sektor bankowy jako potencjalny cel ataku

Transkrypt

Syta J., Sektor bankowy jako potencjalny cel ataku cyberterrorystycznego. Cyberterroryzm - nowe wyzwania XXI wieku.
Praca zbiorowa Jemioła T., Kisielnicki J. i Rajchel K. [red.], Wydział Wydawnictw i Poligrafii Wyższej Szkoły Policji w Szczytnie,
Warszawa 2009, str. 696-703
SEKTOR BANKOWY JAKO POTENCJALNY CEL ATAKU
CYBERTERRORYSTYCZNEGO
Jakub SYTA1
Integralną częścią światowej infrastruktury krytycznej jest sektor bankowy. Jego potężny wpływ na światową
gospodarkę jak również fakt, iż całość operacji wykonywana jest przy pomocy technik informatycznych sprawia, że stanowi
on wyjątkowo atrakcyjny cel dla terrorystów działających w cyberprzestrzeni. Autor przedstawia w niniejszej pracy
charakterystykę działań cyberterrorystycznych zaznaczając ich potencjalny wpływ na sektor bankowy. Zwraca również
uwagę na niezbędne kierunki rozwoju zabezpieczeń.
1. Wstęp
Pojęcie oraz koncepcja cyberterroryzmu, mimo że sformułowana jeszcze w latach 70 ubiegłego wieku wciąż
jeszcze jest postrzegana przez pryzmat science fiction. Całkowite uzależnienie gospodarki od systemów
informatycznych, możliwość zdalnego wpływania na rzeczywisty świat czy wizja złoczyńców niszczących
światową sieć teleinformatyczną nie znajduje swojego miejsca w świadomości przeciętnego obywatela. Czy
naprawdę jest się czego obawiać? Czy czarne scenariusze mogą się kiedykolwiek ziścić? Doświadczenia
ostatnich lat pokazują, że ryzyko jest rzeczywiste.
Zamachy we wrześniu 2001 udowodniły, że stosunkowo mała lecz dobrze zorganizowała grupa osób
dysponująca odpowiednim zapleczem finansowym i technologicznym, przy odpowiednio dużej motywacji jest w
stanie zmienić świat. Odwet na Duńczykach po umieszczeniu karykatur proroka Mahometa przez dziennik
Jyllands-Posten we wrześniu 2005 roku jak również prowadzony z Rosji atak na Estonie w kwietniu 2007 w
rezultacie likwidacji pomnika upamiętniającego wyzwolenie Estonii spod hitlerowskiej okupacji udowodniły, że
odpowiednio zmotywowana grupa osób jest w stanie praktycznie wyłączyć infrastrukturę informatyczną całego
Państwa, wliczając w to odcięcie systemów bankowych. Wreszcie kryzys ekonomiczny z 2008 roku pokazał jak
niesamowita jest zależność światowej gospodarki od mechanizmów zachodzących wewnątrz sektora
bankowego.
Powyższe przykłady dobitnie pokazują, że pytanie „czy” nastąpi kiedyś globalny atak cyberterrorystyczny na
sektor bankowy powinno być zastąpione przez „kiedy”. Waga zagrożenia powoduje, że bezpieczeństwo
cyberprzestrzni stało się już jednym z ważniejszych zadań stojących przed nowym prezydentem USA [5].
Całkowita zależność światowych finansów od infrastruktury informatycznej czyni tę branże szczególnie
atrakcyjnym celem.
2. Zagadnienie cyberterroryzmu
Terroryzm można określić jako „stosowanie z premedytacją przemocy, przez sprawców indywidualnych,
zbiorowych na skalę mniej niż narodową, albo w skali państwowej przemocy lub grożenia przemocą, z
pogwałceniem prawa, dla osiągnięcia celów politycznych, społecznych i ekonomicznych, z zamiarem
wywołania przemożonej trwogi na obszarze większym niż ten, w którym znajdują się ofiary atakowane lub
zagrożone” [14]. A. Yonah i H. Milton zwracali też uwagę na fakt, że ulepszona technologia broni daje
terrorystom przewagi jakimi wcześniej nie rozporządzali. Podawali przykład miniaturyzacji broni masowego
rażenia. Ich stwierdzenie uzyskuje szczególny wymiar w przypadku cyberterroryzmu. W przypadku tego typu
