Klientů napadených kyberzločinci jsou stovky
Tuzemské banky čelí útokům na webu téměř nepřetržitě. Tomáš Doležal proti nim hledá obranu.
Kasařům s páčidlem odzvonilo. Elektronizace plateb je na postupu, takže bankéřům dělají stále větší starosti kybernetičtí zločinci. Proniknout do banky přímo je však pro ně kvůli stále silnějšímu zabezpečení složité, a tak to raději zkoušejí přes klienty. Je to totiž nejslabší místo.
Z hackingu se stal byznys jako každý jiný. V temných zákoutích internetu se dají koupit přístupová jména k internetovému bankovnictví nebo čísla karet. „Kradená čísla karet se prodávají po balíčcích. Ceny se na černém trhu pohybují v jednotkách až desítkách dolarů za jednu kartu,“říká šéf operačních rizik Komerční banky Tomáš Doležal.
Mohou banky zaručit stoprocentní bezpečí uložených peněz?
To asi nelze nikdy, úroveň bezpečí v bankách je ale v současnosti velmi vysoká. Vedle jednoduchých ataků se samozřejmě čas od času objevují sofistikované útoky, při nichž útočníci vyvinou enormní úsilí, aby do banky pronikli. Příprava takových útoků trvá i měsíce.
Řeknu dva konkrétní příklady. V roce 2015 odcizili útočníci z bank miliardu dolarů. Zaútočili na velké množství bank, dokázali podvrhnout řadu transakcí a odeslali platby mimo banky. Loni zase pronikli do centrální banky v Bangladéši, odkud chtěli ukrást 850 milionů dolarů. Dlouho zkoumali, jak banka funguje, postupně napadli počítače uvnitř, až se dostali k serveru, kde se zpracovávají příkazy k platbám do zahraničí. Přišlo se na to jen díky tomu, že popis jedné z transakcí obsahoval pravopisnou chybu. Přesto dokázali odeslat pryč kolem 80 milionů dolarů.
Řídíte v bance operační rizika, co to přesně obnáší?
Z pohledu regulace tvoří banky kapitálový požadavek na tři typy rizik. Největší část tohoto požadavku představuje kreditní riziko, jde asi o 80 procent. Jde o rizika spojená s úvěry v případech, kdy by lidé nebo firmy přestaly splácet.
Pak jsou tu tržní rizika, která plynou z operací na mezibankovním trhu. V Česku jsou na ně požadavky nízké, tvoří zhruba do pěti procent z celkového kapitálového požadavku, protože české banky je dělají jen omezeně.
A pak jsou tu operační rizika, kam spadají vnitřní selhání – třeba výpadky systémů, vnitřní podvod, spory s regulátorem či jakékoliv podvody u vkladů. Kapitálový požadavek pro tato rizika se pohybuje kolem deseti procent. V našem případě jde konkrétně o rezervu ve výši zhruba tří miliard korun.
Jak jste tuto částku určili?
Kapitálový požadavek se může vypočítat buď základním přístupem, kdy se jeho výše určí procentem z čistých bankovních příjmů, nebo využíváme takzvaný pokročilý přístup. To se kapitálový požadavek vypočte na základě matematického modelu, do něhož se zahrnou historické ztráty, to jsou ty očekávané, a pak řada různých scénářů s malou či mizivou pravděpodobností. I tak na ně ale musíme být připraveni.
Člověk, co takové scénáře vytváří, asi musí mít velkou představivost...
Na základě pravidelného hodnocení rizik vytváříme scénáře pro každou významně rizikovou oblast, například výpadek bankovních systémů v pobočkové síti či výpadek internetového bankovnictví. Hledáme, kde jsou úzká hrdla, snažíme se je odstranit, ale zároveň vytváříme katastrofické varianty, které mohou nastat. Musíme vědět, jak reagovat, když třeba shoří datové centrum nebo kdybychom kvůli výbuchu přišli o nějakou klíčovou budovu.
A kterou z těch oblastí vidíte jako nejrizikovější?
Obecně největší část kapitálového požadavku souvisí s riziky v informačních technologiích. Kdybychom třeba nebyli schopni v případě nějakého velkého kybernetického útoku týden provozovat platební služby, nejenže by to kvůli licenci musel řešit regulátor, ale zároveň by to mělo fatální dopad na banku. A zřejmě by to znamenalo odchod klientů.
Představme si hypoteticky, že takový týden trvající útok přijde. Co přesně budete dělat?
Dopředu se snažíme definovat záložní plány, podle nichž budeme postupovat. Pokud bychom například nebyli kvůli vyhořelé výrobní lince v Česku schopni vydávat nové platební karty, přesune se výroba k partnerskému dodavateli do Polska. Máme čtyři datová centra, dvě jsou v Česku, dvě ve Francii, kde využíváme kapacity mateřské banky. V těch budovách je většina věcí zdvojená, například přívod elektrické energie či chlazení. Pro kritické bankovní systémy využíváme datová centra v aktivním režimu, to znamená, že v případě výpadku jednoho datového centra je provoz systému automaticky odkloněn do druhého datového centra, aniž by došlo k jakémukoliv přerušení provozu.
Zažili jste už takový útok?
Jednou došlo k soustředěnému útoku na jedno z našich datových center, přehltily se vstupní linky, trvalo to do 15 minut. Dokázali jsme ale škodlivý provoz odfiltrovat od toho skutečného, technologie, které to umějí, tu jsou. Jsou to věci, které se ve světě dějí běžně.
