Οι αλλεπάλληλες επιθέσεις στα τραπεζικά συστήματα μέσω κυβερνοχώρου και η απουσία αποτελεσματικού συστήματος αναζήτησης ευθυνών εκ των έσω, έχουν προκαλέσει έντονους προβληματισμούς για το μέλλον της ασφάλειας των χρηματοπιστωτικών συναλλαγών.

Συχνά, οι τράπεζες έχουν κατηγορηθεί ότι σκοπίμως κρύβουν… κάτω από το χαλί τις περιπτώσεις επιθέσεων στον κυβερνοχώρο, με το αιτιολογικό της αποφυγής δημιουργίας πανικού στους πελάτες τους. Αυτό έχει ως αποτέλεσμα την συστηματική υποεκτίμηση του ποσοστού των χρημάτων που οι κυβερνοεγκληματίες υπεξαιρούν από τους τραπεζικούς λογαριασμούς. Εξάλλου, στο τέλος, ένα ικανοποιητικό μέρος αυτών των χρημάτων ανακτάται. Ταυτόχρονα, όμως, δυσχεραίνει το έργο τόσο των εποπτικών αρχών να αντιληφθούν το πραγματικό μέγεθος και τους κινδύνους της κυβερνο-απάτης, όσο και των τραπεζών να αξιολογήσουν τι ποσά πρέπει να επενδύσουν στην ασφάλεια.

Τον Σεπτέμβριο του 2014, η παγκόσμια κοινή γνώμη έμεινε εμβρόντητη εξαιτίας μίας εκ των σοβαρότερων εισβολών στο σύστημα πληροφοριών μιας αμερικάνικης εταιρείας. Δύο μήνες πριν, η JP Morgan Chase είχε ανακαλύψει μια άνευ προηγουμένου παραβίαση προσωπικών δεδομένων που σχετιζόταν με πάνω από 83 εκατομμύρια λογαριασμούς, 76 εκατομμύρια νοικοκυριά και 7 εκατομμύρια μικρές επιχειρήσεις. Μάλιστα, οι επιθέσεις συνεχίστηκαν 15 ημέρες μετά την αρχική ανακάλυψη, ενώ οι αναλυτές πιστεύουν ότι οι κυβερνοεγκληματίες επιχείρησαν να εισβάλλουν και σε άλλα 9 χρηματοπιστωτικά ιδρύματα, ανάμεσά τους η Citigroup και η HSBC. Επιπλέον, υπάρχουν βάσιμες υποψίες ότι τελικά εκλάπησαν στοιχεία και από την Fidelity Investments, ένα από τα μεγαλύτερα mutual funds των ΗΠΑ. Ο αντίκτυπος του σκανδάλου έκανε την JP Morgan να δεσμευτεί ότι θα διπλασιάσει τις δαπάνες στον τομέα της ασφάλειας του κυβερνοχώρου κατά την προσεχή πενταετία.

“Δελεαστική” προοπτική για τους κυβερνοεγκληματίες!
Η κατακόρυφη αύξηση του αριθμού των ψηφιακών συνδέσεων στο “τρίγωνο” τράπεζες, πελάτες και ενδιάμεσα μέρη, δημιούργει καινούριες προοπτικές για τους επίδοξους εγκληματίες. Σε αυτό το “εκρηκτικό κοκτέιλ”, έρχονται να προστεθούν εξτρεμιστικές οργανώσεις, μυστικές υπηρεσίες, αλλά και κράτη απομονωμένα από την διεθνή κοινότητα.

