Sigurnost Internet bankarstva

Sigurnost Internet bankarstva

U prvoj polovici 2014. godine dogodio se čitav niz značajnih događaja u području informacijske sigurnosti i legislative na globalnoj razini, a na lokalnoj razini to su zasigurno bili medijski eksponirani slučajevi zloupotrebe sustava Internet bankarstva nekih domaćih banaka pri čemu su žrtve bile fizičke osobe, ali i pravne osobe te poduzeća u državnom vlasništvu koja se bave osjetljivim djelatnostima i za koja bi se instinktivno (i opravdano) očekivalo da imaju najrazvijenije sustave upravljanja informacijskom sigurnošću, te su stoga bile neočekivani „gosti“ u novinskim naslovima.

Ovo je ujedno prva prigoda da su sustavi Internet bankarstva domaćih banaka bili sustavno napadnuti. Prema javno raspoloživim informacijama, u nekim slučajevima radilo se o razmjerno sofisticiranim napadima koji su izvedeni zaražavanjem klijentskih računala kojima su mijenjane mrežne postavke a zatim je korisnicima kod pokušaja prijave prezentirana lažna stranica Internet bankarstva koja je gotovo po svemu istovjetna izvornoj, uključujući Internet adresu.

Od korisnika bi bio zahtijevan unos jednokratnih lozinki za prijavu u sustav ali i potvrdu transakcije, u nekim slučajevima čak i više takvih lozinki, dok bi se u pozadini u realnom vremenu te informacije automatski dostavljale od strane napadača autentičnom sustavu Internet bankarstva. U slučaju uspješno provedenog napada, u navedenom scenariju koji je vrlo lukavo zamišljen, moguće je prebaciti sredstva s bankovnog računa kojemu se pristupilo sa zaraženog računala na neki drugi račun budući da je korisnik napadaču sam dostavio lozinku za potvrdu transakcije.

To je ujedno jedina točka u kojoj korisnik može uočiti da nešto nije u redu budući da sustavi Internet bankarstva banaka nikada ne zahtijevaju jednokratnu lozinku za potvrdu transakcije kod prijave, već samo u slučaju provođenja stvarne transakcije.

Banke u Hrvatskoj uglavnom koriste tehnologije zaštite informacijskih sustava koje prate svjetske standarde, te s te strane bankama doista nije moguće ništa posebno zamjeriti. Razlog tome nije neka posebna dobrohotnost banaka, već jednostavna poslovna logika utemeljena na procjeni rizika, ali i prudencijalnim i obligatornim mjerama koje pred njih postavljaju kako Bazelski standardi, tako i lokalna zakonska legislativa koju HNB striktno provodi u formalnom i strukturiranom obliku već šestu godinu zaredom.

Osim toga, korisnici Internet bankarstva moraju biti svjesni kako oni za sve te usluge plaćaju budući da je naknada za Internet bankarstvo, posljednjih godina upakirana u razne pakete bankarskih proizvoda za koje se plaća mjesečna naknada, a ona je pak samo jedan dio bankarskog prihoda koji čini izdašni kolač ukupnih bankarskih naknada. Reakcije banaka bile su u početku pomalo nespretne, no to je kod najrigidnijih korporativnih sustava i za očekivati.

Prvo su objavljene tipične suhoparne izjave ureda za odnose s javnošću kao odgovor na novinske članke, da bi se onda uopćeno javila Hrvatska narodna banka, a zatim su, u zadnjih nekoliko tjedana, neke banke inkorporirale obavijesti o napadima na svoje stranice, dok neke to do danas nisu učinile. Naime, jedna velika hrvatska banka nakon prijave na sustav svog Internet bankarstva  odnedavno zahtijeva da korisnik prođe svojevrsni kratki „seminar“ o sigurnosti korištenja tog sustava, te ukazuje na sve sumnjive slučajeve i modele ponašanja sustava u kojima bi korisnik morao kontaktirati banku.

Nakon tog seminara, korisnik mora odgovoriti na nekoliko vezanih pitanja te dodatno potvrditi da razumije rizike koji proizlaze iz korištenja Internet bankarstva. Iako je sa stručnog stajališta ovakvo ponašanje banke za svaku pohvalu jer educira korisnike, sa stajališta korporativnog upravljanja, konzervativni donosilac odluke u nekoj drugoj banci mogao bi zaključiti da bi ovakvo skretanje pozornosti na problematiku moglo značiti neku vrstu priznanja da problem uopće postoji. Iz tog razloga, takve banke i dalje stoje iza stajališta kako je „kod njih sve u redu“, a „problem je kod korisnika“.

Takvo stajalište je uglavnom i opravdano, ukoliko se promatraju samo činjenice, međutim kontekst je daleko širi, pa se problematika napada na sustave Internet bankarstva može promatrati barem unutar tri okvira, a to su:

1.         Upravljanje sigurnošću informacijskih sustava,

2.         Počinjenje kaznenog djela i

3.         Korporativno upravljanje bankom i poslovnom strategijom.

Sa stajališta upravljanja sigurnošću informacijskih sustava, informacijska imovina koja je uključena u korištenje Internetskog bankarstva je sam sustav, ali nedvojbeno i klijentsko računalo s kojega se njemu pristupa te računalna mreža između dva entiteta. Međutim, klijentsko računalo nije pod izravnom kontrolom banke te će banka zasigurno dokazivati, a vjerojatno u tome i uspjeti, da ona ne može utjecati na iskorištavanje ranjivosti informacijske imovine koja se ne nalazi neposredno pod kontrolom banke.

