Photo by ctoinformer.com
Του Γιάννη Γορανίτη
Ένας νέος γύρος stress-tests σχεδιάζεται ήδη για τις ευρωπαϊκές τράπεζες. Μόνο που αυτή τη φορά δεν θα δοκιμαστούν οι αντοχές τους σε μια ενδεχόμενη έντονη οικονομική κρίση, αλλά οι αντοχές τους απέναντι στις κυβερνοεπιθέσεις και τις άλλες απειλές.
Η πληροφορία δημοσιεύτηκε την περασμένη εβδομάδα στο Reuters και επιβεβαιώθηκε από νεότερα ρεπορτάζ τόσο από αξιωματούχους της ΕΕ όσο και από τραπεζικές πηγές.
Η ανησυχία άλλωστε είναι έκδηλη. Η αλματώδης αύξηση στα κυβερνοεπιθέσεις εναντίον τραπεζικών συστημάτων και οι ολοένα πιο απειλητικές διαθέσεις των hackers απέναντι στα τραπεζικά συστήματα, σε συνδυασμό με την γεωμετρική ανάπτυξη της τεχνολογίας blockchain (στην οποία βασίζονται τα εικονικά νομίσματα τύπου Bitcoin), δημιουργούν έντονο προβληματισμό.
Το μεγάλο χτύπημα στο δίκτυο SWIFT
Ένας ακόμη κρίκος στην αλυσίδα των κυβερνοεπιθέσεων που ανησυχούν –αν όχι τρομοκρατούν– τους αρμόδιους ήρθε να προστεθεί τον περασμένο Φεβρουάριο, όταν hackers εισέβαλαν στο δίκτυο της κεντρικής τράπεζας του Μπαγκλαντές και μέσω αυτού απέκτησαν πρόσβαση στο δίκτυο διεθνών συναλλαγών SWIFT. Συνολικά υπεξαίρεσαν μόνο $81 εκατ. και λέμε «μόνο» γιατί η επίθεση έγινε εγκαίρως αντιληπτή και ανακόπηκε.
Η SWIFT αποκάλυψε επίσης ότι τον περασμένο Νοέμβριο hackers εισέβαλαν στο δίκτυο της βρετανικής Tesco Bank υπεξαιρώντας από λογαριασμούς τουλάχιστον 20.000 πελατών περισσότερες από 2,5 εκατομμύρια λίρες. Με επιστολή της μάλιστα προς όλες τις συνεργαζόμενες τράπεζες προειδοποίησε ότι οι επιθέσεις αυτού του είδους «είναι εδώ για να μείνουν».
Για του λόγου το αληθές, λίγες εβδομάδες αργότερα ξεδιπλώθηκε μία καλά συντονισμένη επίθεση τύπου DDoS ενάντια στις μεγαλύτερες ρωσικές τράπεζες, ενώ δημοσιοποιήθηκαν λεπτομέρειες για τις διαδικτυακές επιθέσεις που δέχτηκαν τράπεζες στο Βιετνάμ και τον Ισημερινό.
Τα κρούσματα αυτά αλλά και πολλά ακόμη μικρότερης κλίμακας υποχρέωσαν την Ευρωπαϊκή Αρχή Τραπεζών να σημειώσει στην ετήσια έκθεσή της, που δημοσιεύτηκε τον Δεκέμβριο, ότι οι «τράπεζες δυσκολεύονται να αποδείξουν την ικανότητά τους στην αντιμετώπιση των αυξανόμενων επιθέσεων και προσπαθειών κακόβουλων να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στα συστήματα και τα δεδομένα τους». Προς το παρόν πάντως, η ΕΑΤ δεν έχει επιβεβαιώσει επίσημα τη διεξαγωγή των stress-tests.
Ο κίνδυνος δεν είναι ένας
Ο προβληματισμός για την ασφάλεια και την επάρκεια των τραπεζικών συστημάτων περιγράφεται ως «ιδιαίτερα έντονος» και στην έκθεση της Deloitte με τις προβλέψεις της για την κανονιστική συμμόρφωση των τραπεζών για το 2017.
Όπως χαρακτηριστικά αναφέρεται στην έκθεση, «δεν πρόκειται για έναν συγκεκριμένο κίνδυνο, αλλά για μια ομάδα κινδύνων που διαφέρουν μεταξύ τους» και γι' αυτό είναι δυσκολότερο να αντιμετωπιστούν.
Ενδεικτικά αναφέρονται παραδείγματα κυβερνοεπιθέσεων, όπως η επίθεση στο λειτουργικό σύστημα της τράπεζας, ο αποκλεισμός των χρηστών από την πρόσβαση στα υπολογιστικά συστήματα ή τα δεδομένα τους, η κλοπή ή ακόμη και εσκεμμένη καταστροφή των δεδομένων και των συστημάτων, αλλά και η δημοσιοποίηση εμπιστευτικών δεδομένων, εγγράφων και ευαίσθητων στοιχείων.
Ως εκ τούτου, οι ερευνητές της Deloitte συστήνουν την ακόμη πιο εντατική αντιμετώπιση των κινδύνων αυτών και την άμεση κατάρτιση προγραμμάτων ασφαλείας και συμμόρφωσης στις σχετικές οδηγίες. Το αρμόδιο τμήμα οικονομικών υπηρεσιών της πολιτείας της Νέας Υόρκης (DFS) συστήνει την τακτική διεξαγωγή stress-tests: ετήσια δοκιμή ασφάλειας από απόπειρες διείσδυσης, τριμηνιαίες δοκιμές τρωτότητας, αλλά και πλήρη συμμόρφωση με τις οδηγίες των ρυθμιστικών αρχών.
Και οι Βρετανοί έτοιμοι για stress-tests
Με πρόσφατη δήλωσή του, ο υποδιοικητής της Τράπεζας της Αγγλίας (BoE) επιβεβαίωσε ότι εξετάζει ήδη την επέκταση των δοκιμών σε κινδύνους από κυβερνοεπιθέσεις. Εξετάζεται μάλιστα η ένταξη των σχετικών δοκιμών στα πλαίσια των τακτικών stress-tests.
Ο Greg Sim, CEO της εταιρείας ασφαλείας Glasswall Solutions θεωρεί ότι οι κινήσεις αυτές είναι προς τη σωστή κατεύθυνση, αλλά εξηγεί ότι δεν είναι αρκετές, καθώς οι κυβερνοεγκληματίες εξελίσσουν διαρκώς τις τακτικές τους. «Μία δοκιμή κάθε δύο χρόνια, δεν είναι αρκετά συχνή ώστε να ανταποκριθεί στον ρυθμό αύξησης των σύγχρονων κυβερνοαπειλών.
Αναδεικνύει μάλιστα το μέγεθος του κινδύνου και θεωρεί ότι η κυβερνοασφάλεια οφείλει να τεθεί ως η υπ' αριθμό ένα προτεραιότητα των τραπεζικών και χρηματοοικονομικών οργανισμών για το 2017. Θεωρεί μάλιστα ότι οι επιθέσεις θα πολλαπλασιαστούν το αμέσως επόμενο διάστημα.
datacentervision.com