1
Mgr inż. Jakub Syta, Politechnika Warszawska
ataków atakujący może być nawet nie zbliżać się w fizyczny sposób do obranego celu, a całą akcję
przeprowadzać w sposób zdalny dodatkowo wykorzystując sieć przejętych przypadkowych komputerów.
A. Adamski [1] podkreślił, że systemy komputerowe narażone są na zagrożenia trzema formami
cyberataków:
 propagandowo-dezinformacyjnymi (modyfikowanie stron www, ideologiczny spamming),
 sabotażem komputerowym (zamachy typu odmowa usługi, rozpowszechnianie wirusów i innych
destrukcyjnych programów komputerowych) oraz
 zamachami na krytyczną infrastrukturę połączonymi z ingerencją w jej funkcjonowanie.
Jak podkreśla D. Denning [7] by cyberatak można było określić jako atak cyberterrorystyczny konieczne jest
jeszcze istnienie bezpośrednie zagrożenie dla zdrowia lub mienia zaatakowanej społeczności. Mienia, które w
znacznej mierze jest zarządzane przez banki i inne instytucje finansowe.
Jednym z kluczowych rodzajów ataków cyberterrorystycznych będą ataki na krytyczną infrastrukturę – ataki,
które poprzez sprzeczne z prawem wykorzystanie słabości komputerowych będą w stanie zniszczyć lub
przerwać działanie infrastruktury krytycznej państwa. Jak zaznaczyła A. Bógdał-Brzezińska [2] jej głównymi
elementami są: telekomunikacja, system energetyczny, system bankowy i finansowy, produkcja,
magazynowanie oraz transport gazu ziemnego i ropy naftowej, transport, system zaopatrzenia w wodę, służby
ratownicze oraz ciągłość funkcjonowania władzy i służb publicznych. Bardzo zbliżona definicja elementów
infrastruktury krytycznej przedstawiona została w Rządowym Programie Ochrony Cyberprzestrzeni RP [10]:
cyberprzestrzeń RP obejmuje między innymi systemy, sieci i usługi teleinformatyczne o szczególnie ważnym
znaczeniu dla bezpieczeństwa wewnętrznego państwa, system bankowy, a także systemy zapewniające
funkcjonowanie w kraju transportu, łączności, infrastruktury energetycznej, wodociągowej i gazowej oraz
systemy informatyczne ochrony zdrowia, których zniszczenie lub uszkodzenie może stanowić zagrożenie dla
życia lub zdrowia ludzi, dziedzictwa narodowego oraz środowiska w znacznych rozmiarach, albo spowodować
poważne straty materialne.
Obydwie listy zaznaczają rolę systemu bankowego jako integralnej części infrastruktury krytycznej – autorzy
są zgodni, że ataki w tym obszarze mogą mieć wpływ na funkcjonowanie całego państwa. Wizja zafałszowania
danych światowych giełd papierów wartościowych, machinacji na potężną skalę kursami walut czy
modyfikowanie na potężną skalę zapisów dotyczących stanu środków na rachunkach czy poziomu zadłużenia
zdecydowanie może spowodować „wywołanie przemożonej trwogi”. Masowe szturmowanie banków czy jeszcze
większa niż z 2008 roku przecena wartości papierów wartościowych spowodowałoby chaos gospodarczy,
pogłębiło spadek zaufania do banków, skutkowało zamykaniem przedsiębiorstw, zwalnianiem pracowników czy
nawet zamrażaniem aktywów gromadzonych na rachunkach. Fakt, że kolejny kryzys mógłby być nie skutkiem
zawiłego sposobu funkcjonowania produktów finansowych, niedociągnięć regulacyjnych i niedoskonałego
monitorowania sektora, lecz skutkiem celowego, destrukcyjnego ataku mogłaby trwale zniszczyć zaufanie do
światowych finansów.
3. Motywy
D. Denning [7] napisała, że by zrozumieć potencjalne ryzyko cyberterroryzmu należy rozważyć dwa
