sektor bankowy jako potencjalny cel ataku
Transkrypt
sektor bankowy jako potencjalny cel ataku
Syta J., Sektor bankowy jako potencjalny cel ataku cyberterrorystycznego. Cyberterroryzm - nowe wyzwania XXI wieku. Praca zbiorowa Jemioła T., Kisielnicki J. i Rajchel K. [red.], Wydział Wydawnictw i Poligrafii Wyższej Szkoły Policji w Szczytnie, Warszawa 2009, str. 696-703 SEKTOR BANKOWY JAKO POTENCJALNY CEL ATAKU CYBERTERRORYSTYCZNEGO Jakub SYTA1 Integralną częścią światowej infrastruktury krytycznej jest sektor bankowy. Jego potężny wpływ na światową gospodarkę jak również fakt, iż całość operacji wykonywana jest przy pomocy technik informatycznych sprawia, że stanowi on wyjątkowo atrakcyjny cel dla terrorystów działających w cyberprzestrzeni. Autor przedstawia w niniejszej pracy charakterystykę działań cyberterrorystycznych zaznaczając ich potencjalny wpływ na sektor bankowy. Zwraca również uwagę na niezbędne kierunki rozwoju zabezpieczeń. 1. Wstęp Pojęcie oraz koncepcja cyberterroryzmu, mimo że sformułowana jeszcze w latach 70 ubiegłego wieku wciąż jeszcze jest postrzegana przez pryzmat science fiction. Całkowite uzależnienie gospodarki od systemów informatycznych, możliwość zdalnego wpływania na rzeczywisty świat czy wizja złoczyńców niszczących światową sieć teleinformatyczną nie znajduje swojego miejsca w świadomości przeciętnego obywatela. Czy naprawdę jest się czego obawiać? Czy czarne scenariusze mogą się kiedykolwiek ziścić? Doświadczenia ostatnich lat pokazują, że ryzyko jest rzeczywiste. Zamachy we wrześniu 2001 udowodniły, że stosunkowo mała lecz dobrze zorganizowała grupa osób dysponująca odpowiednim zapleczem finansowym i technologicznym, przy odpowiednio dużej motywacji jest w stanie zmienić świat. Odwet na Duńczykach po umieszczeniu karykatur proroka Mahometa przez dziennik Jyllands-Posten we wrześniu 2005 roku jak również prowadzony z Rosji atak na Estonie w kwietniu 2007 w rezultacie likwidacji pomnika upamiętniającego wyzwolenie Estonii spod hitlerowskiej okupacji udowodniły, że odpowiednio zmotywowana grupa osób jest w stanie praktycznie wyłączyć infrastrukturę informatyczną całego Państwa, wliczając w to odcięcie systemów bankowych. Wreszcie kryzys ekonomiczny z 2008 roku pokazał jak niesamowita jest zależność światowej gospodarki od mechanizmów zachodzących wewnątrz sektora bankowego. Powyższe przykłady dobitnie pokazują, że pytanie „czy” nastąpi kiedyś globalny atak cyberterrorystyczny na sektor bankowy powinno być zastąpione przez „kiedy”. Waga zagrożenia powoduje, że bezpieczeństwo cyberprzestrzni stało się już jednym z ważniejszych zadań stojących przed nowym prezydentem USA [5]. Całkowita zależność światowych finansów od infrastruktury informatycznej czyni tę branże szczególnie atrakcyjnym celem. 2. Zagadnienie cyberterroryzmu Terroryzm można określić jako „stosowanie z premedytacją przemocy, przez sprawców indywidualnych, zbiorowych na skalę mniej niż narodową, albo w skali państwowej przemocy lub grożenia przemocą, z pogwałceniem prawa, dla osiągnięcia celów politycznych, społecznych i ekonomicznych, z zamiarem wywołania przemożonej trwogi na obszarze większym niż ten, w którym znajdują się ofiary atakowane lub zagrożone” [14]. A. Yonah i H. Milton zwracali też uwagę na fakt, że ulepszona technologia broni daje terrorystom przewagi jakimi wcześniej nie rozporządzali. Podawali przykład miniaturyzacji broni masowego rażenia. Ich stwierdzenie uzyskuje szczególny wymiar w przypadku cyberterroryzmu. W przypadku tego typu 1 Mgr inż. Jakub Syta, Politechnika Warszawska Syta J., Sektor bankowy jako potencjalny cel ataku cyberterrorystycznego. Cyberterroryzm - nowe wyzwania XXI