1

Kibernetička sigurnost u bankama: Rizici, regulativa i izazovi

mr.sc. Slaven Smojver CISA, CISM

slaven.smojver@hnb.hr

Hrvatska narodna banka

Stavovi izneseni u ovoj prezentaciji su stavovi autora te ne moraju nužno

odgovarati stavovima Hrvatske narodne banke

2

Osnovne teme

Uvod

Pojmovi

Rizici

Istraživanja

Svijet

Carbanak

SWIFT

DDoS

CEO e-mail

Hrvatska

Internetsko bankarstvo

DDoS

Razotkrivanje podataka

Regulativa

RH

EU

Svijet

3

IOCTA 2016 izvješće- Europol -

• Cryptoware (encrypting ransomware) has become the most prominent malware threat, overshadowing data stealing malware and banking Trojans.

• The nature and complexity of malware attacking mobile devices and the methods of infecting those devices are beginning to more closely mirror those of ‘conventional’ desktop malware.

• There are indications that organised crime groups (OCGs) are starting to manipulate or compromise payments involving contactless (NFC) cards.

• A refined variant of spear phishing, CEO fraud, has evolved into a key threat

• DDoS attacks continue to grow in intensity and complexity, with many attacks blending network and application layer attacks. Booters/stressers are readily available “as-a-service”.

• Data remains a key commodity for cybercriminals, however data is no longer just procured for immediate financial gain. Increasingly it is acquired for the furtherance of more complex fraud, encrypted for ransom, or used directly forextortion.

4

IOCTA 2016 izvješće- Procjena malware-a -

5

SWIFT

• Tijekom 2016. javno otkriveno više primjera zloupotrebe SWIFT aplikacija.

• Javno poznate informacije o oštećenim bankama:

• Napadi su detaljno su pripremljeni.

– Poznavanje informacija o poslovnim običajima, praznicima, uobičajenom načinu postupanja, itd.

• Sve banke kompromitirane su korištenjem sličnih tehnika.

Institucija Period Tip Iznos

Banco del Austro (BDA), Ekvador 01/2015 gubitak $12 mil.

Tien Phong Bank (TP Bank), Vijetnam 12/2015 spriječeno $1 mil.

Središnja banka Bangladeša 02/2016 gubitak $81 mil.

Središnja banka Bangladeša 02/2016 spriječeno $870 mil.

Izvor:

Infosec Institute

6

Carbanak

• Od 2013 do 2015 oštećeno više od 100 financijskih institucija u svijetu.

• Ulazni vektor: spearphishing emails

– .doc

– .cpl

• Remote backdoor:

– espionage,

– data exfiltration

– remote access

Izvor:

Kaspersky

7

Napredne cyber-prijetnje - Karakteristike -

• Vrlo ciljane (duga i detaljna priprema koja zahtijeva velike resurse).

• Korištenje naprednih tehnika napada (Advanced Persistent Threats – APT), ali i u kombinaciji s „tradicionalnim” metodama

– Zero-day vulnerabilities.

– Socijalni inženjering.

• Detekcija incidenta ponekada traje vrlo dugo (godinama nakon nastanka!)

• Nakon penetracije u informacijski sustav banke, različite vrste zlouporabe:

– Priprema višestrukih načina neovlaštenog pristupa (backdoors).

– Studiozna priprema i proučavanje obrazaca ponašanja banke.

– Neovlašteno kopiranje podataka (poslovna i bankovna tajna, osjetljivi podaci o platnim karticama, ulagačkim strategijama, itd.)

– Tek na kraju:

• iniciranje neutoriziranih transakcija.

• ucjena putem cryptoware-a.

8

Hrvatska- Neautorizirane transakcije -

• U 2014. and 2015. zabilježeno je nekoliko stotina neautoriziranih transakcija iniciranih putem internetskog bankarstva.

• Transakcije su inicirane korištenjem kompromitiranih osobnih računala klijenata banaka.

• Napadima je uspješno ovladano.

• U 2016. zabilježene su samo 3 takve ovakve transakcije (sve neuspješne)

0

50

100

150

3 4 5 6 9 10 11 3 4 5 6 7 8 10 4 5

2014 2015 2016

Broj neautorizirano iniciranih transakcija (po mjesecu i godini)

9

Ekonomika kriminala

• Perspektiva HNB-a:

– Nastavak iniciranja neautoriziranih transakcija ovisi prvenstveno o uspješnostinapadača u otuđivanju sredstava.

