V Nacionalnem odzivnem centru za kibernetsko varnost (SI-CERT) so lani obravnavali 4.132 incidentov, med katerimi je bilo 1.439 takšnih, ki sodijo v kategorijo ribarjenja. Konec avgusta lani so se ukvarjali z valom tovrstnih napadov na komitente različnih slovenskih bank, katerih cilj je bil pridobiti podatke za aktiviranje mobilne denarnice. Ta val je trajal vse do začetka leta 2023 in je bil tako obsežen, da so v povprečju vsak dan obravnavali približno šest, v konicah pa tudi več kot 15 napadov. V Združenju bank Slovenije (ZBS) so pred kratkim začeli akcijo ozaveščanja o spletnih prevarah, s katero želijo doseči, da bodo uporabniki bančnih storitev znali prepoznati poskuse prevar in se nanje ustrezno odzvati.
Kot pojasnjuje SI-CERT, je ribarjenje za podatki vrsta napada z lažnim predstavljanjem, najpogosteje v elektronskih sporočilih, ki poskušajo prejemnika prepričati o razkritju občutljivih podatkov. Dva izmed najpogostejših ciljev napadov sta prav pridobitev prijavnih podatkov za spletne banke in podatkov o kreditnih karticah.
Takšno sporočilo prejemnika nagovarja h kliku na povezavo, običajno pod krinko nekega nepredvidenega dogodka, ki zahteva hitro ukrepanje. Povezava vodi na ponarejeno spletno stran, ki zahteva vpis uporabniškega imena, gesla in drugih osebnih podatkov. S temi podatki lahko napadalci v imenu žrtve na svojem telefonu aktivirajo mobilno denarnico ter prek nje opravljajo spletne nakupe, opozarjajo v SI-CERT.
Zakaj uporabniki nasedejo lažnim obljubam
»Stranke bank in hranilnic najpogosteje nasedejo takrat, ko so zavedene z različnimi tehnikami socialnega inženiringa, torej ko nasedejo obljubam o hitrih in visokih donosih (investicijske prevare), ko so prestrašene (obljuba o pravni pomoči, ki jim bo omogočila povrnitev vplačanih sredstev v, denimo, kriptovalute), ko si nekaj močno želijo (lažni krediti) ali ko gre za čustveno navezanost in s tem povezane želje (ljubezenske prevare),« je v svojem odgovoru ZBS povzel drugače formulirane, krajše in manj celovite odgovore, ki smo jih dobili iz posameznih domačih bank.
Prispevek digitalizacije k rasti prevar
V ZBS poudarjajo, da se z razvojem novih tehnologij in širjenjem digitalizacije na vsa življenjska področja povečuje tudi število drugih vrst spletnih prevar. Na drugem mestu so tako investicijske prevare, katerih žrtve so predvsem neizkušeni vlagatelji v vrednostne papirje in kriptovalute, oškodovani pa so lahko tudi za več deset tisoč evrov. Združenje bank podatkov sicer ne zbira, zato ne vedo, koliko škode kibernetski kriminal povzroči slovenskim bankam, je pa SI-CERT objavil, da je skupni znesek finančne škode obravnavanih incidentov v letu 2021 v Sloveniji znašal kar 1,45 milijona evrov, kar sicer še zdaleč ni končni znesek, ker prijava višine škode ni obvezna.
Na ZBS opozarjajo, da bankam vsako oškodovanje povzroča dodatne stroške in vpliva na zaupanje vanje. Zato si banke in hranilnice prizadevajo za varno izvajanje lastnih procesov poslovanja svojih strank, del česar je tudi ozaveščanje uporabnikov spletnih storitev. Banke in hranilnice so tako na spletnem mestu pazi.se ter na svojih spletnih straneh zbrale vrsto koristnih informacij o najpogostejših vrstah spletnih in drugih prevar.
Rast števila napadov na finančni sektor
V bančništvu in nasploh v finančni panogi pomen kibernetske varnosti stalno raste, ne le zato, ker so v igri veliki zneski, temveč tudi zaradi možnih širših posledic na gospodarstvo in različne panoge. Varnostno podjetje Humanize je objavilo, da je rast izjemno nevarnih kibernetskih napadov lani zabeležilo 63 odstotkov finančnih ustanov, kar je 17 odstotnih točk več kot leta 2021. V obsežni raziskavi ponudnika infrastrukturnih oblačnih in omrežnih IT-rešitev Sangfora je 70 odstotkov udeležencev potrdilo, da so bili žrtve kibernetskih napadov.
Analitsko podjetje Gartner pa napoveduje, da bo v letu 2025 v svetu 45 odstotkov organizacij doživelo kibernetski napad, visok odstotek napadov pa lahko pričakujejo tudi finančne ustanove.
Tristokrat več napadov kot drugje
Boston Consulting Group poudarja, da so bile v letu 2022 banke in druge finančne ustanove kibernetskim napadom izpostavljene 300-krat bolj kot druga podjetja in organizacije. Podobno oceno navaja ameriška centralna banka Fed in ob tem opozarja, da ta podatek najbolje ponazarja, kako privlačen je finančni sektor za kibernetske kriminalce.
V povezavi z navedenimi podatki je raziskava Združenja ameriških bančnikov (ABA) pokazala, da je osem od desetih članov upravnih odborov in vodstvenih timov, ki so v njej sodelovali, potrdilo, da njihova banka načrtuje povečanje proračuna za varnost.
