Peniaze v bankách boli pre zlodejov odjakživa veľké lákadlo. Bankové domy vždy museli do ochrany investovať nemalé sumy a vymýšľať, ako sa brániť pred útokmi kriminálnikov. Hoci aj v súčasnosti zlodeji prepadávajú pobočky a strážne služby prevážajúce hotovosť alebo kradnú bankomaty, tie najväčšie hrozby a riziká na banky a ich klientov čakajú na internete.

Je to prirodzené, lebo od konca dvadsiateho storočia sa bankovníctvo presúva čoraz viac do online sveta. Malvér, krádeže identít, phishing, úniky citlivých dát z interných bankových systémov – to je len niekoľko hrozieb, s ktorými dnes musia oddelenia rizík v bankách rátať. V stávke je veľa, napríklad výpadok bankových služieb, finančná strata, ale predovšetkým – a toho sa bankári boja najviac – poškodenie dobrého mena.

Riziká sú znásobené tým, že útočníci sú dnes vynaliezavejší, organizovanejší a nebezpečnejší ako kedykoľvek v minulosti, takže aj tie najlepšie zabezpečenia a opatrenia nedávajú nikomu pocit istoty. Navyše, ako konštatuje štúdia Global Financial Services Security Survey od firmy Deloitte, v súčasnosti nie je nebezpečenstvom iba rastúca sofistikovanosť hrozieb, ale aj klesajúce nároky na know-how potrebné na podvodné aktivity. Inými slovami, vďaka voľne dostupným nástrojom sa poľahky môžu stať kybernetickými podvodníkmi aj ľudia s minimálnymi technickými znalosťami.

Povinný základ

Základné požiadavky na technologické zabezpečenie ukladá bankovým domom zákon o bankách a regulátor, Národná banka Slovenska. Povinné sú pravidelné audity, napríklad overovanie bezpečnosti informačného systému. Ďalšie požiadavky na dodržiavanie bezpečnostných štandardov majú kartové spoločnosti ako VISA alebo MasterCard.

Zabezpečeniu kľúčových systémov by banky pravdepodobne venovali veľkú pozornosť aj bez legislatívnych nariadení, lebo pri výpadku môže dôjsť k odstaveniu viacerých procesov a k ochromeniu fungovania celej banky. Preto sa každá zaoberá problematikou kontinuity procesov. Inými slovami, ako čo najrýchlejšie obnoviť poskytované služby po prípadnom výpadku.

Prirodzene, ideálne je, ak bankové systémy nemajú diery, ktoré útočník pozná a dokáže využiť, takže k žiadnemu výpadku či inému incidentu nedôjde. Ako slabé miesta v infraštruktúre eliminovať? Vedúci oddelenia bezpečnosti v Tatra banke Marek Zeman sa snaží, aby firewall, aplikačný aj webový server a iné ochranné časti IT infraštruktúry neboli od toho istého výrobcu. „Lebo ak má niektorá súčasť výrobku bezpečnostnú dieru, je vyššie riziko, že rovnaká chyba bude aj v ostatných zariadeniach tej istej značky,“ vysvetľuje.

Okrem základného a povinného zabezpečovania infraštruktúry sledujú ľudia zodpovední za riziká, čo sa deje vo svete. „Ak niekto v Indii vymyslí geniálny útok, do niekoľkých mesiacov ho pravdepodobne niekto vyskúša u nás,“ podotýka M. Zeman. Informácie z domácej scény si banky vymieňajú cez Slovenskú bankovú asociáciu, ktorá monitoruje bezpečnostné incidenty. Ak niekto podnikne útok na slovenskú banku, nie je otázka mesiacov, ale dní a možno len hodín, keď sa s niečím podobným stretnú aj konkurenti.

Achillova päta

Keď banky rozmýšľajú nad bezpečnosťou, berú do úvahy všetky kanály, cez ktoré so zákazníkmi prichádzajú do kontaktu. Čiže internet či call centrum, pobočky alebo osobnú návštevu pracovníka banky u klienta. Niektoré zavádzajú moderné formy ochrany aj v pobočkách. Napríklad Tatra banka používa na overovanie podpisov klientov digitalizovaný podpis. Ide o systém, ktorý automaticky overuje pravosť podpisu nielen na základe vizuálneho porovnania, ale aj rýchlosti, akou sa klient podpisuje, tlaku na podložku, ktorú pri tom vyvíja, a iných kritérií.

Najcitlivejším miestom je však internet. V online svete hrozia pri prelomení ochrany oveľa väčšie škody, lebo v jednom okamihu môže útočník urobiť tisícky transakcií a nie je limitovaný aktuálne dostupnou hotovosťou tak ako lupič, ktorý prepadne pobočku.

Riziká internetového bankovníctva spadajú do dvoch základných kategórií. Prvá je o tom, že na internete, ako sa vraví, nikto nevie, že na druhej strane sedí pes. Na rozdiel od návštevy klienta v pobočke sa pri komunikácii cez internet banka spočiatku baví s anonymom, ktorého treba autentifikovať. „Keď sa niekto prihlási pod určitým menom a heslom, v tej chvíli prinajlepšom iba tušíme, že ide o osobu, za ktorú sa dotyčný vydáva,“ pripomína M. Zeman.

