów. Istotnym pytaniem jest to, jak banki dowiedziały się o ataku. Standardowo zadajemy takie pytanie jako jedno z pierwszych podczas przeprowadzania procedury Incident Response. Sposób wykrycia ataku może powiedzieć bardzo wiele o jego dynamice i wektorach.

Jeśli był to atak hakerów - komu mogło zależeć na dostępie do tych danych? Na co wskazuje skala i sposób przeprowadzenia ataku - zorganizowaną grupę, obcy wywiad?

Dane osobowe, finansowe są cenne. Na czarnym rynku tego typu rekordy mają konkretną cenę. Skoro nie mamy informacji, że zginęły pieniądze to nasuwają się dwie możliwości: albo przestępcy nie zdążyli dojść do tej fazy ataku, co jest mało prawdopodobne, albo zainteresowani byli danymi, a nie pieniędzmi. Dane (wrażliwe, osobowe, finansowe) mają wartość pieniężną, ale jeszcze ciekawsze mogą być dla instytucji wywiadowczych, więc ta opcja jest możliwa – zwłaszcza biorąc pod uwagę skalę ataku i prawdopodobnie związane z nim koszty.

Prawdopodobnie celem ataku stała się też witryna Komisji Nadzoru Finansowego. Co to może oznaczać z punktu widzenia bezpieczeństwa państwa?

Atak na witrynę - nic. Zazwyczaj witryny są hostowane zupełnie osobno od ważnych danych. To dobra praktyka. Co prawda atak na witrynę jest zawsze nagłaśniany i spektakularny, ale praktyczny rezultat jest (poza naruszonym wizerunkiem) niewielki.

Jeśli rzeczywiście źródłem infekcji była strona KNF, to może również oznaczać, że mamy do czynienia z powszechnym (ale niewykrywanym przez oprogramowanie ochronne) złośliwym oprogramowaniem, które zupełnie przypadkiem, ze względu na specyfikę serwera KNF, zainfekowało komputery w bankach. To jednak optymistyczny scenariusz. Należałoby przeanalizować dokładnie logi ruchu sieciowego z zainfekowanych systemów, żeby zobaczyć, jakie aktywności to złośliwe oprogramowanie podejmowało i na ile było specyficzne.

Jakie wnioski z tej sytuacji powinny wyciągnąć instytucje państwowe, a jakie banki? Jak na przyszłość bronić się przed podobnymi atakami i czy jest to w ogóle możliwe?

Stuprocentowa ochrona nie jest możliwa. Ważne jest wyczulenie pracowników tych instytucji na kwestie bezpieczeństwa (higiena i wykrywanie podejrzanych sytuacji). Niezmiernie ważne są też testy penetracyjne oraz wielopoziomowe systemy wykrywania zdarzeń, które są aktywnie monitorowane.

*Leszek Tasiemski to VP Rapid Detection Center w firmie F-Secure