Κυβερνοέγκλημα: Αντιμετωπίζοντας μια κοινή απειλή

Οι τράπεζες και τα άλλα χρηματοπιστωτικά ιδρύματα είναι στην πρώτη γραμμή του κυβερνοπολέμου.

Δέχονται διαρκή επίθεση από χάκερ, απατεώνες του διαδικτύου, οργανωμένες εγκληματικές οργανώσεις και εχθρικές ξένες κυβερνήσεις, ενώ έχουν δεχθεί αρκετές παραβάσεις ασφαλείας, περιστατικά denial of service, κλοπές δεδομένων και χρηματοοικονομικές απώλειες.

Τα αμυντικά μέτρα των τραπεζών γίνονται όλο και πιο περίπλοκα. Τα ιδρύματα δουλεύουν σε πολύ στενή συνεργασία το ένα με το άλλο μέσω τραπεζικών ενώσεων όχι μόνο στον εντοπισμό των απειλών, αλλά και για να ελαχιστοποιήσουν τις συνέπειες των επιτυχών επιθέσεων.

Στις διεργασίες έχουν ρόλο ακόμη και οι αρχές που εποπτεύουν τις τράπεζες, όπως και άλλα θεσμικά όργανα του δημόσιου τομέα. Θέλουν να διασφαλίσουν ότι η κυβερνοασφάλεια στο τραπεζικό σύστημα είναι αποτελεσματική -  όχι μόνο εντός των τραπεζών αλλά κι εντός της υποδομής που οι τράπεζες χρησιμοποιούν.

Μέρη αυτής της υποδομής είναι οι εκκαθαρίσεις πληρωμών, τα συστήματα διακανονισμού, τα δίκτυα καρτών, τα χρηματιστήρια, τα κεντρικά αποθετήρια, οι κεντρικοί αντισυμβαλλόμενοι και άλλες σημαντικές υπηρεσίες που παρέχονται από τρίτους.

Οι επιβλέποντες θέλουν να ξέρουν ότι οι τράπεζες έχουν επαρκή ασφάλεια και εν όψει επιθέσεων μπορούν να επιδείξουν υψηλά επίπεδα αντοχής, γιατί οι όποιες παραλείψεις θα μπορούσαν να θέσουν τους καταναλωτές και τις επιχειρήσεις σε κίνδυνο και να απειλήσουν τη σταθερότητα του χρηματοπιστωτικού συστήματος.

Η ευρωπαϊκή διάσταση

Οι τρεις ευρωπαϊκές εποπτικές αρχές -η European Banking Authority, η European Insurance and Occupational Pensions και η Ευρωπαϊκή Αρχή Κινητών Αξιών και Αγορών (EMEA)- είχαν επίσης ενεργό ρόλο.

Τον Απρίλιο δημοσίευσαν μια κοινή αναφορά με τίτλο «Κίνδυνοι και τρωτά σημεία στο χρηματοπιστωτικό σύστημα της Ε.Ε.». Στο τμήμα που ασχολείται με τον «λειτουργικό κίνδυνο του IT» σημειώνεται ότι τα χρηματοπιστωτικά ιδρύματα χτυπιούνται από κυβερνοπεριστατικά πιο συχνά.

Η EBA συνεργάζεται ακόμη με την ΕΚΤ για να κάνει τις λιανικές πωλήσεις πιο ασφαλείς μέσω εργασιών του European Forum για την ασφάλεια των λιανικών πληρωμών.

Οι κυβερνοεγκληματίες δεν εστιάζουν πλέον μόνο σε επιθέσεις κατά χρηστών για να κερδίσουν περισσότερη πρόσβαση σε προσωπική πληροφορία, αλλά όλο και περισσότερο βάρος δίνεται στους παρόχους υπηρεσιών» σημειώνει η μελέτη. «Ο αυξημένος αριθμός περιστατικών ασφαλείας δημιουργεί προβλήματα για τις πληρωμές ιδρυμάτων, τους καταναλωτές, τους εμπόρους και τις ρυθμιστικές αρχές», προσθέτει.

Ο Dirk Haubrich, επικεφαλής καταναλωτικής προστασίας και χρηματοπιστωτικής καινοτομίας στην EBA τονίζει πως η EBA συνεργάζεται στενά με την ΕΚΤ σε θέματα ασφάλειας πληρωμών, όχι στη βάση μιας συγκεκριμένης παρελθούσας ή επικείμενης απειλής, αλλά λόγω μιας συνεχιζόμενης και καλά τεκμηριωμένης αύξησης στις απάτες πληρωμών τα τελευταία χρόνια.

«Οι επιβλέπουσες τις πληρωμές ευρωπαϊκές αρχές συμφώνησαν ότι για να διευθετηθεί το θέμα χρειάζεται αυστηροποίηση του πλαισίου απαιτήσεων και ότι οι οδηγίες της EBA θα διασφαλίσουν μια συνεπή εφαρμογή αυτών των οδηγιών σε όλη την Ευρώπη έως την 1η Αυγούστου 2015. Οι οδηγίες της EBA επί των διαδικτυακών πληρωμών είναι μόνο το πρώτο βήμα και οι EBA και ΕΚΤ δουλεύουν στις απαιτήσεις πρόσθετης ασφάλειας για άλλες μεθόδους πληρωμών. Το πόρισμα αυτό θα δοθεί στη δημοσιότητα για διαβούλευση».

Η στρατηγική της Ε.Ε.

Η κυβερνοασφάλεια είναι μία από τις πολλές προτεραιότητες της Ψηφιακής Ατζέντας της Κομισιόν για την Ευρώπη.