wieku. Praca zbiorowa Jemioła T., Kisielnicki J. i Rajchel K. [red.], Wydział Wydawnictw i Poligrafii Wyższej Szkoły Policji w Szczytnie, Warszawa 2009, str. 696-703 ataków atakujący może być nawet nie zbliżać się w fizyczny sposób do obranego celu, a całą akcję przeprowadzać w sposób zdalny dodatkowo wykorzystując sieć przejętych przypadkowych komputerów. A. Adamski [1] podkreślił, że systemy komputerowe narażone są na zagrożenia trzema formami cyberataków: propagandowo-dezinformacyjnymi (modyfikowanie stron www, ideologiczny spamming), sabotażem komputerowym (zamachy typu odmowa usługi, rozpowszechnianie wirusów i innych destrukcyjnych programów komputerowych) oraz zamachami na krytyczną infrastrukturę połączonymi z ingerencją w jej funkcjonowanie. Jak podkreśla D. Denning [7] by cyberatak można było określić jako atak cyberterrorystyczny konieczne jest jeszcze istnienie bezpośrednie zagrożenie dla zdrowia lub mienia zaatakowanej społeczności. Mienia, które w znacznej mierze jest zarządzane przez banki i inne instytucje finansowe. Jednym z kluczowych rodzajów ataków cyberterrorystycznych będą ataki na krytyczną infrastrukturę – ataki, które poprzez sprzeczne z prawem wykorzystanie słabości komputerowych będą w stanie zniszczyć lub przerwać działanie infrastruktury krytycznej państwa. Jak zaznaczyła A. Bógdał-Brzezińska [2] jej głównymi elementami są: telekomunikacja, system energetyczny, system bankowy i finansowy, produkcja, magazynowanie oraz transport gazu ziemnego i ropy naftowej, transport, system zaopatrzenia w wodę, służby ratownicze oraz ciągłość funkcjonowania władzy i służb publicznych. Bardzo zbliżona definicja elementów infrastruktury krytycznej przedstawiona została w Rządowym Programie Ochrony Cyberprzestrzeni RP [10]: cyberprzestrzeń RP obejmuje między innymi systemy, sieci i usługi teleinformatyczne o szczególnie ważnym znaczeniu dla bezpieczeństwa wewnętrznego państwa, system bankowy, a także systemy zapewniające funkcjonowanie w kraju transportu, łączności, infrastruktury energetycznej, wodociągowej i gazowej oraz systemy informatyczne ochrony zdrowia, których zniszczenie lub uszkodzenie może stanowić zagrożenie dla życia lub zdrowia ludzi, dziedzictwa narodowego oraz środowiska w znacznych rozmiarach, albo spowodować poważne straty materialne. Obydwie listy zaznaczają rolę systemu bankowego jako integralnej części infrastruktury krytycznej – autorzy są zgodni, że ataki w tym obszarze mogą mieć wpływ na funkcjonowanie całego państwa. Wizja zafałszowania danych światowych giełd papierów wartościowych, machinacji na potężną skalę kursami walut czy modyfikowanie na potężną skalę zapisów dotyczących stanu środków na rachunkach czy poziomu zadłużenia zdecydowanie może spowodować „wywołanie przemożonej trwogi”. Masowe szturmowanie banków czy jeszcze większa niż z 2008 roku przecena wartości papierów wartościowych spowodowałoby chaos gospodarczy, pogłębiło spadek zaufania do banków, skutkowało zamykaniem przedsiębiorstw, zwalnianiem pracowników czy nawet zamrażaniem aktywów gromadzonych na rachunkach. Fakt, że kolejny kryzys mógłby być nie skutkiem zawiłego sposobu funkcjonowania produktów finansowych, niedociągnięć regulacyjnych i niedoskonałego monitorowania sektora, lecz skutkiem celowego, destrukcyjnego ataku mogłaby trwale zniszczyć zaufanie do światowych finansów. 