Ogrožena denarna sredstva
Glavni razlogi za izjemno skrb za kibernetsko varnost v bančnem in finančnem sektorju so dejstvo, da se brezgotovinsko plačevanje stalno širi in je vse več finančnih transakcij digitalnih, možnost, da šibka kibernetska varnost ogrozi denarna sredstva večine strank, ter dejstvo, da so stroški okrevanja po kršitvi varnosti ogromni, okrevanje pa počasno.
Lani uvedeni regulatorni predpisi v ZDA finančne organizacije zavezujejo, da pristojne ustanove redno obveščajo o stanju varnosti. Banke morajo med drugim informirati regulatorne službe o vsakem varnostnem incidentu, kot so hekerske aktivnosti, izsiljevalski virusi, napadi DDoS, napadi, ki temeljijo na socialnem inženiringu, kršitve varnosti v oblaku, zlorabe ranljivosti IoT-sistemov in drugo. Podobne predpise imajo Evropska unija, Združeno kraljestvo, Avstralija in druge države.
Izsiljevalski virusi in hibridno delo
Bankam in drugim finančnim ustanovam po vsem svetu zadnja leta ogromno skrbi povzročajo izsiljevalski napadi, pri katerih se položaj očitno ne bo kmalu izboljšal. Napad lahko ohromi ustanovo za daljši čas, plačilo zahtevane vsote kriminalcem pa ne zagotavlja, da bo žrtev od njih dobila nazaj nadzor nad sistemi, opozarjajo strokovnjaki. Skoraj tri leta trajajoča pandemija je za vedno spremenila delovne navade in močno okrepila delo od doma oziroma na daljavo, ustvarila hibridno delovno silo in prinesla programske sisteme v oblaku. Zaposleni in stranke danes do podatkov in računov pogosto dostopajo iz sistemov in omrežij, ki jih ne nadzorujejo banke in finančne ustanove. Zato se eni in drugi na področju kibernetske varnosti soočajo z več potencialnimi ranljivostmi kot kadarkoli prej.
Nevarnost v oblaku in socialni inženiring
Ker je vse več programskih sistemov in podatkov shranjenih v oblaku, se povečuje število oblačnih kibernetskih napadov, ki so postopoma postali prevladujoča oblika kibernetskih groženj v bančni panogi. Med največje kibernetske grožnje za bančništvo in finance sodi tudi socialni inženiring – ljudje so namreč najbolj ranljiv člen v varnostni verigi, saj lahko kriminalci od njih pridobijo občutljive podrobnosti in poverilnice. Nepridipravi namreč lahko zaposlene v banki ali njene stranke prelisičijo s socialnim inženiringom, ki se pojavlja v različnih oblikah, predvsem kot napad ribarjenja (phishing), njegove podvrste kitolova (whaling), ki je usmerjen na glavne, finančne in druge direktorje, ali pa kot oblika lažnega računa iz vira, ki je na videz vreden zaupanja.
Med glavne kibernetske grožnje v finančni panogi se uvrščajo tudi napadi na dobavne verige, pri katerih so prva tarča zlonamerne kode dobavitelji ali skrbniki programske opreme, prek katerih se ta potem razširja na partnerje in stranke znotraj verige.
Številni varnostni izzivi
Mnogi napadi, povezani s finančnimi ustanovami in njihovimi strankami, ostajajo skriti očem javnosti. Podjetje DeskAlerts ocenjuje, da je eden glavnih kibernetskih izzivov, pred katerimi so banke, nezadostno število izobraženih in izkušenih strokovnjakov za varnost. Drugi izzivi vključujejo neinformirane zaposlene, ki bodisi niso bili ustrezno usposobljeni za kibernetsko varnost bodisi je njihovo usposabljanje že zastaralo in ne vključuje novih tveganj, šibke poverilnice, ki jih uporabljajo zaposleni, ter pomanjkljive mobilne naprave in aplikacije, ki jih stranke uporabljajo za bančništvo.
Tveganje zaradi človeških napak
Razvijalec programske opreme DeskAlerts opozarja, da je v bankah in drugih finančnih ustanovah komunikacija ključna, ko gre za ozaveščanje o kibernetski varnosti in preprečevanju incidentov. Bankam oziroma ustanovam svetuje, da izdelajo ustrezne strategije seznanjanja zaposlenih z obveznostmi glede varnosti podatkov in novih groženj. Pri čemer kot največje grožnje njihovi kibernetski varnosti navaja uporabo nešifriranih podatkov, zlonamerno programsko opremo, storitve tretjih oseb, ponarejanje in ribarjenje. Največja grožnja pa so napake zaposlenih, ki podatke in sisteme izpostavljajo tveganju ter prevarantom omogočijo dostop do občutljivih podatkov, ker uporabijo slabe poverilnice, ne zaščitijo pravilno svojega gesla, kliknejo na zlonamerno spletno povezavo ali odprejo priponko z zlonamerno e-pošto.
Med rešitvami za izboljšanje položaja DeskAlerts navaja partnerstvo z varnostnimi podjetji za pomoč pri zagotavljanju zaščite, nakup najboljše opreme za odkrivanje groženj in odzivanje ter uvajanje programov stalnega usposabljanja na področju varnostnega zavedanja in izvajanje usposabljanja za stranke ter tudi nakup boljših mobilnih naprav na strani uporabnikov.