BFS 2019: Cyber Security u modernom bankarstvu

Koliko je lako, odnosno teško, zaštiti bankarsko poslovanje  danas? Predavač je bio Andro Galinović iz Zagrebačke banke, direktor zaštite informacijskog sustava i neprekidnog poslovanja

Drago Galić četvrtak, 7. veljače 2019. u 14:49

Definitivno jedno od zabavnijih (iako se možda ne bi očekivalo) i dinamičnijih predavanja danas u maloj dvorani Muller koje je započelo čak i (snimkom) igrokaza „iz budućnosti“ u kojem se korisnik Miha žuri na posao, ali mu je auto zaključan ransomwareom koji je zarazio infotainment i navigacijski sustav. Igrokaz je prvotno autor napravio 2016., a budućnost u kojoj je to moguće postići smjestio u 2026., ali  je odmah nakon prezentacije priznao da se zapravo sve ovo može dogoditi puno ranije – već sada, za one koji imaju dovoljno moderne automobile.

Kako je predavač iz bankarskih krugova, dao je odmah i par primjera svjetskih exploita i napada na banke (Bank of Asia, primjerice) gdje je dugotrajni napad i infiltracija u sustav rezultirala transferom preko 100 milijuna dolara na napadačke račune, a od kojih nikada nije vraćeno 3 milijuna dolara.

Pored ovakvih, visoko sofisticiranih napada na najvišoj skali (čitave banke), dobili smo i nekoliko primjera podjednako tehnički sofisticiranih, ali manjih po opsegu i svotama ukradenog novca, napada na bankomate, ili pak primjere phishinga gdje se zapravo ne napada sustav, nego pojedinac, pa se „exploitaju“ njegove vlastite slabosti, a ne propusti u kodu.

Postoji li apsolutno sigurni bankarski sustav, a koji bi bio funkcionalan za korisnike? Ne, jer su iskoristivost i sigurnost često postavljeni jedno nasuprot drugome i apsolutna sigurnost sustava obično zahtjeva i apsolutnu neiskoristivost za krajnjeg korisnika i samo bankarsko osoblje.

Međutim, postoje načini da se sustavi učine i upotrebljivim i dovoljno sigurnim da su napadi na njih, posebno oni uspješni, malo vjerojatni ili iziskuju previše truda od potencijalnih napadača pa ih na taj način obeshrabruju ili praktički onemogućavaju.

Inače, veseliji dio predavanja je bilo sudjelovanje publike u davanju prijedloga i savjeta kako učiniti sustav sigurnijim, odnosno korisnike manje ranjivima na napade, gdje su ispravni odgovori nagrađivani „gudizima“ koje je predavač bacao u publiku.

Uukpno, dobili smo dojam da su i sistemaši, a i krimosi mogli ponešto naučiti…