Un hacker experimentat poate sparge majoritatea sistemelor informatice ale băncilor de top din România, folosind doar informații disponibile gratuit pe internet. Aceasta este concluzia lui Andrei Hohan, un specialist IT care lucrează pentru Enersec Technology, o companie care a testat sistemele informatice ale mai multor bănci importante din România și din Uniunea Europeană, la cererea acestora.

În urma acestor teste, a rezultat că instituțiile reușesc să se protejeze numai împotriva atacurilor standard, nu și a celor sofisticate. Motivul? Nu au specialiști suficient de bine pregătiți pentru a configura echipamentele până în cel mai mic detaliu, spune Andrei Hohan. Observațiile sale mi-au fost confirmate de mai mulți angajați din sistemul financiar-bancar. Am cerut un punct de vedere și de la Asociația Română a Băncilor, dar solicitarea mea a rămas fără răspuns.

Nu doar în România există astfel de probleme. Băncile sunt printre țintele favorite ale hackerilor din lumea întreagă, dar, de multe ori, ele neglijează aspecte importante care țin de securitatea informatică. Echipa lui Andrei Hohan, care analizează de peste 10 ani securitatea firmelor la cererea acestora, spune că, de multe ori, testele se încheie cu rezultate îngrijorătoare pentru bănci. „Peste 60% dintre atacurile create special de noi au trecut nedetectate de echipamentele de securitate”, spune el.

Aproape toate băncile din România au avut în ultimii ani probleme cu hackerii, însă acestea apar extrem de rar în presă, pentru că firmele nu sunt obligate să le raporteze. Banca Națională a României a declarat că nu deţine informaţii privind incidentele de securitate cibernetică cu care s-au confruntat băncile comerciale din țara noastră.

Hohan a testat, în ultimul an, securitatea mai multor instituții financiare din Top 10 din România, bănci care se considerau protejate în cazul unui atac. Concluzia a fost că măsurile pe care și le luaseră erau doar unele standard, care nu puneau probleme unui hacker bine pregătit. Echipamentele de securitate folosite de ele nu erau suficient de bine configurate. ”Simpla cumpărare a echipamentelor pentru protejarea sistemelor informatice nu este suficientă,” spune Hohan.

Spre deosebire de alte verificări, cele făcute de echipa lui Hohan sunt mult mai riguroase, pentru că utilizează tehnicile folosite de hackeri pentru a evita detecția. Sunt printre puținii din România care fac pentesting la nivel înalt, adică simulează atacuri reale și dure asupra băncilor, pentru a vedea dacă acestea rezistă sau nu. Testele se realizează la cererea companiilor interesate să afle ce pot păți în cazul unui atac informatic sofisticat. La final, experții vin cu recomandări menite să sporească siguranța.

În urma unui atac, hackerii pot să aibă acces la conturile clienților. De asemenea, băncile pot pierde date. „Subliniez că nu e vorba numai despre atacarea site-ului băncii, ci pot fi aplicații interne expuse în internet, aplicații pentru client, servicii a căror compromitere poate provoca pagube inestimabile”, spune Andrei Hohan.

Spre deosebire de oamenii de rând, băncile sunt mult mai des atacate, pentru că infractorii cibernetici urmăresc să facă bani. Hackerii de astăzi nu mai sunt puștani de liceu care vor să se distreze, ci grupuri organizate pe structura corporațiilor, care au inclusiv program de lucru, departament financiar și chiar suport clienți.

Securitatea băncilor trebuie să fie mult superioară utilizatorilor casnici. Pentru protecția serverelor web, se folosește un firewall mai complex (WAF - Web Application Firewall). Acesta trebuie să analizeze traficul online și să lase datele legitime să treacă, dar să oprească amenințările informatice. Hackerii experimentați reușesc să-și camufleze însă „gloanțele”, pentru ca traficul să pară curat.

Băncile de la noi au în dotare astfel de echipamente (WAF, UTM), însă, de multe ori, ele sunt ținute în configurația standard și reușesc astfel să oprească doar atacurile standard, nu și pe cele mai viclene, spune Andrei Hohan. Aceeași problemă este întâlnită și la alte firme din România care dețin servere web, inclusiv la magazine online.

Sunt însă și cazuri în care instituțiile financiare fac erori banale. Mai mulți angajați din sistem, care au dorit să-și păstreze anonimatul, mi-au declarat că încă există servere neparolate sau pe care poți intra din interior dacă folosești userul admin și parola password, considerată nesigură până și de utilizatorii unui simplu cont de email.

Războiul băncilor cu hackerii nu este unul ușor. Banca trebuie să se apere în fiecare secundă împotriva atacurilor. În schimb, un hacker trebuie să aibă doar un atac încheiat cu succes pentru a intra în sistem.

Problema instituțiilor financiare atacate de hackeri nu există doar în România. Toate băncile mari din lume, inclusiv Bank of America, Chase, Wells Fargo și JP Morgan, au pierdut bani din cauza infractorilor cibernetici. În februarie anul trecut, aceștia au atacat rețeaua bancară globală SWIFT și au reușit să fure 101 milioane de dolari de la banca centrală din Bangladeș. Până acum s-au recuperat doar 38 milioane. SWIFT avertiza, în toamnă, că este de așteptat ca în viitor să existe tot mai multe atacuri în domeniul bancar.

Costurile unui atac nu se rezumă doar la valoarea sumei furate. Raportul Cisco de securitate prezentat la începutul acestui an arată că un sfert dintre organizațiile care au avut probleme de securitate în 2016 au pierdut și clienți. Reputația firmei are de asemenea de suferit.

Îngrijorător este că firmele neglijează să investigheze mai mult 40% dintre alertele de securitate, spune același raport Cisco, iar multe alerte investigate nu se remediază. Două dintre motive ar fi complexitatea problemei și lipsa personalului calificat.

Hohan spune că majoritatea băncilor consideră că e suficient dacă investesc în echipamente de protecție. „Echipamentele de genul ăsta au fost considerate niște cutiuțe magice despre care nimeni nu își pune întrebări. Cât de bine își fac treaba, însă, nu verifică nimeni, doar se crede producătorul pe cuvânt”, spune Hohan. În opinia lui, băncile ar trebui să investească mai mult în pregătirea angajaților, dar și în testarea periodică a echipamentelor prin replicarea metodelor folosite de hackeri.

„Orice companie sau instituție care deține un WAF sau UTM este potențial vulnerabilă, în absența unei testări prealabile”, spune Andrei Hohan.

Despre autoare: Andrada Fiscutean (follow) scrie despre știință și tehnologie de aproape un deceniu. Scrie pentru platforma Motherboard (Vice), Wired, ZDNet.com și este realizatoarea știrilor de dimineață de la PRO FM.

Editor: Laura Ștefănuț (follow)

Pentru comentarii intrați pe postarea Facebook