czynniki: czy są cele podatne na atak, który mogłyby doprowadzić do chaosu lub poważnych zniszczeń a po
drugie czy są osoby z odpowiednimi umiejętnościami oraz motywacją by przeprowadzić atak. T. Szubrycht [11]
zauważył analizując dotychczasowe przykłady przestępstw informatycznych, że dotykają one znacznej ilości
osób. Tym samym jeden z zasadniczych celów terrorystów – jego medialność jest przeogromna.
Już w 1997 roku Colin [6] zawracał uwagę na rosnące uzależnienie od, istniejących na pograniczu świata
rzeczywistego i wirtualnego, systemów komputerowych, spowodowane ogromnym naciskiem na ograniczanie
kosztów, automatyzację i komputeryzację. Trzeba zauważyć, że coraz większa złożoność systemów
komputerowych idzie w parze z ilością luk w oprogramowaniu, które mogą zostać wykorzystane do
przeprowadzenia ataku.
Można wyodrębnić kilka grup potencjalnych sprawców ataków cyberterrorystycznych:
 radykalne organizacje terrorystyczne czy tzw. wrogie państwa, których celem może być zniszczenie
obecnego porządku świata i pogrążenie w chaosie zachodniej cywilizacji bądź pojedynczego państwa;
 potężne organizacje przestępcze chcące wykorzystać atak do kradzieży bądź też zalegalizowania
potężnych, nielegalnie zdobytych kwot;
 mniejsze organizacje przestępcze czy nawet pojedyncze osoby grożące atakiem z celach szantażu;
 organizacje radykalne chcące poprzez atak zwrócić uwagę społeczeństwa na któryś z najważniejszych
społecznych problemów bądź też „ukarać” szeroko pojętego wroga.
Jak zauważyła D. Denning [8] dla terrorysty zastosowanie technik rodem z cyberprzestrzeni będzie mieć
szereg zalet przed metodami fizycznymi. Można atak przeprowadzić w sposób zdalny oraz anonimowo, będzie
tani, nie będzie wymagał podkładania ładunków wybuchowych czy misji samobójczych. Nie można również
zapomnieć o roli mediów, które jak pokazały przykład z Danii i Estonii bardzo nagłośniły temat. D. Denning
zauważa również wady cyberterroryzmu – ze względu na złożoność systemów ciężej będzie kontrolować atak
osiągając zamierzone cele. Tak długo jak nie będzie ofiar nie będzie też pożądanego poziomu dramatyzmu.
4. Potencjalne cele
Na potrzeby niniejszego opracowania system bankowy został zredukowany jedynie do kilku elementów,
przetwarzających znaczne ilości informacji dotyczących mienia, a które zdaniem autora mogę być najbardziej
podatne na atak. Przy tych założeniach można wyróżnić:
 Bank centralny;
 Centra rozliczeniowe;
 Giełdy;
 Banki;
 Systemy płatnicze;
 Centra rozliczeniowe dla kart kredytowych;
 Sieci bankomatowe i terminale POS.
Cyberterrorystyczne ataki skierowane na wymienione elementy sektora bankowego mogą skutkować:
 Zakłóceniem swobodnego przepływu środków pieniężnych;
 Zafałszowaniem danych dotyczących bieżącej sytuacji gospodarczej i finansowej;
 Manipulowaniem notowaniami kursowymi bądź giełdowymi;
 Odebraniem firmom i osobom prywatnym bieżącego dostępu do zgromadzonych środków;
 Zafałszowaniem informacji dotyczących poziomu zadłużenia;
 Kradzieżą i legalizacją znacznych sum.
Wszystkie z powyższych ataków mogłyby zachwiać stabilnością gospodarki. W niesprzyjających
okolicznościach mogłyby stać się pretekstem do histerii i związanych z nią gwałtownych ruchów jak na przykład
przecena akcji czy masowe wypłacanie środków z rachunków bankowych.
5. Zabezpieczenia
Jak zauważa J. Jedel [9] ataki cyberterrorystyczne nie wymagają wysokich nakładów finansowych, mimo, że
