"A világ legnagyobb pénzintézetei ellen soha annyi elektronikus támadás nem volt, mint tavaly" - olvasható a Deloitte közelmúltban kiadott globális biztonsági felmérésében. A válaszadó bankok több mint háromnegyede (78 százalék) nyilatkozott úgy, hogy a szervezetet kívülről érte támadás, és közel felük (49 százalék) észlelt legalább egy illetéktelen belső behatolást. A külső támadások több mint felét (51 százalék) a phising (adatlopás) és pharming (adatfertőzés) tette ki. A belső támadások közül a leggyakoribbak a belső visszaélések (28 százalék) és az ügyféladatok kiszivárogtatása (18 százalék).

"A pénzintézeteknél leggyakrabban a cégnél dolgozó vagy az ott működő rendszert jól ismerő ember tud belenyúlni az adatokba" - magyarázza Nemes Dániel, a Filtermax stratégiai igazgatója. A gyakorlatban mindez nem is olyan bonyolult. Valaki zsarolással, megvesztegetéssel vagy - és ez a leggyakoribb - meggyőzéssel ráveszi a bank alkalmazottját arra, hogy kiszolgáltassa a szükséges adatokat. "Mi is teszteltünk így cégeket. Megtörtént, hogy az ott dolgozó tudta ugyan, hogy ellenőrzés lesz és nem adhat ki semmilyen jelszót, de egy kollégám, ottani rendszergazdának kiadva magát, rábírta a jelszó kiadására azzal, hogy azt meg kell változtatni, ennyi az egész" - vezeti le könnyedén a szakember. Ma már a pénzintézetek is egyre többet költenek alkalmazottaik képzésére, hiszen a rendszer egyik gyenge pontja a dolgozó. A leggyengébb láncszem azonban - a megkérdezettek egyöntetű véleménye szerint - az ügyfél, aki sokszor nincs is tisztában azzal, hogy milyen kockázati tényezőt jelent ő maga az információbiztonság szempontjából.

"Sokaknak nincs jogtiszta szoftverük, nem telepítik a rendszeresen megjelenő biztonsági javításokat, nincs vagy nem frissítik víruskezelő rendszerüket, nincs kémprogram-elhárítójuk, nincs bekapcsolva a gépük tűzfala. Ilyenkor az ügyfél gépe ki van téve olyan vírusoknak, programférgeknek is, amelyek arra specializálódtak, hogy megszerezzék az ügyfél azonosítóját, jelszavát, ezt hívják személyiséglopásnak" - magyarázza Jakab Péter, aki a Magyar Bankszövetség bankbiztonsági munkabizottságát vezeti. "Ha az ügyfél felelőtlensége miatt szerezhették meg az azonosítóit, jelszavát, akkor bajosan számíthat arra, hogy jótáll a bank, hiszen akárki mondhatja, hogy nem ő utalt az érvényes adatokkal" - érvel Jakab Péter.

A gépre települő vírusok mellett az adatlopás szintén gyakori jelenség. Ilyenkor cégesnek álcázott e-mailt kapnak az ügyfelek, amelyről egy kattintással elérhetik a bank áloldalát. Itt lekérik a jelszavukat, és onnantól kezdve szabad utat kap a hacker, illetve a mögötte álló szervezet. "Ezt úgy lehet kivédeni, ha kétfaktoros a bejelentkezési eljárás, és a jelszó felhasználása időhöz van kötve (ilyen lehet egy mobiltelefonra küldött, egy tranzakcióra szóló azonosító), vagyis adott időközönként cserélődik az ügyfél jelszava" - mondja Nemes Dániel. Vannak azonban egyéb jelek is, amivel a szemfüles ügyfél kiszűrheti a csalafintaságot. "A hamisított, úgynevezett adathalász vagy phising típusú weboldalak címében mindig van valami turpisság, például a nagy I betű helyett kis i szerepel az internetes címben, vagy az O betűvel és a nullával, esetleg szóközökkel variálnak; így a legokosabb, ha mindig magunk gépeljük be a netbankunk címét" - figyelmeztet a bankszövetség szakembere.

A világ vezető pénzintézeteit gyakran éri hackertámadás; ezt persze nem verik nagydobra. "Az elmúlt években az egyszerű, egyedi elkövetők helyett mind több lett a jól szervezett, jelentős előkészítést, pénz- és időráfordítást igénylő támadás. Céljuk és mozgatórugójuk sokféle lehet: a jelentős anyagi előnyszerzéstől kezdve bizonyos pénzügyi szolgáltatók iránti bizalom megrendítésén át akár a politikai szándék is lehet motiváció" - foglalta össze a Deloitte felmérésének eredményét Szendrey Attila, a cég kockázatkezelési szolgáltatásokkal foglalkozó részlegének szenior menedzsere.