V súčasnosti najrozšírenejší spôsob útoku je zmeniť informáciu, ktorú klient cez sieť odošle. Čiže ak klient zadá sumu na prevod a číslo účtu, kam majú peniaze odísť, neznamená to, že do bankového systému príde presne tá istá informácia. Proti takémuto útoku sa banka bráni aktívnymi prvkami.

Ochrana online bankingu

Spôsoby, ako banky overujú transakcie cez najcitlivejší kanál pre interakciu s klientmi, čiže internet banking, sa veľmi nelíšia. V minulosti to boli grid karty, ale táto forma zabezpečenia je na ústupe, odkedy sa objavil vírus, ktorý obsahoval webové templaty všetkých slovenských bánk a odchytával jednotlivé číselné pozície grid kariet.

Dnes sa najčastejšie používajú na overenie transakcií SMS kódy, hoci ani tie podľa M. Zemana nie sú už takým silným zabezpečením, ako boli pred tromi rokmi. Na Slovensku sa už objavili prípady, keď podvodníci s falošným občianskym preukazom prišli do pobočky mobilného operátora, povedali, že stratili SIM kartu, a požiadali o novú, aby mohli prijímať potvrdzujúce kódy a vyrabovať poškodenému účet.

Tatra banka od klientov vyžaduje, aby používali pri transakciách špeciálne zariadenie. „Uvedomili sme si, že počítač klienta nemôžeme považovať za dôveryhodný, preto sme zaviedli na realizáciu transakcií kartu a čítačku,“ vysvetľuje M. Zeman. Čítačka využíva jednorazové heslo, platné iba pre dané prihlásenie. Grid karty už banka využíva minimálne a v októbri tohto roku ich odstaví úplne.

Okrem zavádzania bezpečnostných prvkov na overovanie totožnosti a potvrdzovanie transakcií sa banky snažia aktuálne hrozby virtuálneho sveta eliminovať aj osvetou a systémami na prevenciu, o ktorých väčšina ľudí ani nevie. Takým je napríklad systém detekcie podvodov, ktorý monitoruje správanie každého klienta v online prostredí.

Systém sleduje, odkiaľ a kedy sa kto prihlasuje a aké transakcie vykonáva. Ak správanie vybočí zo zaužívaných zvyklostí alebo systém zaeviduje v priebehu niekoľkých hodín prihlásenie z Bratislavy a následne z Kuala Lumpuru, môže buď nalogovanie odmietnuť, alebo sprísniť ochranu. Ak ide o typický prístup zo známej IP adresy v hodinách, keď sa klient obvykle prihlasuje, môže systém, naopak, pre zvýšenie komfortu bezpečnostné prvky obmedziť.

Hlavné bariéry informačnej bezpečnosti vo finančných inštitúciách
(%)

PRAMEŇ: Deloitte, 2010 Financial Services Global Security Study

Drahý špás

Zabezpečenie informačných systémov, systémy pre detekciu podvodov, autentifikačné riešenia – to všetko stojí banky nemalé peniaze. Presnejšie, zhruba tri až štyri percentá z rozpočtov na celé IT. M. Zeman pripomína, že cieľom nie je a nikdy nebude vynulovať všetky riziká, lebo ak by to vôbec bolo možné, náklady by boli enormné: „Cieľom je eliminovať straty na prijateľnú úroveň.“

Aj preto banky zavádzajú väčšinu nových opatrení, až keď nejaký incident nastane alebo ak bezprostredne hrozí, lebo sa vyskytne v okolitých krajinách. „Veľmi zriedkavo riešime niečo, čo sa ešte nestalo, s čím nikto nemá skúsenosť. Vždy sa vychádza z udalostí, ktoré sa stali,“ hovorí M. Zeman, ktorý na každú veľkú požiadavku, s ktorou ide za predstavenstvom, vytvára biznis case. To znamená, že vyčísľuje, koľko by konkrétne incidenty banku stáli, s akou pravdepodobnosťou nastanú, koľko stojí ochrana, a pridáva aj odporúčanie, ako rýchlo treba príslušné opatrenia urobiť.

Hoci niektoré finančné inštitúcie, napríklad poisťovňa Uniqa, manažérov informačnej bezpečnosti outsourcujú od externých firiem, pracovníci zodpovední za bezpečnosť či riziká sa o nedostatok práce obávať nemusia. Okrem toho, že sú na internete čoraz dostupnejšie nástroje, ktoré umožňujú skúšať kybernetické útoky a podvody aj amatérom, prinesú bankám nové výzvy aj trendy, ako je teleworking. „Tak ako v iných firmách, aj v bankách chcú ľudia pracovať z domu a to prináša riziko, lebo sa chcú pripájať z nedôveryhodného miesta cez zariadenia, ako sú smartfóny či tablety, ktoré nie sú pripravené na prácu v podnikovom prostredí,“ naznačuje M. Zeman príklad, aká agenda oddelenia rizík v bankách čaká.