6 KROKÓW, ZACZERPNIĘTYCH Z SEKTORA BANKOWEGO, KTÓRE KAŻDA FIRMA POWINNA ZROBIĆ DO OSIĄGNIĘCIA PEŁNEGO BEZPIECZEŃSTWA

Zakończył się czas e-maili, w których oszuści pytali cię, w niepoprawnej gramatycznie formie, o sprawdzenie konta za pomocą linku wstawionego do przesłanej wiadomości. Dziś hakerzy i oszuści osiągnęli bardzo wysoki poziom profesjonalizmu. Niektórzy mają nawet własne centrum obsługi telefonicznej, gotowe odpowiedzieć, jeśli nie wiesz jak zapłacić okup w związku z atakiem oprogramowania ransomware. Ale jak wykrywać cyberataki i jak im zapobiegać? I jak odpowiednio zareagować w przypadku ataku? Z okazji seminarium SecureLink Checkup, Sandro Sinigaglia, szef działu ds. Zapobiegania Oszustwom Elektronicznym banku ING Belgium, podzielił się z uczestnikami doświadczeniem opartym na codziennym doświadczeniu branży finansowej.

Historycznie ujmując to sektor finansowy był głównym celem oszustów. „W czasach, gdy pieniądze są coraz częściej zdematerializowane, – kto z nas nadal płaci w twardej walucie? – sektor musi być pewien, że żadna nieupoważniona osoba działająca w sieci nie zdobędzie dostępu do bankowego sejfu. Jednym z możliwych rozwiązań technicznych jest wdrożenie procesu początkowego (front-end), który identyfikuje użytkownika, jako osobę, za którą się podaje” – wyjaśnia Karl Wouters, Key Account Sales Manager w SecureLink. „Nasze kompetencje i oferowane przez nas wysokiej jakości certyfikaty umożliwiają integrację właściwych systemów i zapewniają bezpieczne rozwiązania dla naszych klientów.”
W razie wystąpienia incydentu użytkownik powinien posługiwać się „mapą drogową” i starannie ją stosować. „Wszystko zaczyna się od dokładnego przygotowania. Ale nie można zaniedbać analizy a posteriori. Jest to ważny krok, jeśli chcemy poradzić sobie z podobnymi zdarzeniami w przyszłości lub nawet ich uniknąć” – mówi Sandro Sinigaglia, szef ds. Zapobiegania Oszustwom Elektronicznym w ING Belgium.
Przygotowanie
Musisz być przygotowany, aby zareagować w razie incydentu. Musisz wiedzieć, co robić. W tym celu ważne jest, aby móc gromadzić istotne elementy dla obiegu informacji. Inna rada: aktualizuj własne procedury na podstawie otrzymanych informacji. „Dokonaj rozróżnienia działań na te systematycznie dozwolone, te zawsze blokowane i na tzw. „szarą strefę”, czyli działania, o których nie wiadomo czy należy je natychmiast zablokować, ale które należy na pewno obserwować” – wyjaśnia Sandro Sinigaglia. Sprawdź też zasoby wewnętrzne, zarówno pod względem dostępnego wyposażenia, jak i zatrudnionych pracowników. Pamiętaj, aby zapewnić niezbędne szkolenia i nie dopuścić aby zdobyta wiedza, wyciekła z przedsiębiorstwa. Jednym ze sposobów na zachowanie tej wiedzy jest dzielenie się nią.
Niezbędne jest również symulowanie sytuacji kryzysowej i regularne przeprowadzanie ćwiczeń. Sandro Sinigaglia: „Wiele osób na etapie przygotowawczym zapomina określić, czym jest „kryzys” i co odróżnia go od incydentu. My definiujemy to, jako coś, na co nie możemy znaleźć rozwiązania, nawet po konsultacji z naszymi ekspertami.”
Identyfikacja
W przypadku wystąpienia incydentu ważne jest, aby dokonać właściwej oceny monitorując sygnały ostrzegawcze. „W rzeczywistości jest to proste: czy zdaję sobie sprawę z tego, co się dzieje? W sektorze bankowym dotyczy to autoryzacji niektórych transakcji. Jeśli nie wiesz, co się dzieje, masz problem. Wtedy należy przejść do następnego kroku ” – mówi Sandro Sinigaglia. Podkreśla również znaczenie „case management” szczególnie, gdy kilku członków zespołu lub kilka działów pracuje nad tym samym incydentem. Dzięki temu każdy wie, jakie działania podjąć i jak sprawdzić, czy te działania zostały faktycznie przeprowadzone.