3. Motywy D. Denning [7] napisała, że by zrozumieć potencjalne ryzyko cyberterroryzmu należy rozważyć dwa czynniki: czy są cele podatne na atak, który mogłyby doprowadzić do chaosu lub poważnych zniszczeń a po drugie czy są osoby z odpowiednimi umiejętnościami oraz motywacją by przeprowadzić atak. T. Szubrycht [11] zauważył analizując dotychczasowe przykłady przestępstw informatycznych, że dotykają one znacznej ilości osób. Tym samym jeden z zasadniczych celów terrorystów – jego medialność jest przeogromna. Już w 1997 roku Colin [6] zawracał uwagę na rosnące uzależnienie od, istniejących na pograniczu świata rzeczywistego i wirtualnego, systemów komputerowych, spowodowane ogromnym naciskiem na ograniczanie Syta J., Sektor bankowy jako potencjalny cel ataku cyberterrorystycznego. Cyberterroryzm - nowe wyzwania XXI wieku. Praca zbiorowa Jemioła T., Kisielnicki J. i Rajchel K. [red.], Wydział Wydawnictw i Poligrafii Wyższej Szkoły Policji w Szczytnie, Warszawa 2009, str. 696-703 kosztów, automatyzację i komputeryzację. Trzeba zauważyć, że coraz większa złożoność systemów komputerowych idzie w parze z ilością luk w oprogramowaniu, które mogą zostać wykorzystane do przeprowadzenia ataku. Można wyodrębnić kilka grup potencjalnych sprawców ataków cyberterrorystycznych: radykalne organizacje terrorystyczne czy tzw. wrogie państwa, których celem może być zniszczenie obecnego porządku świata i pogrążenie w chaosie zachodniej cywilizacji bądź pojedynczego państwa; potężne organizacje przestępcze chcące wykorzystać atak do kradzieży bądź też zalegalizowania potężnych, nielegalnie zdobytych kwot; mniejsze organizacje przestępcze czy nawet pojedyncze osoby grożące atakiem z celach szantażu; organizacje radykalne chcące poprzez atak zwrócić uwagę społeczeństwa na któryś z najważniejszych społecznych problemów bądź też „ukarać” szeroko pojętego wroga. Jak zauważyła D. Denning [8] dla terrorysty zastosowanie technik rodem z cyberprzestrzeni będzie mieć szereg zalet przed metodami fizycznymi. Można atak przeprowadzić w sposób zdalny oraz anonimowo, będzie tani, nie będzie wymagał podkładania ładunków wybuchowych czy misji samobójczych. Nie można również zapomnieć o roli mediów, które jak pokazały przykład z Danii i Estonii bardzo nagłośniły temat. D. Denning zauważa również wady cyberterroryzmu – ze względu na złożoność systemów ciężej będzie kontrolować atak osiągając zamierzone cele. Tak długo jak nie będzie ofiar nie będzie też pożądanego poziomu dramatyzmu. 4. Potencjalne cele Na potrzeby niniejszego opracowania system bankowy został zredukowany jedynie do kilku elementów, przetwarzających znaczne ilości informacji dotyczących mienia, a które zdaniem autora mogę być najbardziej podatne na atak. Przy tych założeniach można wyróżnić: Bank centralny; Centra rozliczeniowe; Giełdy; Banki; Systemy płatnicze; Centra rozliczeniowe dla kart kredytowych; Sieci bankomatowe i terminale POS. Cyberterrorystyczne ataki skierowane na wymienione elementy sektora bankowego mogą skutkować: Zakłóceniem swobodnego przepływu środków pieniężnych; Zafałszowaniem danych dotyczących bieżącej sytuacji gospodarczej i finansowej; Manipulowaniem notowaniami kursowymi bądź giełdowymi; Odebraniem firmom i osobom prywatnym bieżącego dostępu do zgromadzonych środków; Zafałszowaniem informacji dotyczących poziomu zadłużenia; Kradzieżą i legalizacją znacznych sum. Wszystkie z powyższych ataków mogłyby zachwiać stabilnością gospodarki. W niesprzyjających okolicznościach mogłyby stać się pretekstem do histerii i związanych z nią gwałtownych ruchów jak na przykład przecena akcji czy masowe wypłacanie środków z rachunków bankowych. Syta J., Sektor bankowy jako potencjalny cel ataku cyberterrorystycznego. Cyberterroryzm - nowe wyzwania XXI wieku. Praca zbiorowa Jemioła T., Kisielnicki J. i Rajchel K. [red.], Wydział Wydawnictw i Poligrafii Wyższej Szkoły Policji w Szczytnie, Warszawa 2009, str. 696-703 5. Zabezpieczenia Jak zauważa J. Jedel [9] ataki