wywołują ogromne straty ekonomiczne. Dodatkowo są działaniami trudnymi do udowodnienia. Na uwagę
zasługuje też fakt, że nadal brakuje międzynarodowych, jednolitych regulacji prawnych umożliwiających
ukaranie sprawców. Raport przygotowany przez BSI [4] podkreśla, że około 90% krytycznej infrastruktury w
rzeczywistości jest zarządzanych przez firmy z sektora prywatnego. W szczególności dotyczy to banków.
Zdaniem autora fakt, że infrastruktura pełni rolę krytyczną z punktu widzenia Państwa wymaga na władzach
szczególnej troski oraz międzynarodowej współpracy w celu przygotowania zestawów technicznych o
organizacyjnych mechanizmów przeciwdziałających tego typu zagrożeniom.
Zdaniem autora współpraca z sektorem prywatnym powinna mieć szerszy wymiar niż zaznaczony w
Rządowym Programie Ochrony Cyberprzestrzeni RP [10] projekt zdefiniowania obowiązków tych podmiotów
sektora prywatnego, których ochrona przed zagrożeniami z cyberprzestrzeni jest istotna z punktu widzenia
prawidłowego funkcjonowania państwa. Pomoc państwa powinna być bardzo szeroka i poza zdefiniowaniem
obowiązków przedsiębiorstwa wchodzące w skład krytycznej infrastruktury powinny mieć zapewnione
wsparcie, również finansowe, na wdrażanie tych zabezpieczeń.
Szczególną rolę w koordynacji ponadnarodowego programu zwalczania cyberterroryzmu powinny pełnić
instytucje międzynarodowe jak na przykład ENISA. Powinny mieć one możliwość aktywnego uczestniczenia w
tworzeniu międzynarodowych regulacji dotyczących cyberterroryzmu Swoim zasięgiem powinny wykraczać
daleko poza obszar Unii Europejskiej. Powinny mieć również techniczne i organizacyjne środki pozwalające na
zdecydowane i skuteczne przeciwdziałanie ewentualnym atakom. Jednak jak zaznacza Bremer [3] „Dobry
wywiad to najlepsza broń przeciw terroryzmowi międzynarodowemu” – nie wolno zapomnieć o ścisłej integracji
służb zajmujących się przeciwdziałaniem terroryzmu zarówno w świecie rzeczywistym jak i rzeczywistości
wirtualnej. Wilson zauważył, że w przyszłych wojnach czy konfliktach broń atakująca systemy informatyczne
będzie często stosowana. Co ważne cyberterrorystycznych ataków mogą nie poprzedzać strategiczne, operacyjne
czy taktyczne ostrzeżenia [13].
Poszczególne przedsiębiorstwa również, na mniejszą skalę, powinny w ramach swoich codziennych
obowiązków troszczyć się o zapewnienie ciągłości funkcjonowania również na wypadek ataku
cyberterrorystycznego. Poza środkami mającymi na celu ułatwienie wykrycia tego typu zagrożenia,
przeprowadzenia śledztwa i zabezpieczenia materiałów dowodowych konieczne jest zapewnienie środków
minimalizujących skutki takiego ataku oraz zabezpieczanie danych, w formie jeszcze w niezmienionej przez
atak. Przy bardzo dobrze zaplanowanym i przeprowadzonym ataku integralność i dostępność kopii zapasowych
mogłaby okazać się kluczowa.
6. Wnioski
Ataki cyberterrorystyczne stały się faktem. Czas, kiedy staną się powszechnym sposobem rozwiązywania
konfliktów może nadejść w każdej chwili. Mimo, że od lat istnieją sposoby zaatakowania infrastruktury
krytycznej wykorzystując technologie informatyczne, tego typu ataki wciąż należą do rzadkości. Przyczyną tego
stanu rzeczy może być konieczność posiadania szczegółowej wiedzy na temat celów oraz szczegółowa
znajomość stosowanych technologii. Źle przeprowadzony atak mógłby zniszczyć również infrastrukturę
atakującego. Istnieje też druga możliwość – niechęć do rozpoczynania potężnego konfliktu w przestrzeni
