Niebezpiecznie w polskich bankach

bank

Od co najmniej trzech lat awarie systemów komputerowych polskich banków stały się codziennością. Każdego miesiąca banki odnotowują kilka z nich. Mimo to polskie instytucje nadal nie podjęły skutecznych działań, które poprawiłyby funkcjonowanie systemów i wzmocniły ich bezpieczeństwo. Problemem tym nie zajęła się nawet żadna z instytucji odpowiedzialnych za bezpieczeństwo narodowe Polski.

Prawdziwym rekordzistą awarii stał się PKO BP – największy polski Bank, który ma blisko 1200 własnych oddziałów, ponad 2500 własnych bankomatów i prowadzi ponad 6 mln rachunków. Klienci PKO BP mają ponad 7 mln różnych kart, w tym blisko 1 mln kart kredytowych. W ostatnich tygodniach PKO BP odnotował dwukrotnie poważne awarie swojego systemu.





Awaryjna bankowość

Najpierw 9 listopada, gdy zaczynał się tzw. długi weekend, klienci banku mieli ogromne problemy z wypłatą środków z bankomatów i dokonaniem płatności kartami banku. Prawie 170 tysięcy klientów PKO BP z powodu awarii miało utrudniony dostęp do zdeponowanych w banku pieniędzy. Nawet wówczas, gdy system zaczął działać, wielu klientów nie mogło skorzystać ze swoich pieniędzy. Środki na ich kontach zostały zablokowane wskutek źle zaksięgowanych transakcji. Incydent ten pokrzyżował weekendowe plany sporej części klientów PKO. Nie minął tydzień, gdy bank odnotował kolejną awarię. 15 listopada klienci PKO BP znowu nie mieli dostępu do swoich kont – serwisy internetowe były niedostępne. Bank informował, że awaria zostanie usunięta maksymalnie w ciągu kilku godzin. Podobnie jak we wcześniejszym przypadku, i tym razem PKO BP nie poinformował swoich klientów, jaka była faktyczna przyczyna zaistniałej awarii. Ale ostatnie awarie, jakie wydarzyły się w PKO BP, nie były jedynymi w tym banku w ostatnich miesiącach. We wrześniu br. problemy z dostępem do pieniędzy mieli klienci Inteligo, internetowego banku należącego do PKO BP. Problemy z funkcjonowaniem swojego systemu PKO BP miał już trzy lata temu. Pierwszą poważna awarię odnotował 9 kwietnia 2010 r., kiedy jego klienci przez kilkanaście godzin byli pozbawieni dostępu do swoich kont internetowych. Ponowna awaria w PKO BP miała miejsce zaledwie trzy dni później – 12 kwietnia 2010 r., kiedy przestały działać serwisy PKO BP. Awarie w PKO BP nie były czymś wyjątkowym. Miały także miejsce w dziesiątkach innych polskich banków.

Próby testowania polskiej infrastruktury

Awarie w bankach zdarzały się od początku wprowadzenia w Polsce bankowości elektronicznej. Jednak nie były one tak częste, jak w ostatnich latach. Tak naprawdę awarie systemów bankowych zaczęły się na początku 2010 r., wtedy też gwałtownie wzrosła ich ilość. W lutym 2010 r. miała miejsce jedna z najpoważniejszych awarii bankowych w Polsce. Jej ofiarą były międzybankowe systemy SORBNET oraz ELIKSIR, które odpowiadają za obsługę klientów detalicznych. Wówczas banki nie chciały przyznać się, że z powodu awarii tych systemów miały poważne kłopoty z płynnością. Sytuację starał się wówczas uspakajać NBP, deklarując, że taka awaria już się więcej nie powtórzy. Prawdziwa plaga miała miejsce w pierwszej dekadzie kwietnia 2010 r., m.in. 9 kwietnia 2010 r. doszło do poważnych awarii sieci w PKO BP i Pekao SA. Tego samego dnia problemy z bankowością internetową zanotował również Alior Bank. Ponowna awaria we wspomnianych bankach nastąpiła trzy dni później – 12 kwietnia 2010 r., kiedy ponownie przestały działać ich serwisy internetowe. Okazało się, że w tym samym czasie problemy ze swoimi systemami miało także wiele innych polskich banków. W większości przypadków było tak, że klienci przez kilkanaście godzin byli pozbawieni dostępu do swoich kont internetowych. Sprawa awarii bankowych systemów była o tyle niepokojąca, że w tym samym czasie ataki na swoje systemy komputerowe odnotowało kilka instytucji państwowych, w tym MSZ, a o możliwości ich wystąpienia ostrzegł już 7 kwietnia 2010 r. Rządowy Zespół Reagowania na Incydenty Komputerowe – CERT.GOV.PL. Jednak wtedy zarówno same banki, jak i instytucje odpowiedzialne za bezpieczeństwo polskiego państwa całkowicie starały się przemilczeć zaistniałe awarie. Nie można wykluczyć, że sytuacja, do jakiej wówczas doszło, była próbą przetestowania polskiej infrastruktury informatycznej i sprawdzenia, jak polskie państwo poradzi sobie w krytycznej sytuacji. Z takimi sytuacjami mieliśmy bowiem do czynienia w roku 2007 w Estonii i w roku 2008 w Gruzji.