cyberterrorystyczne nie wymagają wysokich nakładów finansowych, mimo, że wywołują ogromne straty ekonomiczne. Dodatkowo są działaniami trudnymi do udowodnienia. Na uwagę zasługuje też fakt, że nadal brakuje międzynarodowych, jednolitych regulacji prawnych umożliwiających ukaranie sprawców. Raport przygotowany przez BSI [4] podkreśla, że około 90% krytycznej infrastruktury w rzeczywistości jest zarządzanych przez firmy z sektora prywatnego. W szczególności dotyczy to banków. Zdaniem autora fakt, że infrastruktura pełni rolę krytyczną z punktu widzenia Państwa wymaga na władzach szczególnej troski oraz międzynarodowej współpracy w celu przygotowania zestawów technicznych o organizacyjnych mechanizmów przeciwdziałających tego typu zagrożeniom. Zdaniem autora współpraca z sektorem prywatnym powinna mieć szerszy wymiar niż zaznaczony w Rządowym Programie Ochrony Cyberprzestrzeni RP [10] projekt zdefiniowania obowiązków tych podmiotów sektora prywatnego, których ochrona przed zagrożeniami z cyberprzestrzeni jest istotna z punktu widzenia prawidłowego funkcjonowania państwa. Pomoc państwa powinna być bardzo szeroka i poza zdefiniowaniem obowiązków przedsiębiorstwa wchodzące w skład krytycznej infrastruktury powinny mieć zapewnione wsparcie, również finansowe, na wdrażanie tych zabezpieczeń. Szczególną rolę w koordynacji ponadnarodowego programu zwalczania cyberterroryzmu powinny pełnić instytucje międzynarodowe jak na przykład ENISA. Powinny mieć one możliwość aktywnego uczestniczenia w tworzeniu międzynarodowych regulacji dotyczących cyberterroryzmu Swoim zasięgiem powinny wykraczać daleko poza obszar Unii Europejskiej. Powinny mieć również techniczne i organizacyjne środki pozwalające na zdecydowane i skuteczne przeciwdziałanie ewentualnym atakom. Jednak jak zaznacza Bremer [3] „Dobry wywiad to najlepsza broń przeciw terroryzmowi międzynarodowemu” – nie wolno zapomnieć o ścisłej integracji służb zajmujących się przeciwdziałaniem terroryzmu zarówno w świecie rzeczywistym jak i rzeczywistości wirtualnej. Wilson zauważył, że w przyszłych wojnach czy konfliktach broń atakująca systemy informatyczne będzie często stosowana. Co ważne cyberterrorystycznych ataków mogą nie poprzedzać strategiczne, operacyjne czy taktyczne ostrzeżenia [13]. Poszczególne przedsiębiorstwa również, na mniejszą skalę, powinny w ramach swoich codziennych obowiązków troszczyć się o zapewnienie ciągłości funkcjonowania również na wypadek ataku cyberterrorystycznego. Poza środkami mającymi na celu ułatwienie wykrycia tego typu zagrożenia, przeprowadzenia śledztwa i zabezpieczenia materiałów dowodowych konieczne jest zapewnienie środków minimalizujących skutki takiego ataku oraz zabezpieczanie danych, w formie jeszcze w niezmienionej przez atak. Przy bardzo dobrze zaplanowanym i przeprowadzonym ataku integralność i dostępność kopii zapasowych mogłaby okazać się kluczowa. 6. Wnioski Ataki cyberterrorystyczne stały się faktem. Czas, kiedy staną się powszechnym sposobem rozwiązywania konfliktów może nadejść w każdej chwili. Mimo, że od lat istnieją sposoby zaatakowania infrastruktury krytycznej wykorzystując technologie informatyczne, tego typu ataki wciąż należą do rzadkości. Przyczyną tego stanu rzeczy może być konieczność posiadania szczegółowej wiedzy na temat celów oraz szczegółowa znajomość stosowanych technologii. Źle przeprowadzony atak mógłby zniszczyć również infrastrukturę atakującego. Istnieje też druga możliwość – niechęć do rozpoczynania potężnego konfliktu w przestrzeni wirtualnej. Jeżeli to jedynie któryś z tych argumentów powstrzymuje masowe ataki w cyberprzestrzeni, to prawdopodobnie wyłącznie kwestią czasu jest uaktywnienie