– Srednjeročno i dugoročno, uspjeh svake institucije u sprečavanju provođenja, prijenosa i isplate neautoriziranih transakcija pomaže svima u sustavu.

10

Ucjene DDoS napadima

• U svibnju 2016. nekoliko banaka u RH ucijenjene su DDoS napadima.

• Nije imalo značajniji utjecaj na dostupnost bankovnih usluga.

...

... we have chosen <name> as target for our next DDoS attack

...

We are willing to refrain from attacking your servers for a

small fee. The current fee is <amount> Bitcoins (BTC). The fee

will increase by <amount> Bitcoins for each day that passes

without payment.

...

Please send the bitcoin to the following Bitcoin address:

...

11

Razotkrivanje podataka banaka

• 3. listopada 2016., nepoznati počinitelji poslali su medijima s e-mail adrese nepoznati.pocinitelj@outlook.comsljedeću poruku:

– Obavještavamo vas da smo hakiraliImex banku i preuzeli informacije o njihovim klijentima i poslovnim subjektima s kojima posluju. U utorak krećemo s javnom objavom podataka…

• Potencijalni neovlašteni pristup informacijskom sustavu banke 2013. godine.

• Podaci iz:

– IBM System Storagea

– i iz backup sustava do

– snimki nadzornih kamera

Izvor:

Net.hr

Izvor:

Jutarnji list

12

• Ovisno o karakteristikama prijetnje tj. napada, relevantna je opsežna regulativa i strateški dokumenti

– Zakon o kreditnim institucijama

• Odluka o primjerenom upravljanju informacijskim sustavom

• Odluka o upravljanju rizicima

– Zakon o platnom prometu

• Smjernice o sigurnosti internetskih plaćanja

– Zakon o sprječavanju pranja novca i financiranju terorizma

– Kazneni zakon

– …

– Nacionalna strategija kibernetičke sigurnosti (NSKS) i pripadajući akcijski plan

Relevantna regulativa u RH

13

Sigurnost, revizija i supervizija u RH

KREDITNA INSTITUCIJA

SUPERVIZIJA

VANJSKA REVIZ

IJA

UNUTARNJA REVIZIJA, VODITELJ

SIGURNOSTI INFORMACIJSKOG SUSTAVA,...

Ko

ntr

ola

/ n

ad

zo

r

Info

rma

cije

14

• Cilj C.1 Provođenje aktivnosti i mjera u svrhu povećanja sigurnosti, otpornosti ipouzdanosti kibernetičkog prostora, a s ciljem poticanja razvoja elektroničkihfinancijskih usluga.

– Mjera C.1.1 i Mjera C.1.2

• Cilj C.2 Unaprijediti razmjenu i ustupanje podataka o nastalim računalnimsigurnosnim incidentima između pružatelja elektroničkih financijskih usluga, regulatornih i nadzornih tijela te ostalih relevantnih tijela.

– Mjera C.2.1 i Mjera C.2.2

Akcijski plan: NSKS- C. Elektroničke financijske usluge -

15

• PSD 2 should:

– Improve consumer protection against fraud, possible abuses and payment incidents through enhanced security requirements that make strong customer authentication for online payments compulsory and

– Promote competition through a regulatory framework conducive to the emergence of new players and the development of innovative mobile and internet payments in Europe.

– Encompass many new players:

• PISP

• AISP

• Uvođenje novih sudionika (Payment initiation service providers – PISP i AccountInformation Service providers - AISP), koji će komunicirati putem interneta, može utjecati na sigurnost cjelokupnog procesa plaćanja.

Direktiva o platnim uslugama (PSD 2)

16

Regulativa, inicijative, smjernice,…

• eIDAS

• NIS direktiva

• CBEST

• Cybersecurity Assessment Tool

• G7 fundamental elements of cybersecurity

• …

Izvor: Europska komisija

Izvor: G7

Izvor: FFIEC

Izvor: Bank of England

Izvor: Vijeće Europske unije

17

Zahvaljujem na pažnji!

mr.sc. Slaven Smojver CISA, CISM

slaven.smojver@hnb.hr

Hrvatska narodna banka