Potencijalna ugroženost privatnosti podataka klijenata Imex banke dovela je ponovno u fokus sigurnost hrvatskih bankarskih sustava. Javlja se pitanje ponašaju li se financijske institucije neodgovorno što se tiče internetske sigurnosti? Što se dogodilo u slučaju Imex banke? Jesu li hakirani? Došli smo do zanimljivih saznanja, no rekonstruirajmo za početak slijed recentnih događanja!
Splitska Imex banka prije nekoliko dana primila je e-mail prijetećeg sadržaja. Potom je slučaj prijavila policiji i obavijestila Hrvatsku narodnu banku te poduzela "sve propisane aktivnosti predviđene za ovakve situacije". Jučer je redakcija Jutarnjeg lista primila mail u kojem ih pošiljatelj obaviještava da su hakirali Imex banku i preuzeli informacije o njihovim klijentima i poslovnim subjektima s kojima posluju te da će u utorak početi javno objavljivati podatake. Potom je uslijedila reakcija iz Imex banke u kojoj tvrde da nisu hakirani.
- Poslovanje Imex banke odvija se jednako kao i uvijek, a informacijski sustav Banke je siguran, kao i podaci i računi naših klijenata. Imex banka pridržava se najviših standarda vezano uz sigurnost informacijskog sustava te stoga jasno odbacujemo navode o mogućem hakiranju. Dakle, ovdje se radi o prijetnji koju već procesuiraju nadležne institucije te su poduzete sve potrebne mjere. Nažalost, e-mailovi navedenog ili sličnih sadržaja kojima se fingira postojanje hakerskih napada danas nisu rijetkost, rekao je u priopćenju za medije predsjednik Uprave Imex banke Denis Čivgin.
Na naše upite smatraju li da je riječ o ozbiljnoj prijetnji i kako će se zaštititi građane i poslovne subjekte u slučaju objave podataka iz Imex banke nisu nam ponudili odgovor. HUB o tom slučaju nema nikakvih informacija, ali navode kako velik broj banaka u Hrvatskoj, posebno u posljednjih nekoliko godina, intenzivno ulaže u zaštitu svojih sustava i u tehnološka rješenja svojih on line usluga koja garantiraju vrlo visoku sigurnost.
- Hrvatska udruga banaka nije upoznata s navodima koji se za jednu banku u Hrvatskoj, a koja nije naša članica, spominju u današnjim medijskim izdanjima. Opisani pokušaji napada nisu uočeni među našim bankama članicama, tvrde iz HUB-a.
Iz MUP-a doznajemo tek da je kriminalističko istraživanje u tijeku te da nam nisu u mogućnosti iznijeti više informacija, ali "Općinsko državno odvjetništvo u Splitu izvješteno je od strane PU splitsko-dalmatinske posebnim izvješćem s današnjim danom".
Mišljenje stručnjaka
Nakon brojnih kontakata s različitim relevantnim institucijama ostalo je previše pitanja, stoga smo se obratili Lucijanu Cariću, investitoru poduzeća DefenseCode koje se bavi sigurnosnom analizom aplikacija i njihovog izvornog koda.
- Jučer smo vidjeli slike koje su hakeri priložili mailu te su ih naši etični, takozvani bijeli hakeri, analizirali. Teško je, samo na temelju slika ekrana, procijeniti, ali moguće je da se dogodilo to što hakeri tvrde u svom mailu. U tom slučaju bilo bi važno otkriti kako su se probili u sustav. Postoji mnogo mogućnosti provala u sustav: preko ranjive (nesigurne) aplikacije, nesigurne bežične mreže, čak podmetanjem hakerskog USB sticka, phishing mailom ili porukom koja sadrži zlonamjeran program preko neke od društvenih mreža. I hakeri koriste Remote Desktop Protocol alate koji omogućuju da na tuđim računalima radite kao da su vaša, a iz dostupnih slika vidljivo je i da imaju pristup internoj mreži na kojoj vide interne i backup servere, imaju pristup sigurnosnim kamerama i moguće većini bankarskog sustava, rekao nam je naš stručnjak za računalnu sigurnost.
Tijekom daljnje obrade dostupnih materijala došli su do važnih saznanja koja bacaju novo svjetlo na hakersku djelatnost "nepoznatih počinitelja".
- Po datotekama i po oznakama datoteka vidi se da je sadržaj starijeg datuma. Izgleda da je riječ o podacima iz 19. travnja 2013. To je datum najnovije vidljive datoteke i vjerojatno datum koji je djelomično zakriven na jednoj od slika. Također, jednoj slici vidljivi su tečajevi valuta - srednji tečaj funte je oko 8,88 kuna, kojeg nije bilo poslije 2014. godine.
U svakom slučaju materijali pokazuju da je postojala neka vrsta neautoriziranog pristupa sadržajima, što znači da bi hakeri možda mogli imati i druge podatke iz tog vremena. Pitanje je zašto ih koriste tek sada, a odgovor bi vjerojatno bolje pojasnio priču, tumači Carić te dodaje kako je moguće i da je netko kupio ili došao u posjed do zalutalog diska ili stroja koji je pripadao banci, a da taj disk nije prethodno prošao propisanu proceduru brisanja. U tom slučaju je upitno kako to da postoje i slike remote desktopa, što bismo možda mogli objasniti korištenjem tog alata unutar banke. Također, postoji i mogućnosti da se radi o internoj kompromitaciji koja je kamuflirana kao vanjski hakerski napad, kaže Carić koji zaključuje sljedeće:
- Neka kompromitacija podataka po svoj prilici se dogodila, ali ona nije novijeg datuma. Vjerojatno se radi o hackingu, ali prema svemu sudeći banka trenutno nije izložena takvim rizicima.
Odmaknemo li se od konkretnog slučaja, ostaje pitanje sigurnosti bankarskih sustava i pitanje sigurnosti uopće. Puno takvih sustava, doznajemo, ima razne sigurnosne probleme, a nakon njihovog detektiranja ponekad su potrebni i mjeseci kako bi se oni otklonili.
- Katkad obavljamo poslove za banke, o tome ne mogu govoriti, no analiziramo webove partnera i javne, open source aplikacije. Zadnja analiza većeg broja popularnih i često korištenih open source aplikacija pokazala je da je situacija dosta loša. Praktično nije bilo aplikacije u kojoj nismo našli bar jednu sigurnosnu ranjivost. Postoje softveri, kakve i sami radimo, koji analizom izvornog koda za samo par sati ili možda jedan dan pronađu mnoge sigurnosne probleme, koje onda treba popraviti. Međutim, takvi alati su često jako skupi, od nekoliko tisuća eura po jednom skeniranju pa sve do više desetaka tisuća ili čak i preko stotinu tisuća eura za sam programski paket. Male i srednje firme si to ne mogu priuštiti, a čak i veći često ne žele ili ne mogu platiti te cijene, objasnio je srž problema Carić.
Ipak, kaže on, cijene incidenata često su puno veće.
- U ovom slučaju na kraju čak i nije toliko važno je li banka tehnički sigurna, ali sama činjenica da se o njoj govori u ovom kontekstu nije dobra za reputaciju. I često je najveća baš ta reputacijska šteta, koja se ne može platiti nikakvim novcem, zaključio je Carić.