Znikające pieniądze

Ale na przestrzeni kolejnych miesięcy 2010 r. mieliśmy w Polsce znów do czynienia z nader częstymi awariami sieci bankowych: w październiku awarię swojej sieci odnotował Eurobank, a w grudniu Kredyt Bank. Podobnie było w 2011 r., kiedy awarie sieci odnotowano m.in. w Getin Banku, MultiBanku, ING Banku Śląskim oraz Lukas Banku. Z kolei w 2012 r. awarie zdarzyły się m.in. w: Alior Banku, Banku Millennium i Banku Zachodnim WBK. W 2013 r. polskie banki również zanotowały wiele awarii systemów informatycznych. Tak było m.in. w marcu br. w mBanku i MultiBanku, Banku Zachodnim WBK, Kredyt Banku i w należącym do PKO BP – Banku Inteligo. W tym ostatnim przypadku awarie miały miejsce w ostatnich trzech latach już kilkanaście razy. Gdy dochodziło do awarii zawsze najbardziej poszkodowani byli klienci banków. Ale nie zawsze było tylko tak, że przez kilkanaście godzin nie mieli oni dostępu do swoich pieniędzy. Zdarzały się również takie sytuacje, w których klientom znikały pieniądze z kont. Tak było m.in. w przypadku Inteligo, gdzie we wrześniu br. wielu klientom znikła z kont część środków. Okazało się bowiem, że zaksięgowano na nich transakcje, których nigdy nie dokonali. Dzisiaj w zasadzie trudno jest znaleźć jakikolwiek bank w Polsce, który nie odnotowałyby jakiejś awarii.

Wymowne milczenie banków

Awarie są zazwyczaj bagatelizowane przez polskie banki, które w takich sytuacjach wydają enigmatyczne komunikaty, tłumaczące przerwę w funkcjonowaniu swojego systemu zmianami technicznymi i obiecują jak najszybsze ponowne jego uruchomienie. A jeśli już mamy do czynienia z potwierdzeniem przez bank zaistnienia takiej sytuacji, jego przedstawiciele zazwyczaj wskazują, że do awarii doszło nie z jego winy albo że była to jedynie przerwa techniczna w funkcjonowaniu systemu bankowego. Tak było m.in. dwa tygodnie temu, przed tzw. długim weekendem, gdy PKO BP zakomunikowało: „przyczyny występujących utrudnień były niezależne od banku. Wniknęły z wad sprzętu, który został dostarczony do PKO. Na nasze zlecenie dostawca już go wymienił. Dzisiejsze utrudnienia nie miały związku z awarią, która miała miejsce w piątek i sobotę przez kilka godzin i której skutki zostały już usunięte. Przepraszamy za wszystkie niedogodności”. Taki komunikat był całkowitym zlekceważeniem 150 tysięcy klientów PKO BP, którzy nie mogli skorzystać ze swoich pieniędzy, a cała sytuacja spowodowała ich uzasadnione obawy o bezpieczeństwo zdeponowanych w banku środków w przyszłości. Niestety, sprawą do tej pory nie zainteresowała się nawet Komisja Nadzoru Finansowego odpowiedzialna za nadzór nad polskimi bankami i ich funkcjonowaniem. Jak widać, urząd Komisji Nadzoru Finansowego nie jest zainteresowany bezpieczeństwem środków zdeponowanych przez obywateli w bankach w Polsce. Tylko pozew zbiorowy poszkodowanych w wyniku awarii systemu klientów może
zmienić to nastawienie.