Nadalje, za očekivati je kako će se zbog prirode napada u dnevnicima pristupa Internet bankarstvu nalaziti takvi unosi koji ukazuju da su sve radnje vezane uz prijenos novca obavljene s klijentskog računala i zapravo inicirane od strane klijenta, te stoga banka ne odgovara za takvu transakciju jer je scenarij s legalističke strane zasigurno predviđen prihvaćenim općim uvjetima korištenja usluge.

Sa stajališta počinjenog kaznenog djela, oštećena stranka će dokazivati kako ona nije inicirala inkriminirane transfere iako se u dnevnicima pristupa nalaze unosi koji ukazuju na njeno klijentsko računalo. Pritom će s obzirom na prirodu korištene informacijske imovine biti razmjerno manje tragova koji će moći dati korisne informacije pri dokazivanju te se korisnik u ovakvom slučaju nužno nalazi u podređenom slučaju a osobito s obzirom na činjenicu da mu je novac uzet s računa.

Ovdje je ključno istražiti je li moguće zaključiti tko je zapravo počinitelj tog djela što će s obzirom na prirodu napada biti jako teško, ako ne i nemoguće učiniti. Vjerojatno će bolje tragove u tom smislu može pružiti međubankarska suradnja i trag transfera novca od istraživanja tragova u dnevnicima pristupa i na klijentskom računalu.

Ovakvi slučajevi zasigurno će otvoriti raspravu o tome kolika treba biti uključenost banaka u edukaciju krajnjih korisnika pri korištenju Internet bankarstva. Dobrim dijelom, ono se svodi na ugovor o sklapanju usluge i izdavanje uređaja za autorizaciju (tokeni, razni USB priključni uređaju, u prošlosti TAN kartice), uz kratke upute za korištenje. Usprkos visokoj penetraciji Internet bankarstva u poslovnu i privatnu sferu, greške pri korištenju na koje se nailazi u praksi su i dalje početničke: od dijeljenja kartica i pristupnih lozinki između više osoba, preko ostavljanja priključenih uređaja za autorizaciju i kad se te usluge ne koriste što vodi do mogućnosti napada druge vrste, odnosno unutrašnjih napada.

Stoga je potrebno pozdraviti napore banke koja se nije zamarala PR konstrukcijama već je u svoj proces uključila i dosta „nasilnu“ edukaciju korisnika ako namjeravaju nastaviti koristiti servise Internet bankarstva.

Potrebno je napomenuti i kako će ovakvi slučajevi zadati dodatnu glavobolju direktnim dionicima u procesu, a to su Državno odvjetništvo, sudovi i policija, te sudskim vještacima koji će se morati očitovati o činjenicama temeljem raspoloživih dokaza, a temeljem kojih Državno odvjetništvo i sudovi donose odluke.

Zanimljivo je da niti jedno osiguravajuće društvo nije u ovoj situaciji uočilo prigodu da makar iz marketinških razloga ponudi na tržištu uslugu osiguranja informacijskih sustava od napada ove vrste. Naime, osiguranje od incidenata informacijske sigurnosti još uvijek je razmjerno zapostavljeni segment osiguravajuće industrije na globalnoj razini. Ono osiguravajuće društvo koje bi na lokalnoj razini prvo ponudilo iskoristiv paket ili oblik takvog osiguranja zasigurno bi moglo postati prepoznato, makar u inicijalnom periodu, kao lider u tom segmentu. Takvo osiguranje mogle bi na razini sustava sklapati same banke koje ionako moraju prikupljati podatke o svojim incidentima informacijske sigurnosti, ili bi se moglo nuditi krajnjim korisnicima sustava, odnosno kao dio paketa bankarskih usluga. Za kreiranje komercijalnih ponuda osiguravajuće bi društvo trebalo imati podatke o frekvenciji i utjecaju nastupa ovakvih incidenata, što bi se u okviru aktuarske matematike moglo postaviti problematičnim ulaznim parametrom.

Nažalost, još jednom se potvrdilo kako se pažnja javnosti na informacijsku sigurnost skrene isključivo kada nastupe incidenti, a osobito ako su oni financijski mjerljivi. Napadi na sustave Internet bankarstva imaju mjerljivu štetu po klijenta a postoji i šteta po banke koju je nešto teže kvantificirati. Doba u kojemu se nalazimo i ono koje nam tek predstoji doba je u kojemu će korisnicima postati jasno kako koncept apsolutne informacijske sigurnosti ne postoji već je njena razina funkcija resursa uloženih u postizanje zadovoljavajuće razine sigurnosti o kojoj bi doista svatko za sebe morao promisliti koja je. U ovom smislu, ti su resursi vrijeme, novac i znanje. Budući da je iluzorno očekivati kako će krajnji korisnici implementirati sve ove mjere na tehnički zadovoljavajućoj razini, bankama bi bilo od koristi da se makar u edukaciju korisnika uključe i preventivno, a ne samo kurativno.