Η δράση υπ' αριθμόν 124 δημιούργησε τη στρατηγική κυβερνοασφάλειας της Ε.Ε., ενώ οι δράσεις 28 και 123 είχαν ως αποτέλεσμα την οδηγία για τις Πληροφορίες Ασφαλείας Δικτύου που θα τεθεί σε εφαρμογή εντός του 2015.

Η οδηγία θα απαιτεί σημαντικούς operators υποδομών, όπως είναι oι πλατφόρμες ηλεκτρονικού εμπορίου, οι εταιρίες ενέργειας και οι τράπεζες, ώστε να διασφαλιστεί ότι διαθέτουν ασφαλή και αξιόπιστα ψηφιακά περιβάλλοντα σε όλη την Ευρώπη. Αυτό περιλαμβάνει την υιοθέτηση πρακτικών διαχείρισης κινδύνου και αναφοράς περιστατικών ασφαλείας σε πελάτες και αρχές.

Η Επιτροπή έχει επίσης προτείνει τον Κανονισμό Προστασίας Δεδομένων, που θα αντικαταστήσει την υπάρχουσα οδηγία εντός του τρέχοντος έτους. Ο κύριος σκοπός του είναι να καθιερώσει έναν νόμο προστασίας δεδομένων σε όλη την Ευρώπη αντικαθιστώντας το μωσαϊκό εθνικών νόμων. Η διάσταση κυβερνοασφάλειας είναι ότι θα απαιτεί εταιρίες, συμπεριλαμβανομένων των τραπεζών, να αναφέρουν παραβάσεις ασφαλείας στις αρχές, συμπληρώνοντας τις απαιτήσεις της οδηγίας NIS.

Ένας από τους επίσημους οργανισμούς που βοηθούν τις τράπεζες να κατανοήσουν το πώς η οδηγία, ο κανονισμός και άλλα μέτρα θα τους επηρεάσουν είναι η Ευρωπαϊκή Υπηρεσία για την Ασφάλεια Δικτύων και Πληροφοριών (Enisa). «Συνεργαζόμαστε στενά με τον ιδιωτικό κλάδο για να βοηθήσουμε να αλλάξει η στρατηγική της Ε.Ε. σε αυτή την περιοχή σε κάτι που λειτουργεί στον πραγματικό κόσμο και κοστίζει ένα λογικό ποσό χρημάτων και κάποιες βασικές πηγές», λέει ο Steve Purser, επικεφαλής των βασικών δραστηριοτήτων της υπηρεσίας.

Τον Οκτώβριο, η Enisa έκανε μια ημερήσια άσκηση σε 29 χώρες για περισσότερους από 200 οργανισμούς, συμπεριλαμβανομένων των τραπεζών, για να ελέγξουν την ετοιμότητα αντίδρασης σε κυβερνοεπιθέσεις. Με ονομασία Cyber Europe 2014 ήταν η μεγαλύτερη και πιο περίπλοκη τέτοια άσκηση που οργανώθηκε ποτέ στην Ευρώπη και η οποία εξομοίωνε περισσότερες από 2.000 κυβερνοεπιθέσεις.

Συμπαράταξη τραπεζιτών

Στην άλλη πλευρά του Ατλαντικού, τα χρηματοοικονομικά ιδρύματα και άλλες σημαντικές εταιρίες υποδομής υιοθετούν τα στάνταρ και τις βασικές αρχές που υπογραμμίστηκαν από τον αρμόδιο θεσμό για τη βελτίωση της ασφάλειας των σημαντικών υποδομών από κυβερνοεπιθέσεις. Ειδικά δε για τον χρηματοοικονομικό κλάδο, η κ. Valerie Abend, επικεφαλής του εποπτικού τραπεζικού οργάνου (Office of the Comptroller - OCC) επισημαίνει: Οι κυβερνοεπιθέσεις επηρεάζουν τα ιδρύματα όλων των μεγεθών. Οι μεγάλες τράπεζες έχουν υψηλό προφίλ και για αυτό υπόκεινται σε μεγαλύτερο αριθμό επιθέσεων. Η απάντησή τους χρειάζεται να είναι αντίστοιχη με τον όγκο και την πολυπλοκότητα των επιθέσεων. Έχουν εντοπίσει ήδη αρκετό υλικό για τις πολεμήσουν.

Τα μικρότερα ιδρύματα γενικά δεν έχουν την ίδια ποσότητα τέτοιου υλικού και αυτός είναι ο λόγος που όργανα όπως ο OCC και το Federal Financial Institutions Examinations Council (FFIEC) εστιάζουν στο πώς μπορούμε να τα βοηθήσουμε να διευθετήσουν τον κίνδυνο και να ελαχιστοποιήσουν τα σημεία όπου θα μπορούσαν να είναι ευάλωτα».

Οι τραπεζίτες στην Ευρώπη και στις ΗΠΑ είναι δεκτικοί στις επίσημες προσπάθειες για ενίσχυση της ασφάλειας. «Αναγνωρίζουμε ότι η προσοχή των πολιτικών και των ρυθμιστικών αρχών ξεκάθαρα αυξάνεται και ο τραπεζικός κλάδος βλέπει τα οφέλη στο να εμπλακεί όσο περισσότερο είναι δυνατόν μαζί τους, ώστε να τους βοηθήσει να δημιουργήσουν νόμους και κανόνες που επιτρέπουν μια αναλογική και αποτελεσματική προσέγγιση στη διαχείριση κυβερνοκινδύνων», λέει ο Mathew Allen, επικεφαλής του τμήματος οικονομικού εγκλήματος στην ένωση βρετανικών τραπεζών.