Bezpieczeństwo jest najważniejsze

O problemie awarii systemów bankowych w Polsce mówiono od dawna. Wielu ekspertów już kilka lat temu ostrzegało przed rozwojem tego zjawiska. Na początku 2010 r. eksperci prezydenckiego Biura Bezpieczeństwa Narodowego (BBN) zwracali uwagę na znaczny wzrost awarii sieci bankowych w Polsce. Jak podkreślali wówczas, część z nich na pewno była wynikiem ataków DDoS (ang. Distributed Denial of Service – rozproszona odmowa usługi) na serwisy bankowe, w rezultacie których dochodziło do przeciążenia serwerów bankowych, a następnie ich zablokowania. Eksperci BBN wskazywali również, że za tego typu atakami mogły stać wyspecjalizowane grupy hakerskie krajów trzecich, w tym m.in. z Federacji Rosyjskiej. Czy tak było na początku kwietnia 2010 r., gdy w Polsce miała miejsce największa liczba awarii systemów bankowych? Czy tak było również w przypadku niedawnych awarii systemu PKO BP – największego polskiego banku? Tego dzisiaj jeszcze nie wiemy. Na problem nader częstych awarii sieci bankowych w Polsce zwracaliśmy uwagę na łamach „Gazety Finansowej” już w kwietniu br. Postulowaliśmy wówczas szczegółowe przyjrzenie się temu zjawisku przez wyspecjalizowane komórki instytucji odpowiedzialnych za polskie bezpieczeństwo narodowe. Sugerowaliśmy nawet przygotowanie obszernego raportu na temat awarii systemów w polskich bankach, który mógłby być podstawą do przygotowania niezbędnych w tej sprawie rozwiązań w przyszłości. Do tej pory nie doczekaliśmy się jednak żadnych reakcji na te postulaty ze strony jakichkolwiek polskich instytucji.

Jedno jest pewne: bezpieczeństwo systemu bankowego w Polsce jest dzisiaj poważnie zagrożone. Najwyższy czas podjąć to wyzwanie!

Autor jest historykiem, przez wiele lat pracował w Urzędzie Ochrony Państwa, następnie w Biurze Bezpieczeństwa Narodowego. Był również członkiem Komisji Weryfikacyjnej ds. Wojskowych Służb Informacyjnych

Rośnie poziom zagrożenia dla bankowości elektronicznej

Rik Ferguson

global VP of security research w Trend Micro

Liczba ataków na instytucje finansowe z wykorzystaniem złośliwego oprogramowania oraz trojanów osiągnęła w Europie niebezpiecznie wysoki poziom.

Z danych dotyczących cyberprzestępczości w trzecim kwartale 2013 r. wynika, że największą liczbę ataków na instytucje finansowe z wykorzystaniem trojanów odnotowano w Europie Wschodniej (75,28 proc.). Wśród krajów o najwyższym poziomie ryzyka znalazły się Rosja (43 proc.) oraz Ukraina (44 proc.). W związku z tym, że banki Europy Wschodniej faworyzują działania klientów wykonywane przez internet, to właśnie rzesza nieświadomych konsumentów stała się kluczem do skuteczności ataków. Schemat postępowania był zawsze podobny.

Cyberprzestępczość, której celem jest bankowość elektroniczna jest zjawiskiem bardzo dynamicznie ewoluującym. Cyberprzestępcy wykorzystują różne sztuczki, aby użytkownik wierzył, że pobiera legalne aplikacje lub odbiera e-maile ze sprawdzonego źródła. Mogą one wykorzystywać te same obrazy, ikony, a także bezpośrednio naśladować nazwę nadawcy lub wydawcy oryginalnej aplikacji. Sprawcy stojący za atakami na systemy bankowe często pozostają nieuchwytni.

 

 

Źródło: dr Leszek Pietrzak
gf24.pl

 

 

You can leave a response, or trackback from your own site.

3 Responses to “Niebezpiecznie w polskich bankach”

  1. Klaudia pisze:

    a ja mam konto w PKO BP i czuję się bezpiecznie, akurat nie mogę powiedzieć zawsze mnie o awariach uprzedzali.
    Mam większe zaufanie do PKO BP niż do innych zagranicznych banków.

  2. Franek pisze:

    Żadne banki nie są bezpieczne, najlepiej trzymać kasę w skarpecie




Twój Komentarz Jest Mile Widziany... Dziękuję!

CommentLuv badge

*