Kolik do zajištění bezpečnosti dáváte?
Jako komerční instituce poměřujeme objem rizik s výší investice. Obecně je možné říci, že investice jdou do stovek milionů korun. Částka se neustále zvyšuje, jak hrozby narůstají. Ale myslím, že úroveň bezpečnosti bude do budoucna jednou z věcí, kterých si klient bude vážit nejvíc. Platební styk, vydání platební karty – to umí každý. Trochu se ale v této souvislosti obávám nové regulace, která přinutí banky otevřít své komunikační rozhraní třetím stranám. Pro klienty to bude výhodné, protože z jedné aplikace budou schopni ovládat všechny své účty bez ohledu na to, v jaké bance budou. Klíčové ale bude zabezpečit úroveň ochrany tak, aby nešlo provádět podvodné transakce.
Antivirové firmy říkají, že nejslabším článkem z hlediska bezpečnosti je klient. Platí to i v případě bank?
Pro útočníky je obvykle jednodušší nabourat klientovi počítač nebo telefon než proniknout do banky, která má několik vrstev zabezpečení. Setkali jsme se s konkrétní formou útoků na internetové bankovnictví, Komerční banku nevyjímaje, jak na korporátní, tak na retailové klienty. Útočníkům se podařilo zavirovat počítač a následně telefon klienta, kam banky posílají ověřovací SMS pro potvrzení platby.
Jaký je počet napadených klientů?
Klientů, kteří jsou napadeni, ale třeba ten útok nakonec není realizovaný, jsou stovky, ne-li tisíce. Snažíme se klienty aktivně chránit, mohou si nainstalovat aplikaci, kterou ve spolupráci s IBM nabízíme zdarma. Funguje to jako antivir, ale je to program specializovaný na bankovní malware – umí totiž detekovat škodlivé kódy. V případě internetového bankovnictví je nutné program instalovat na PC. V mobilním operačním systému Android je součástí aplikace a brzy bude i na iOS. Jednoduchý sken počítače na přítomnost virů proběhne i během přihlášení do internetového bankovnictví.
A když je najde, nepustí pak klienty dovnitř?
To jsme sice technicky schopni udělat, ale těžko bychom klientovi vysvětlovali, že ho nepustíme do garáže, protože má díru ve výfuku. Ale téměř okamžitě mu zavoláme a vysvětlíme, co se u něj děje na počítači. Zároveň mu poradíme, jak lze škodlivé kódy odinstalovat. A umožňuje nám to ještě jednu věc: díky množství dat vidíme, jaké vlny útoků se Českem ženou, jak se malware chová, na co útočí a podobně. A můžeme se na něj připravit.
Nemají klienti obavy, že o nich budete sbírat údaje, když si aplikaci nainstalují, a že je využijete k marketingovým účelům?
Nechceme vydělávat na poskytování získaných dat. Bankovnictví se staví na konzervativnější stranu barikády. V reálném čase zkoumáme i všechny transakce, a pokud objevíme něco podezřelého, něco, co neodpovídá profilu klienta, upozorní to analytiky. A když zjistí, že je to opravdu podezřelé, hned klientovi volají a ptají se, zda tu transakci dělá skutečně on. Jsou to stovky hovorů měsíčně a v řadě případů skutečně zabráníme podvodné platbě.
Jedna věc je zabezpečení účtu, ale co zneužití platebních karet?
Skimming, tedy instalace čtecího zařízení do bankomatu, které ukradne údaje o vaší kreditní kartě, je už na ústupu. Občas ale takové podvody proběhnou. Nedávno byla odhalena skupina, která se zaměřovala na bankomaty, které nejsou provozované bankami. Možná proto, že podvod nelze tak rychle odhalit. Naopak roste počet zneužití karet při platbě v e-shopech, a to i v souvislosti s tím, jak Češi více platí kartami a jejich čísla jsou pak u obchodníka uložena.
Jak se proti tomu bránit?
Jednou ze základních věcí, kterou by si měl každý klient hlídat, je nastavit si přísné limity, kolik lze z karty vybrat či kartou zaplatit. Většina bank také implementovala službu 3D Secure, což je mechanismus, který ověřuje transakci, podobně jako při přihlášení k účtu. Obchodník se navíc nedozví číslo karty, dostane se k němu zašifrovaná. Když jeho systémy napadne hacker, nic se nedozví. To ale platí, jen když 3D Secure používá jak banka, tak obchodník. Jinak platba probíhá v běžném režimu.
Dalo by se říci, že platit v zahraničí je větší riziko než v České republice?
Tak bych to neřekl, i když jsou samozřejmě země, kde to rizikovější je. Třeba počátkem roku jsme identifikovali podvody u karet, jimiž bylo placeno v různých čínských e-shopech, které nepoužívaly 3D Secure. Nechci tím říci, že si tyto obchody svůj byznys postavily na tom, že něco prodaly levně a ještě přeprodaly dál čísla karet. Karetní podvody jsou obecně nejrozšířenějšími podvody co do počtu, nicméně co do objemu to není významné. Kradená čísla se prodávají po balíčcích a podvodníci zdaleka nedokážou vybrat všechny.
Kolik podvodníci za jednu takovou kartu zaplatí?
Pohybuje se to v jednotkách až desítkách dolarů za jednu kartu. Na takzvaném dark webu existují ceníky podle zemí, podle typu karty, zda jde třeba o zlatou kartu, podle toho, jaký limit by na nich mohl být. A platí, že balík například německých karet gold je mnohem cennější než třeba balík českých karet.