wirtualnej. Jeżeli to jedynie któryś z tych argumentów powstrzymuje masowe ataki w cyberprzestrzeni, to
prawdopodobnie wyłącznie kwestią czasu jest uaktywnienie się osób, którym obce są tego typu dylematy.
Czas cyberwojen prawdopodobnie nadejdzie. Ich rzeczywista skala i prawdopodobieństwo spowodowania
potężnych szkód wciąż jeszcze są niewiadomą. Skuteczne zapobieganie pojawieniu się tego typu zagrożeń
powinno stać się zadaniem koordynowanym globalnie. Konieczne jest również poczynienie odpowiednich
przygotowań, zarówno przez władze państwowe jak i sektor prywatny by ewentualny atak odeprzeć szybko i
skutecznie bez konieczności ponoszenia zbyt wysokich strat. Właściwe przygotowanie organizacyjne i
techniczne jest w stanie zminimalizować prawdopodobieństwo urzeczywistnienia się tego zagrożenia oraz
znacznie ograniczyć jego skutki.
7. Wykaz literatury
[1] Adamski A.: Cyberterroryzm. Wydział Prawa i Administracji UMK w Toruniu, Katedra Prawa Karnego
i Polityki Kryminalnej. http://unixlab.iis.pwsz.elblag.pl/~stojek/bezp.sys.komp/cyberterroryzm.pdf z 25.01.2008.
[2] Bógdał-Brzezińska A., Gawrycki M.F.: Cyberterroryzm i problemy bezpieczeństwa informacyjnego we
współczesnym świecie. Warszawa, 2003.
[3] Bremer L. et al.: Dobry wywiad to najlepsza broń przeciw terroryzmowi międzynarodowemu. Raport
Narodowej Komisji ds. Terroryzmu. USA, 2000. Źródło podane za Yonah A., Milton H.: Superterroryzm.
Bellona, Warszawa 2001.
[4] Bundesamt für Sicherheit in der Informationstechnik: Internationale Aktivitäten zum Schutz Kritischer
Infrastrukturen. 2004
[5] Center for Strategic and International Studies: Securing Cyberspace for the 44th Presidency. Washington
2008
[6] Colin B.C.: CyberTerrorism From Virtual Darkness: New Weapons in a Timeless Battle. 1997
[7] Denning D.: Is Cyber Terror Next? http://www.ssrc.org/sept11/essays/denning.htm
[8] Denning D.: Wojna informacyjna i bezpieczeństwo informacji, WNT 2006
[9] Jedel J.: Cyberprzestrzeń nową płaszczyzną zagrożeń terrorystycznych dla morskich centrów logistycznych
Zeszyty Naukowe Akademii Marynarki Wojennej, rok XLIX NR 2 (173) 2008
[10] Rządowy program ochrony cyberprzestrzeni RP na lata 2009-2011
http://www.cert.gov.pl/images/stories/form/Zalozenia_Rzadowy_Program_Ochrony_Cyberprzestrzeni_RP_2009
-2011.pdf Warszawa, marzec 2009
[11] Szubrycht T.: Cyberterroryzm jako nowa forma zagrożenia terrorystycznego, Zeszyty Naukowe Akademii
Marynarki Wojennej, rok XLVI nr 1 (160) 2005
[13] Wilson P.A.: Cyberwarfare and Cyberterrorism: Implications for Defense R&D. Annual AAAS Colloquium
on Science and Technology Policy, Washington, 2001
[14] Yonah A., Milton H.: Superterroryzm. Bellona, Warszawa 2001.
FINANCIAL SECTOR AS A POTENTIAL TARGET OF A CYBERTERRORIST ATTACK
S ummar y
Banking sector is an integral part of the global critical infrastructure. Its massive influence over world’s
economy as well as the fact that the vast majority of all activities performed within this sector is done using
information technology makes it a very attractive target for terrorists working in cyberspace. Author presents
characteristics of cyberterrorism activities underlining their potential impact on ranking sector. Highlights crucial
areas where the development of controls and countermeasures is required.

sektor bankowy jako potencjalny cel ataku

Transkrypt

Podobne dokumenty

Jakub Przybyło

tematyka szkoleń

livingstyle.pl

Marian KOPCZEWSKI, Ewa CZAPIK-KOWALEWSKA