Zatrzymać krwawienie
W momencie wykrycia incydentu należy podjąć działania, aby go powstrzymać. W sektorze bankowym istnieje szereg opcji takich interwencji. Można na przykład zawiesić transakcję lub tymczasowo zablokować konto. „W trakcie trwania zawieszenia lub blokady możliwe jest sprawdzenie wiarygodności transakcji za pomocą innego kanału komunikacyjnego, na przykład przez telefon. Można też sprawdzić czy mamy do czynienia z rutynową transakcją klienta „- wyjaśnia Sandro Sinigaglia.
Właśnie podczas tej fazy zespół szybkiego reagowania wkracza do akcji. Próbuje on oszacować poniesioną szkodę. „W tym momencie zastanawiasz się czy nadal masz kontrolę, czy już ją straciłeś? Jeśli nastąpiła utrata to ogłaszasz stan kryzysu i informujesz zarówno kierownictwo, jak i władze, co jest zresztą obowiązkiem.”
Wyczyść
Przed powrotem do normalnej sytuacji musisz najpierw wyeliminować zagrożenie. „Zbierz dane związane z przeżytą sytuacją i przeanalizuj je. Dowody te mogą pomóc przy opracowywaniu akt sprawy, ale także umożliwią zrozumienie, tego co się stało i wzmocnienie lub udoskonalenie procedur.”
Przywróć stan normalny
Upewnij się, że posiadasz rozpisany na etapy plan przywracania normalnego trybu działania po opanowaniu awarii. Może okazać się niezbędne zablokowanie pewnych elementów – na przykład kont bankowych, kont, których hakerzy używają do przekazywania pieniędzy lub kont mobilnych.
Pomyśl także o komunikacji i zaplanuj na przykład scenariusz dla call center, gdzie prawdopodobnie trafią tysiące pytań. „Nie ograniczaj się do pytania „czy wykonaliście takie lub inne kroki?” Ale spróbuj także, bazując na tych zgłoszeniach telefonicznych, zebrać informacje, które pomogą ci uniknąć incydentów w przyszłości” – mówi Sandro Sinigaglia.
Ucz się na błędach
Sprawa zamknięta? Niezupełnie. Możesz wiele nauczyć się na popełnionych błędach. Zidentyfikuj „powtarzające się elementy” z wcześniejszych ataków, aby móc je natychmiast kontrolować w takcie przyszłego incydentu. Aby to zrobić, należy utworzyć multidyscyplinarny zespół, w skład, którego powinni wchodzić analityk ds. oszustw, inżynier procesów, edytor reguł i – co najważniejsze – menedżer odpowiedzialny za raportowanie. „Ten ostatni jest przekaźnikiem pomiędzy współpracownikami technicznymi, tymi którzy rozwiązują problem a kierownictwem, jak i światem zewnętrznym” – mówi Sandro Sinigaglia.
Ostatni krok: napisanie raportu końcowego. „Nie rób tego w sposób zbyt techniczny. Ogranicz się do podstawowych rzeczy: raport musi pozostać prosty i zrozumiały dla kadry zarządzającej. Możesz oczywiście napisać raport “lessons learnt” dla swojego zespołu. Będzie on zawierał szczegóły techniczne, do których będzie można się odwołać w przypadku zaistnienia kolejnych incydentów w przyszłości” – radzi Sandro Sinigaglia.
Wewnętrznie czy zewnętrznie?
Wszystko może zostać zhakowane. Całkowite bezpieczeństwo nie istnieje. „Każda firma powinna wdrożyć plan działania, jak ma to miejsce w przypadku ING. Każde naruszenie bezpieczeństwa przynosi rzeczywiste szkody. Czasami jestem zaskoczony, jak bardzo niektórzy przedsiębiorcy nie przestrzegają tych kilku logicznych zasad ” – mówi Karl Wouters z SecureLink. „Niezależnie od dostępnych zasobów, powtarzającym się problemem firm jest niemożność znalezienia odpowiednich założeń ramowych.” Wiadomość do zapamiętania w tej dziedzinie to: współpracuj ze specjalistami.
„Nigdy nie porywaj się na coś, co cię przerasta” – twierdzi Sandro Sinigaglia z ING Belgium. „Zamiast to robić poszukaj ekspertów zewnętrznych. Można wybrać model, gdzie potrzebne nam usługi są zarządzane przez dostawcę zewnętrznego. Wskazówka w tym zakresie: żaden partner nie robi dokładnie tego, czego oczekujesz. Wybierz, więc partnera, któremu ufasz i wypracuj rozwiązania w ścisłej z nim współpracy. Staraj się odgrywać aktywną rolę, w przejrzysty sposób opracowując plan działania, który powinien doprowadzić cię do nowych produktów i rozwiązań. I upewnij się, że zawarłeś w umowie klauzulę zapewniającą, że twój dostawca przekaże ci tak zdobytą wiedzę.”