się osób, którym obce są tego typu dylematy. Czas cyberwojen prawdopodobnie nadejdzie. Ich rzeczywista skala i prawdopodobieństwo spowodowania potężnych szkód wciąż jeszcze są niewiadomą. Skuteczne zapobieganie pojawieniu się tego typu zagrożeń Syta J., Sektor bankowy jako potencjalny cel ataku cyberterrorystycznego. Cyberterroryzm - nowe wyzwania XXI wieku. Praca zbiorowa Jemioła T., Kisielnicki J. i Rajchel K. [red.], Wydział Wydawnictw i Poligrafii Wyższej Szkoły Policji w Szczytnie, Warszawa 2009, str. 696-703 powinno stać się zadaniem koordynowanym globalnie. Konieczne jest również poczynienie odpowiednich przygotowań, zarówno przez władze państwowe jak i sektor prywatny by ewentualny atak odeprzeć szybko i skutecznie bez konieczności ponoszenia zbyt wysokich strat. Właściwe przygotowanie organizacyjne i techniczne jest w stanie zminimalizować prawdopodobieństwo urzeczywistnienia się tego zagrożenia oraz znacznie ograniczyć jego skutki. 7. Wykaz literatury [1] Adamski A.: Cyberterroryzm. Wydział Prawa i Administracji UMK w Toruniu, Katedra Prawa Karnego i Polityki Kryminalnej. http://unixlab.iis.pwsz.elblag.pl/~stojek/bezp.sys.komp/cyberterroryzm.pdf z 25.01.2008. [2] Bógdał-Brzezińska A., Gawrycki M.F.: Cyberterroryzm i problemy bezpieczeństwa informacyjnego we współczesnym świecie. Warszawa, 2003. [3] Bremer L. et al.: Dobry wywiad to najlepsza broń przeciw terroryzmowi międzynarodowemu. Raport Narodowej Komisji ds. Terroryzmu. USA, 2000. Źródło podane za Yonah A., Milton H.: Superterroryzm. Bellona, Warszawa 2001. [4] Bundesamt für Sicherheit in der Informationstechnik: Internationale Aktivitäten zum Schutz Kritischer Infrastrukturen. 2004 [5] Center for Strategic and International Studies: Securing Cyberspace for the 44th Presidency. Washington 2008 [6] Colin B.C.: CyberTerrorism From Virtual Darkness: New Weapons in a Timeless Battle. 1997 [7] Denning D.: Is Cyber Terror Next? http://www.ssrc.org/sept11/essays/denning.htm [8] Denning D.: Wojna informacyjna i bezpieczeństwo informacji, WNT 2006 [9] Jedel J.: Cyberprzestrzeń nową płaszczyzną zagrożeń terrorystycznych dla morskich centrów logistycznych Zeszyty Naukowe Akademii Marynarki Wojennej, rok XLIX NR 2 (173) 2008 [10] Rządowy program ochrony cyberprzestrzeni RP na lata 2009-2011 http://www.cert.gov.pl/images/stories/form/Zalozenia_Rzadowy_Program_Ochrony_Cyberprzestrzeni_RP_2009 -2011.pdf Warszawa, marzec 2009 [11] Szubrycht T.: Cyberterroryzm jako nowa forma zagrożenia terrorystycznego, Zeszyty Naukowe Akademii Marynarki Wojennej, rok XLVI nr 1 (160) 2005 [13] Wilson P.A.: Cyberwarfare and Cyberterrorism: Implications for Defense R&D. Annual AAAS Colloquium on Science and Technology Policy, Washington, 2001 [14] Yonah A., Milton H.: Superterroryzm. Bellona, Warszawa 2001. FINANCIAL SECTOR AS A POTENTIAL TARGET OF A CYBERTERRORIST ATTACK S ummar y Banking sector is an integral part of the global critical infrastructure. Its massive influence over world’s economy as well as the fact that the vast majority of all activities performed within this sector is done using information technology makes it a very attractive target for terrorists working in cyberspace. Author presents Syta J., Sektor bankowy jako potencjalny cel ataku cyberterrorystycznego. Cyberterroryzm - nowe wyzwania XXI wieku. Praca zbiorowa Jemioła T., Kisielnicki J. i Rajchel K. [red.], Wydział Wydawnictw i Poligrafii Wyższej Szkoły Policji w Szczytnie, Warszawa 2009, str. 696-703 characteristics of cyberterrorism activities underlining their potential impact on ranking sector. Highlights crucial areas where the development of controls and countermeasures is required.