Systemy transakcyjne banków są bardzo szczelne i mają wielopoziomowe zabezpieczenia, ciągle udoskonalane i na bieżąco monitorowane w celu wykrycia potencjalnych luk - mówi Janusz Nawrat, dyrektor Biura Bezpieczeństwa Informacji i Systemów Informatycznych Raiffeisen Banku.
Co by się stało, gdyby hakerzy zamiast atakować strony rządowe, wzięli na cel któryś z banków?
Przed działaniem polegającym na zablokowaniu witryny internetowej w wyniku dużej liczby wejść bardzo trudno się obronić. Nie sposób zidentyfikować, która wizyta na stronie jest atakiem, a która normalnym wejściem klienta. Atak tego rodzaju nie miałby bezpośredniego skutku finansowego – strona po prostu przestałaby działać. Dla banku oznaczałoby to dużą szkodę reputacyjną, bo klienci nie mogliby przez pewien czas korzystać z usług.
Załóżmy, że grupa hakerów nie atakuje strony informacyjnej, tylko system transakcyjny. Jakie jest ryzyko, że taki atak mógłby się powieść?
Atak tego typu jest możliwy, jednak ryzyko tego, że się powiedzie, jest niewielkie. Nie mogę oczywiście wypowiadać się za wszystkie banki, ale mogę mówić o rynkowym standardzie. Systemy transakcyjne banków są bardzo szczelne i mają wielopoziomowe zabezpieczenia, ciągle udoskonalane i na bieżąco monitorowane w celu wykrycia potencjalnych luk. Właśnie takie luki służą najczęściej przestępcom do ataku. Nawet jeśli zostałyby zidentyfikowane, ich wykorzystanie jest relatywnie trudne. O wiele prościej jest zaatakować najsłabsze ogniwo w łańcuchu łączącym bank z jego klientem, a więc komputer osoby korzystającej z bankowości elektronicznej. Prościej jest u wielu klientów na przykład podmienić numer konta odbiorcy przelewu, kiedy transakcja jest wykonywana z zawirusowanego komputera, niż atakować dobrze zabezpieczony system banku.
Gdyby taki atak się jednak powiódł, klienci na tym nie stracą?
Znamy przypadki z zagranicy, gdzie hakerom udało się przelać pieniądze na konto podstawionej osoby, ale zanim udało się je podjąć, zostały zablokowane dzięki umowom międzybankowym. Ponadto banki są przed takimi sytuacjami ubezpieczone. Klienci na tym nic nie stracą i mogą spać spokojnie. Pragnę przypomnieć, że w przeszłości dość często zdarzały się ataki na komputer użytkownika, a do defraudacji dochodziło wówczas bezsprzecznie z winy klienta. Jednak nawet w takich sytuacjach banki zwracały pieniądze. Warunkiem było tylko zgłoszenie sprawy na policję.