Επί παραδείγματι, η Βόρεια Κορέα αποτελεί τον “βασικό ύποπτο” για την παραβίαση των συστημάτων της Sony Pictures, ενώ το 2012 η επιχείρηση Ababil φέρεται να διεξήχθη είτε από οργάνωση του Ισλάμ, είτε από το Ιράν, έχοντας ως στόχο τα μεγαλύτερα αμερικανικά χρηματοπιστωτικά ιδρύματα. Την ίδια χρονιά, ανάλογη επίθεση έγινε και στην HSBC με αποτέλεσμα εκατομμύρια πελάτες παγκοσμίως να μείνουν χωρίς online πρόσβαση. Άλλωστε, με την εξαίρεση κυβερνητικών ιστότοπων, η παραβίαση τραπεζικών συστημάτων αποτελεί το… ιερό δισκοπότηρο κάθε κυβερνοεγκληματία. Από την μία, ολοένα και περισσότερες φωνές τάσσονται υπέρ ενός νομοθετικού πλαισίου που θα υποχρεώνει τους οργανισμούς που πέφτουν θύματα του κυβερνοεγκλήματος, να το δηλώνουν. Από την άλλη, υπάρχουν αρκετοί που πιστεύουν ότι στα επόμενα χρόνια, το κυβερνοέγκλημα θα αποτελεί απειλή μεγαλύτερη ακόμη και από τα επισφαλή δάνεια, καθώς και ότι μια ευρεία κλίμακας επίθεση θα μπορούσε να “παραλύσει” το παγκόσμιο χρηματοπιστωτικό σύστημα.

Επομένως, υποστηρίζουν ότι οι τράπεζες που αδυνατούν να προστατεύσουν επαρκώς τους πελάτες τους θα πρέπει να τιμωρούνται με αυστηρά πρόστιμα. Το μόνο σίγουρο είναι ότι τα προαναφερθέντα σενάρια “ζωντανεύουν” τους χειρότερους εφιάλτες των υπευθύνων ασφαλείας. Ως αποτέλεσμα, οι δαπάνες για την online ασφάλεια αυξάνονται σταθερά. Αρκεί, όμως, αυτό;

“Αγκάθια” που ζητούν άμεσες λύσεις
Καταρχήν, το διεθνές περιβάλλον δεν είναι ευνοϊκό για τις τράπεζες, καθότι οι εναλλακτικές διαδικτυακές πλατφόρμες και τα startups εμφανίζονται με καταιγιστικό ρυθμό και διεκδικούν ολοένα μεγαλύτερο μερίδιο στην πίτα των αμιγών τραπεζικών υπηρεσιών. Στην πραγματικότητα λοιπόν, οι τράπεζες πασχίζουν για να προσελκύσουν τα καλύτερα μυαλά της πληροφορικής, που προτιμούν αμιγώς τεχνολογικές εταιρείες. Άλλωστε είναι γεγονός, ότι κολοσσοί όπως η Google και η Apple προσφέρουν πολλαπλάσια πακέτα αποδοχών και καλύτερο εργασιακό περιβάλλον, κάτι που δυσχεραίνει τις προσπάθειες εξεύρεσης ικανού προσωπικού. Σαν να μην έφτανε αυτό, οι νέοι κανονισμοί για τις ανώτατες τραπεζικές αμοιβές περιορίζουν σημαντικά τα προσφερόμενα πακέτα αποδοχών. Κατά δεύτερον, δεν υπάρχει κουλτούρα συνεργασίας στο θέμα της κυβερνοάμυνας. Το 2011 και το 2013, η Τράπεζα της Αγγλίας υπέβαλε τις εγχώριες τράπεζες σε προσομοιώσεις επιθέσεων από ένα εχθρικό κράτος. Το συμπέρασμα που βγήκε ήταν ότι ο μεγαλύτερος κίνδυνος για την ασφάλειά τους απέρρεε από την έλλειψη συνεργασίας μεταξύ των θεσμικών οργάνων και από την χαοτική δομή των συστημάτων τους. Αυτό θα μπορούσε να αποφευχθεί αν οι τράπεζες εργαζόντουσαν συλλογικά στο θέμα της ασφάλειας και της ανταλλαγής πληροφοριών.