Naponta százszámra próbálják meg támadni egy-egy pénzintézet informatikai rendszerét Magyarországon is, de ezek közül nagyon sok jól ismert, inkább a biztonsági réseket kereső, sokszor automaták által végzett próbálkozás. "A bankok központi számítógépeit, belső hálózatát, adatbázisait magas színvonalú, folyamatosan karbantartott technológiával védik. Jellemző, hogy a pénzintézetek óránként többször frissített adatbázisú, több víruskezelő gyártótól származó keresőmotorral vizsgáltatják elektronikus forgalmukat" - vázolja a hazai viszonyokat Jakab Péter. Ennek ellenére volt példa arra, hogy egy bank jól informált rendszergazdája 180 millió forinthoz szeretett volna hozzájutni, de a belső ellenőrző rendszernek köszönhetően a pénzintézet biztonságtechnikai szakemberei meghiúsították a csalást.

"A bankok évről évre többet költenek információbiztonságra (a hagyományosan és elektronikusan kezelt és tárolt információk védelmére). Egy-egy nagyobb intézménynél már milliárdokról beszélhetünk, s ezen belül az informatikai biztonság költsége elérheti az évi egymilliárdot" - összegez Nemes. A megkérdezett szakemberek szerint nem nagy mértékben ugyan, de nő a biztonságtechnikára fordított összeg. A Deloitte-felmérésben részt vevők 95 százaléka nyilatkozott úgy, hogy információbiztonsági költségvetése növekedett az elmúlt évben. "Sajnos sok esetben az információbiztonságot csak informatikai problémaként kezelik. Többnyire a biztonságra szánt összeg az IT-költségek részeként jelenik meg, átlagosan mindössze 3-7 százalékot képvisel" - fejtette ki a világméretű felmérés valós számait firtató kérdésre Szendrey Attila.

"Technológiailag természetesen lehetne még biztonságosabb informatikai rendszereket létrehozni, de célszerű kockázatarányos védelemre törekedni. Itt a tényleges fenyegetettségek, a lehetséges kárértékek és bekövetkezési valószínűségek értékelése mellett nyilván figyelembe kell venni az ügyfelek terhelhetőségét, legyen szó technikai háttérről, illetve a tranzakció végrehajtásához szükséges lépések számáról" - mondja Jakab Péter. Ma - teszi hozzá - technikailag minden különösebb nehézség nélkül létrehozható olyan informatikai rendszer bank és ügyfél között, amely titkosított, a felek kölcsönösen és biztonsággal azonosíthatják egymást, és tudomást szerezhetnek arról, ha valaki "belemódosít" a közöttük lévő kapcsolatba. A mai banki elektronikus rendszerek ilyenek, de a teljes körű biztonsághoz az ügyfelek biztonságtudatosabb magatartására is szükség van.

A bankoknál két biztonságtechnikai alapelv van - magyarázza Nemes, akinek a cége több banknak is dolgozik. Az egyik, hogy a biztonság kialakítására fordított összeg álljon arányban a védendő értékkel (ha egy információ megszerzésére irányuló próbálkozás költsége legalább egy nagyságrenddel meghaladja az okozott kár mértékét, akkor senki nem fog kísérletezni). A másik pedig az "egyenszilárdságú biztonság" elve. Ez azt jelenti, hogy a védelmi eszközök mindegyikének közel azonos szinten kell teljesítenie, mert hiába költenek az egyik elemre nagyon sokat, ha egy másik ponton sebezhető a rendszer. "A bankoknak tulajdonképpen jól működő belső elhárítással kell dolgozniuk: az információbiztonságnak csak egy kis szelete az informatikai biztonság."

A támadások végrehajtása jelentős erőforrásokat és koordinációt igényel, amiből arra lehet következtetni, hogy ma már a profi hackerek és a szervezett bűnözés is megjelentek ezen a területen. Szendrey Attilának nincsenek kétségei, "olyan nagyságrendű akciók vannak, amelyek nemzetközi bandákat sejtetnek a háttérben". Nemes Dániel megerősíti: "tulajdonképpen olyan ez, mint egy hagyományos bankrablás. Ma már egyre nagyobb vagyon testesül meg elektronikus formában, és ahogy finomodik, alakul a biztonságtechnika, úgy használnak a támadók egyre ravaszabb módszereket, amikor megkísérlik a behatolást a bankok informatikai rendszerébe."

KOVÁCS ANDREA