Bezbronna elektroniczna bankowość

Według opublikowanego właśnie raportu firmy AVET INS, dotyczącego
bezpieczeństwa w bankowości elektronicznej, wszystkie zbadane serwery były
podatne na atak włamywaczy skierowany przeciw oprogramowaniu szyfrującemu
dane. To oznacza, że najbardziej poufne informacje o klientach mogą zostać -
przynajmniej teoretycznie - ujawnione.


Badanie AVET INS - przeprowadzono dwukrotnie: w marcu i maju tego roku -
obejmowało komponenty SSL (do szyfrowania danych) oraz PHP (do tworzenia
dynamicznych stron WWW). Wyniki okazały się szokujące - 100 proc. serwerów
jest niezabezpieczonych przed atakami skierowanymi na oprogramowanie
szyfrujące, natomiast 50 proc. miało lukę w elementach oprogramowania PHP,
która umożliwiała włamanie. Podobne wyniki, świadczące o nieprzygotowaniu
systemów informatycznych w polskich przedsiębiorstwach, firma AVET INS
uzyskała po sprawdzeniu serwerów internetowych Apache. Stanowią one
większość na rynku światowym (ok. 56 proc.), natomiast w Polsce obsługują
ok. 70 proc. przedsiębiorstw. Niewiele ponad 5 proc. serwerów Apache w
Polsce było odpornych na potencjalny atak - twierdzą autorzy raportu AVET
INS.

Nie wiadomo, ile włamań

Dane te nie informują jednak, ile ataków rzeczywiście miało miejsce.
Większość prowadzonych na świecie badań bezpieczeństwa systemów
informatycznych w przedsiębiorstwach opiera się na zgłoszeniach użytkowników
i właścicieli. Przedsiębiorstwa decydują się na nieujawnianie takich
informacji w obawie, że zachwieje to ich pozycją. Nie wszystkie ataki
włamywaczy są od razu widoczne - np. w postaci zmienionej strony WWW.
Sprytniejsi przestępcy potrafią przez długi czas ukrywać fakt uzyskania
dostępu do systemu IT przedsiębiorstwa, zbierając informację o firmie i jej
klientach - w tym również dane mogące bezpośrednio prowadzić do strat
finansowych.

Amerykańska FBI oraz SANS Institute opublikowały liczącą 20 pozycji "czarną
listę" luk w systemach informatycznych przedsiębiorstw. Jak twierdzi Debbie
Weierman z FBI, te same "dziury" wykorzystają zarówno hakerzy, jak i autorzy
wirusów. Co zaskakujące, większość błędów jest doskonale znana i
administratorzy wiedzą o ich istnieniu. Najczęstszą przyczyną pozostawiania
ich w systemie jest jednak niewłaściwa konfiguracja oprogramowania oraz
nieinstalowanie odpowiednich "łatek", oferowanych przez producentów
oprogramowania. - Większość najsłynniejszych udanych ataków opiera się na
wykorzystywaniu zaledwie kilku, dobrze znanych, luk w zabezpieczeniach -
uważa Weierman.

- W ciągu roku odnotowujemy statystycznie ok. 6 poważnych problemów - dziur
w systemach, które mogą prowadzić do włamań - powiedział "Rz" Aleksander
Czarnowski z AVET INS. - Do chwili obecnej zidentyfikowaliśmy dopiero 3.
Należy się jednak spodziewać, że z każdym rokiem liczba luk będzie rosnąć.
Na całym świecie rocznie identyfikowanych jest ok. 2 tys. dziur w systemach
informatycznych.

Zaufanie i straty

Rosną również straty spowodowane elektronicznymi włamaniami do
przedsiębiorstw. Co ciekawe, te największe nie są powodowane bezpośrednio
przez włamywaczy, lecz występują na skutek utraty zaufania klientów oraz
konieczności szybkiej budowy zabezpieczeń systemu komputerowego. Według
informacji pozyskanych z anonimowej ankiety American Society for Industrial
Security, przeprowadzonej wśród przedsiębiorstw listy "Fortune 1000", straty
spowodowane przez nielojalnych pracowników, hakerów i szpiegów to ok. 45 mld
USD rocznie. Według danych Computer Security Institute, amerykańskie
przedsiębiorstwa przyznają się do strat w wysokości ok. 455 mln dolarów.
Średni koszt związany z unowocześnieniem systemu informatycznego i usługami
będącymi następstwem pojedynczego włamania szacowany jest na 1 mln dolarów.

Słabość zabezpieczeń w systemach elektronicznej bankowości jest w Polsce
wyjątkowo dotkliwa. Informacje zdobywane przez hakerów (numery i daty
ważności kart kredytowych) służą później do dokonywania zakupów w Internecie
i wysyłania ich pod fikcyjny adres. W naszym kraju banki starają się
przerzucić na klienta część kosztów związanych z brakiem zabezpieczeń i
ryzykiem włamania. Tymczasem, jak wskazują autorzy raportu AVET INS,
przypadki włamań i kradzieży informacji finansowych w Polsce będą coraz
częstsze - coraz więcej osób decyduje się bowiem na korzystanie z nowych
usług finansowych oferowanych przez Internet.

Piotr Kościelniak
za Rzepa

do góry