Τα συμπεράσματα αυτά οδήγησαν το 2013 την Τράπεζα της Αγγλίας στην δημιουργία του CBEST, ενός εξειδικευμένου πλαισίου ασφάλειας στον κυβερνοχώρο για τα χρηματοπιστωτικά ιδρύματα. Το CBEST είναι ένα εθελοντικό τεστ που στοχεύει κυρίως στον έλεγχο της ασφάλειας, την ανταλλαγή πληροφοριών, καθώς και τη συγκριτική αξιολόγηση των παρόχων υπηρεσιών. Κεντρικό ρόλο στην προσπάθεια της Τράπεζας της Αγγλίας κατέχουν και ethical hackers που εξετάζουν τα κενά ασφαλείας των χρηματοπιστωτικών ιδρυμάτων. Ένα χρόνο αργότερα, το 2014, μια ομάδα από 16 αμερικάνικες τράπεζες, συμπεριλαμβανομένων των JPMorgan, Citigroup, BB&T Corp. και US Bancorp, θα δημιουργούσαν, μέσω κοινών επιχειρήσεων, μια πλατφόρμα ανταλλαγής απειλών και πληροφοριών ασφαλείας, ονόματι «SoltraEdge». Μάλιστα, το συγκεκριμένο πρόγραμμα έχει υιοθετηθεί ήδη από 45 ιδρύματα, ενώ επεκτείνεται στρατηγικά και στην Ευρώπη με στόχο να αποτελέσει το κύριο πρότυπο ανταλλαγής απειλών στο χρηματοπιστωτικό τομέα.


Φυσικά, όλα αυτά διόλου δεν ενόχλησαν την πολυεθνική συμμορία ονόματι «Carbanak», που διείσδυσε μέσα σε δύο χρόνια σε περισσότερες από 100 τράπεζες και 30 χώρες, αποσπώντας ίσως και 1 δισεκατομμύριο δολάρια, προτού αποκαλυφθεί η δράση της από την Kaspersky. Ανάμεσα στα θύματά της ήταν και πάνω από 1000 ιδιώτες, που εξαπατήθηκαν μέσω e-mails, κάτι που φανερώνει την ανάγκη εκπαιδεύσεως και του πελάτη. Αν και υπάρχουν έντονες αμφισβητήσεις για την δράση και το εύρος της εν λόγω ομάδας, το μόνο σίγουρο είναι ότι χρησιμοποιούσε όλες τις πιθανές μεθόδους επιθέσεων και εξαπάτησης (ATM, Trojan horses, email fishing κ.ά.).

Επιπλέον, στις ηλεκτρονικές επιθέσεις κατά των τραπεζών παραβλέπονται σημαντικά εσωτερικά προβλήματα όπως είναι λ.χ. η κακή εκπαίδευση των υπαλλήλων με τα συνακόλουθα προβλήματα των αδύναμων κωδικών, της κακής συντήρησης των συστημάτων ή ακόμη και της πλοήγησης σε ανασφαλείς ιστότοπους μέσα από τους υπολογιστές των ίδιων των τραπεζών. Μάλιστα, ειδικοί ισχυρίζονται ότι οι πρόσφατες κυβερνοεπιθέσεις σε βάρος της JP Morgan και της HSBC που οδήγησαν στην απώλεια αρχείων εκατομμύριων πελατών, προέρχονται από το σκέλος των ίδιων των εργαζομένων.

Η άγνοια και ο εφησυχασμός οδηγεί σε επώδυνα λάθη
Συμπερασματικά, αρκετές από τις προαναφερθείσες (και όχι μόνο) εξωτερικές επιθέσεις θα ήταν αδύνατες δίχως την συνδρομή του “εχθρού” εκ των έσω. Αυτό μπορεί να γίνει μεταφέροντας από άγνοια ιούς είτε πέφτοντας ακόμη και θύματα ενός άτυπου εκβιασμού. Σε όλα αυτά πρέπει να προστεθούν και τα φαινόμενα τύπου Falciani ή του Lazimy, αμφότεροι, υπάλληλοι της HSBC. Ο τελευταίος, απολύθηκε επειδή έστειλε 1.400 σελίδες excel που περιείχαν το σύνολο των μεταφορών μετοχών της τράπεζας για το 2010, με αναλυτική περιγραφή δικαιούχων λογαριασμών. Μάλιστα, πρόσφατα, έκανε αγωγή στην τράπεζα ζητώντας ως αποζημίωση το ποσό των 2.6 εκατομμυρίων δολαρίων. Δυστυχώς, όμως, αρκετές έρευνες και περιστατικά έχουν δείξει ότι πολλοί CFOs δεν έχουν λάβει σοβαρά το θέμα του κυβερνοεγκλήματος και αγνοούν ακόμη περισσότερο την πλευρά της βιομηχανικής κατασκοπίας. Για παράδειγμα, μια σειρά πρόσφατων επιθέσεων σε επενδυτικές τράπεζες, αφορούσαν την αποκόμιση πληροφοριών σε σχέση με εκκρεμείς εξαγορές και συγχωνεύσεις επιχειρήσεων, καθώς επίσης και “ευαίσθητες” πληροφορίες σε σχέση με τα σχέδια και την στρατηγική των υπό συγχώνευση εταιρειών. Και εδώ τίθεται το εξής ζήτημα: πώς θα μπορούσαν να χρησιμοποιηθούν αυτές οι πληροφορίες για την απόσπαση άμεσου χρηματικού οφέλους, αλλά και πώς η μεταφορά και η παραποίηση αυτών των πληροφοριών θα μπορούσαν να βλάψουν τις μετοχές και τα οικονομικά στοιχεία των ίδιων των εταιρειών.

