2015-08-14

Kradną 1 mld PLN rocznie?

W związku z ostatnim artykułem na portalu bankier.pl - "Ty kontra hakerzy. Jak łatwo dostaną się na twoje konto w banku?" oraz dodatkowo inną publikacją: "Hakerzy atakują banki. Straty nawet do 1 mld zł rocznie", White Cat Security poczuł się wywołany do tablicy.

Skąd wywołanie? - chodzi o rzekomy 1 mld zł rocznie. Na potrzeby tego artykułu przyjmujemy, że hipoteza mówiąca o stratach w sektorze finansowym w Polsce, sięgająca nawet 1 miliarda zł, użyta przez redaktora naczelnego miesięcznika "BANK", może być interpretacją opinii White Cat Security podczas ostatniej edycji Forum Bezpieczeństwa Bankowości. Pozwalamy sobie na takie założenie nie znając na ten moment innego źródła informacji mówiącej o "1 mld zł" - jeśli ktoś zna takie źródła, prosimy o kontakt mailowy lub komentarz pod postem.

Podczas prezentacji na Forum Bezpieczeństwa Bankowości została wskazana max. potencjalna strata wynikająca z działalności przestępczej, z użyciem złośliwego oprogramowania lub przejętych elementów infrastruktury sieciowej, w kwocie > 1 mld zł rocznie - przypadającej na cały sektor finansowy w kraju. Zaznaczamy, "max. POTENCJALNA strata" wraz z komentarzem, który mówił, że jeśli wpiszemy tutaj > 10 mld zł rocznie to prawdopodobnie się nie pomylimy ale już trudniej nam to udowodnić, a nie lubimy gdybać.

Nigdy nie mówiliśmy, że 1 mld zł to poziom strat sektora finansowego w Polsce. Jeśli ktoś bazuje na naszej opinii to prosimy by była ona interpretowana tylko tak jak powyżej, a w razie pytań/wątpliwości zapraszamy do kontaktu.

Jeśli bank, grupa banków lub sektor chce policzyć max. potencjalną stratę - czyli sytuację, w której 100% ataków kończy się sukcesem to... nie uda się tego zrobić. Poniżej przepis jak można się do tej liczby zbliżyć, choć nadal na 100% proszę nie liczyć.

Żeby wiedzieć jaka jest max. potencjalna strata bank musi posiadać informacje o:
  1. klientach, którzy korzystają z zarażonych stacji/laptopów/urządzeń mobilnych/urządzeń udostępniających internet (w sposób pośredni lub bezpośredni) lub których dane dostępowego do systemów transakcyjne zostały wykradzione,
  2. środkach finansowych klientów z punktu 1), liczone na bazie wszystkich produktów bankowych, z których można za pomocą systemu transakcyjnego wyprowadzić środki finansowe (rachunki ROR/oszczędnościowe, karty kredytowe oraz debetowe, lokaty, nie zapominając o produktach i środkach, do których dany klient może być upoważniony),
  3. limitach operacji/środków na produktach klientów z punktu 1) - za ich pomocą można zbudować zakres sumy środków jakie można wyprowadzić wraz z przewidywaniem min. czasu (np. ilości dni) jakie są potrzebne by wyprowadzić wszystkie środki.


Powyższa propozycja jest dość zaawansowana i wymaga sporej świadomości w banku lub firmie, która wspiera bank w tym, choć wg. White Cat Security powinna być ona standardem w przypadku efektywnego zarządzania tematem ataków na klientów sektora finansowego.

Trudny w realizacji punkt 1) może wynikać z braku narzędzi, źródeł informacji na początkowych poziomach dojrzałości procesów z tym związanych (pomagamy w tym temacie na każdym poziomie dojrzałości).

Możemy spróbować oprzeć się na danych publicznych, np. raportach CERT.PL lub CERT Orange Polska i odgadywać ilu klientów sektora finansowego jest właściwie zagrożonych atakiem.

Na chwilę zastanówmy się ile min. może to być klientów. Sumując w raporcie CERT.PL takie rodziny złośliwego oprogramowania jak: Dyre, GameOver, ZeuS i Tinba mamy ok 30 000 unikalnych adresów IP na dobę.

Zakładając, że mamy do czynienia z 30 000 unikalnych zarażonych urządzeń -> 30 000 klientów i każdy średnio ma na koncie 10 000 zł (upraszczamy opracowanie Pawła Golenia) to max. potencjalna strata wynosi 300 000 000 zł (300 mln zł) - z infekcji, które są aktywne jednego dnia i zakładamy, że mamy do czynienia z klientami indywidualnymi, a co z tzw. "złotymi strzałami", gdzie klient będzie miał setki tyś. zł i klientami biznesowymi (firmami)?

Żeby dodać wątpliwości, a właściwie to chcemy pokazać, że liczenie z obecnie dostępnych raportów to wróżenie z fusów poddajmy pod rozwagę następujące kwestie:
  • raporty w/w CERTów nie zawierają informacji jaka część botnetów jest przez nich skutecznie monitorowana, a jaka nie
  • raporty w/w nie wskazują kontekstu działania botnetów/rodzin złośliwego oprogramowania, na kogo i na co są nastawione oraz czy są to podmioty w Polsce
  • raporty nie zawierają informacji o wszystkich rodzinach złośliwego oprogramowania zbierającego żniwo z sektora finansowego


W takiej sytuacji dane z raportów można wg. nas, używać jako źródła inspiracji do poszukiwania właściwych informacji, z kontekstem pozwalającym na ich praktyczne, efektywne zastosowanie.