Jaka była skala ostatniego ataku na polski sektor bankowy?

Leszek Tasiemski*: Atak wyglądał na bardzo zaawansowany i skoordynowany, a jego skala to najbardziej interesująca część. Można przypuszczać, że wektorem ataku był popularnie używany komponent, jak np. przeglądarka internetowa, dokument w formacie .pdf, system operacyjny lub podatne urządzenie z infrastruktury sieciowej. Przede wszystkim interesujące jest to, czy organizacje odkryły atak w tym samym czasie (i w jaki sposób) oraz od jak dawna ten atak był prowadzony. Możliwe, że atak (wyprowadzanie danych) był przeprowadzony w sposób skoordynowany, a na skutek błędu lub nieostrożności "wypłynął" w jednej organizacji, która zaalarmowała pozostałe.

Reklama

Najbardziej skuteczne i zaawansowane ataki trwają latami, są odpowiednio zakamuflowane i nie zostawiają (łatwych do odkrycia) śladów. Istotnym pytaniem jest to, jak banki dowiedziały się o ataku. Standardowo zadajemy takie pytanie jako jedno z pierwszych podczas przeprowadzania procedury Incident Response. Sposób wykrycia ataku może powiedzieć bardzo wiele o jego dynamice i wektorach.

Jeśli był to atak hakerów - komu mogło zależeć na dostępie do tych danych? Na co wskazuje skala i sposób przeprowadzenia ataku - zorganizowaną grupę, obcy wywiad?

Reklama

Dane osobowe, finansowe są cenne. Na czarnym rynku tego typu rekordy mają konkretną cenę. Skoro nie mamy informacji, że zginęły pieniądze to nasuwają się dwie możliwości: albo przestępcy nie zdążyli dojść do tej fazy ataku, co jest mało prawdopodobne, albo zainteresowani byli danymi, a nie pieniędzmi. Dane (wrażliwe, osobowe, finansowe) mają wartość pieniężną, ale jeszcze ciekawsze mogą być dla instytucji wywiadowczych, więc ta opcja jest możliwa – zwłaszcza biorąc pod uwagę skalę ataku i prawdopodobnie związane z nim koszty.

Prawdopodobnie celem ataku stała się też witryna Komisji Nadzoru Finansowego. Co to może oznaczać z punktu widzenia bezpieczeństwa państwa?

Atak na witrynę - nic. Zazwyczaj witryny są hostowane zupełnie osobno od ważnych danych. To dobra praktyka. Co prawda atak na witrynę jest zawsze nagłaśniany i spektakularny, ale praktyczny rezultat jest (poza naruszonym wizerunkiem) niewielki.

Reklama

Jeśli rzeczywiście źródłem infekcji była strona KNF, to może również oznaczać, że mamy do czynienia z powszechnym (ale niewykrywanym przez oprogramowanie ochronne) złośliwym oprogramowaniem, które zupełnie przypadkiem, ze względu na specyfikę serwera KNF, zainfekowało komputery w bankach. To jednak optymistyczny scenariusz. Należałoby przeanalizować dokładnie logi ruchu sieciowego z zainfekowanych systemów, żeby zobaczyć, jakie aktywności to złośliwe oprogramowanie podejmowało i na ile było specyficzne.

Jakie wnioski z tej sytuacji powinny wyciągnąć instytucje państwowe, a jakie banki? Jak na przyszłość bronić się przed podobnymi atakami i czy jest to w ogóle możliwe?

Stuprocentowa ochrona nie jest możliwa. Ważne jest wyczulenie pracowników tych instytucji na kwestie bezpieczeństwa (higiena i wykrywanie podejrzanych sytuacji). Niezmiernie ważne są też testy penetracyjne oraz wielopoziomowe systemy wykrywania zdarzeń, które są aktywnie monitorowane.

*Leszek Tasiemski to VP Rapid Detection Center w firmie F-Secure