Το βασικό πρόβλημα που αντιμετωπίζουν οι ειδικοί ασφάλειας πληροφοριακών και δικτυακών συστημάτων είναι η εξασφάλιση του κατάλληλου προϋπολογισμού, πείθοντας τους CFO, ότι η ηλεκτρονική προστασία είναι στην πραγματικότητα μια ζωτική επένδυση. Καμία φορά, αυτή η προσέγγιση γίνεται χωρίς την συνοδεία κατάλληλης οικονομοτεχνικής μελέτης που να διερευνά το συνολικό κόστος της παραβίασης αλλά και της αποκατάστασης της ασφάλειας σε μια σειρά ζημιών όπως:

  • απώλεια εσόδων
  • πλήγμα στο όνομα και στο κύρος της εταιρείας
  • απώλεια πνευματικών δικαιωμάτων και περιουσίας
  • εκβιασμός
  • κόστος ασφάλισης, παραβίασης και κοινοποίησης ευαίσθητων επιχειρηματικών και προσωπικών δεδομένων καθώς και
  • πιθανά πρόστιμα που μπορεί να συνοδεύσουν τις εν λόγω παραβιάσεις.

Σε κάθε περίπτωση, οι τράπεζες είναι αναγκασμένες να ακολουθήσουν την τάση του κλάδου των υπηρεσιών που αναμορφώνεται μέσω της τεχνολογικής αυτοματοποίησης. Αυτή η ζήτηση ειδικών ασφαλείας αναμένεται να οδηγήσει ακόμη και σε έλλειψη 1.5 εκατομμυρίων στελεχών. Ακολούθως, τραπεζικοί κολοσσοί, όπως οι Goldman Sachs και HSBC, περικόπτουν παραδοσιακές θέσεις εργασίας, ενώ παράλληλα αυξάνουν τις θέσεις εργασίας στον τεχνολογικό τομέα. Ενδεικτικά, η VISAέχει ήδη υλοποιήσει την πρόσληψη 2000 στελεχών στο τομέα της τεχνολογίας, δίνοντας έμφαση στο θέμα της ασφάλειας. Στο διαμορφούμενο τραπεζικό κόσμο όπου όλα είναι συνδεδεμένα διαδικτυακά και η μεταφορά του χρήματος γίνεται με ένα κλικ, πιθανόν μαζί με την εικόνα του ταμία του φυσικού τραπεζικού καταστήματος, να χαθεί και η εικόνα των ληστών με την κουκούλα που εισβάλλουν στην τράπεζα και απειλούν πελάτες και προσωπικό. Και ενώ μπορεί το φαινόμενο της ληστείας τραπεζικών καταστημάτων να απαντάται σχετικά σπάνια και να γίνεται αντιληπτό άμεσα, στην περίπτωση του κυβερνοεγκλήματος τα ακριβώς αντίθετα συμβαίνουν.

Ταυτόχρονα οι τράπεζες, βλέπουν εύκολα τον εξωτερικό εχθρό αλλά αρνούνται να κοιτάξουν και τον εχθρό εντός τειχών, ενώ συνδυαστικά η έλλειψη υψηλά εξειδικευμένου προσωπικού σε θέματα διαδικτυακής ασφαλείας και η κατακόρυφη αύξηση των κυβερνοεγκληματιών, συνθέτουν μια ωρολογιακή βόμβα.