A hekkertámadások tanulsága

Egyetlen karakter elütésén múlt nemrégiben, hogy a Bangladesh Bank nem veszített el csaknem 1 milliárd dollárt egy hekkertámadás során. A támadók a nemzetközi bankrendszer egyik alappillérének számító SWIFT (Society for Worldwide Interbank Financial Telecommunication) bankközi tranzakciós rendszert kompromittálták. A Bangladesh Bank számlájáról először 81 millió dollárt emeltek le sikerrel, de a második, komolyabb összeg utalásakor elgépeltek egy karaktert a kedvezményezett nevében az utalási megbízáson, és ezen elcsúszott a tranzakció. Az átutalásban érintett Deutsche Bank a hiba miatt ugyanis adategyeztetést kért a megtámadott pénzintézettől, ahol természetesen semmit sem tudtak az átutalásról.

Az esetet azóta is nagy titoktartás közepette vizsgáló SWIFT bejelentette, hogy egy eddig meg nem nevezett kereskedelmi bankot hasonló módszerrel elkövetett támadás ért korábban. A kiberbiztonsággal foglalkozó és a bangladesi történet önszorgalomból is vizsgáló BAE Systems szakemberei szerint egy vietnami bankról van szó, ahol az elkövetők ugyanúgy bejutottak a nemzetközi átutalásokat intéző SWIFT rendszereibe, mint Bangladesben. Vagyis a rossz hír az, hogy a Bangladesh Bank elleni támadás nem egyedi eset, ez pedig a nemzetközi pénzvilágban aggodalmakat kelt.

A SWIFT szerint a bangladesi nem egy elszigetelt akció volt, hanem egy szélesebb, bankokat célzó támadássorozat része. Belső elkövetők és külső behatolók mindkét esetben képesek voltak felhasználói hozzáférést szerezni olyan SWIFT-üzenetekhez, amelyek tranzakciókat indítanak el, és képesek voltak ezek közé becsempészni a sajátjukat, vagy úgy meghamisítani azokat, hogy a rendszer pénzt utaljon egy célszámlára. Egyelőre nem tudni, hogy a vietnami bankból sikerült-e pénzt utalniuk az elkövetőknek a saját számláikra, de a két esetben alkalmazott támadási mód jelentős hasonlóságokat mutat.

A tettesek kiléte egyelőre ismeretlen, de egy kiszivárgott vizsgálati anyag több elkövetői csoportról szólt. A BAE szerint ugyanakkor a bangladesi támadás során használt szoftver összeköthető a Sony stúdió elleni támadásban használt szoftverrel, ami azért érdekes, mert azt az amerikai kormány Észak-Korea számlájára írta.

A SWIFT elbukása komoly következményekkel járna, hiszen 11 ezer bank használja úgy, hogy megbízik az átutalásban, és csak külön hiba esetén kér megerősítést, ahogyan azt a Deutsche Bank tette. Belegondolni is borzasztó, mi lenne, ha ez a csatorna nem jelentene többé biztonságot, ezért minden pénzmozgást külön kellene ellenőrizni. Emiatt olyan mértékben lassulnának le az átutalások, hogy az az üzleti életben is fennakadásokat okozna, hiszen a napokig a pénzügyi rendszerben kallódó pénzeket valakinek finanszíroznia kellene. Talán éppen emiatt a SWIFT továbbra is azt állítja, hogy a központi üzenetküldő rendszerét nem érintette a támadás, de az a tény, hogy egy második banknál egy hasonló illetéktelen behatolás komoly biztonsági kockázatot jelenthet a világszerte 11 ezer bank által alkalmazott rendszerre nézve.

Mielőtt azonban lemondanánk a SWIFT-ről, érdemes megnézni a Bangladesh Bank esetén a támadás körülményeit. Ott egy belső frissítéssel került az új verzióba a kártékony kód. A vietnami bank rendszerébe való behatolásról ugyanezt nem állíthatjuk, de valószínű, hogy ha a pénzintézet belső beszállítókezelése vagy a karbantartásra vonatkozó előírásai a legjobb gyakorlatnak megfelelően működtek volna, ez a támadás meg sem történik. A SWIFT működtetése továbbra is biztonságos maradhat, ha a bankok a biztonságos üzemeltetés öt alapelvét maradéktalanul betartják. Ezeknek az alapelveknek a kikényszerítése 11 ezer szervezetnél viszont már önmagában is gigantikus feladat.

A biztonsági alapelvekre azonban nemcsak a bankoknak, hanem minden szervezetnek figyelnie kell. Először is, nem elegendő, ha az IT-szakemberek technikai eszközökkel harcolnak a rendszer-sérülékenységek ellen. A szervezet minden szintjén részt kell venni a biztonság növelésében. Lehet, hogy gyors üzleti eredménnyel kecsegtet egy biztonsági szabály figyelmen kívül hagyása vagy olcsó beszállítók bevonása, esetleg a belső ellenőrzési jelentések alulértékelése, ám a kockázat jóval nagyobb, mint a megtakarítás.

Másodszor, a munkavállalók biztonságtudatos képzése is elengedhetetlen. Az adatvesztések második leggyakoribb oka ugyanis emberi kockázatra vezethető vissza. A támadásokat sokszor egy olyan költségkímélő biztonsági tréninggel is meg lehetett volna akadályozni, amely nyomatékosan felhívja a dolgozók figyelmét a „Password1234” jelszó használatának veszélyeire.
A harmadik fontos dolog a beszállítók monitorozása. Az egyik legnagyobb biztonsági kockázat ugyanis a beszállító, akivel valamilyen módon számítógépen kommunikálunk. Az üzleti racionalitás érdekében beszállítók sora fér hozzá felhasználói, személyes vagy üzletileg érzékeny adathoz. Az adatlopás legkönnyebben informatikai vállalkozások bevonásakor következik be fejlesztésnél, tesztelésnél vagy rendszerkarbantartásnál, de tudunk olyan esetet, is, amikor a légkondicionáló rendszert szerelő cég alkalmazottai szereztek meg értékes információkat.

Negyedszer: tanulság az is, hogy, minden szabály annyit ér, amennyire komolyan veszik. Vagyis a szabályok alkalmazását minden esetben kockázatarányos módon kell kikényszeríteni. Végül fontos a sérülékenységek rendszeres ellenőrzése. Ez a leghatékonyabb módja a külső támadások megakasztásának, csakhogy nem elég egy rendszer gyenge pontjait a bevezetésének pillanatában vizsgálni, hiszen még az éves felülvizsgálat is kevésnek bizonyulhat, ha a rendszerekben sűrűn történnek változások. Nem vagyok biztos abban, hogy mindezt betartották a megtámadott pénzintézetek.