'Najveće prijetnje informatičkoj sigurnosti nisu tehnološke, već su to neznanje, neinformiranost i neinventivnost. Prazna primjena standarda, slijepo oslanjanje na najnovije tehnologije, a pogotovo ignoriranje očitog i nerazumna štednja opetovano se pokazuju iznimno pogubnim po sigurnost informatičkih sustava', kaže Lucijan Carić, stručnjak za računalnu sigurnost s kojim smo razgovarali nakon što se nedavno veći broj banaka koje posluju na hrvatskom tržištu našao na udaru sofisticiranih hakerskih napada.

Što banke propuštaju učiniti kako bi zaštitile sebe i svoje korisnike?

Praćenjem napretka u metodama napada na internetsko bankarstvo moglo se relativno lako zaključiti da postojeće mjere zaštite jednostavno nisu dovoljne.

Još od 2008. znamo za mogućnost napada na sustav tzv. challenge-response (odgovora na izazov), sastavnog dijela dvofaktorske autentikacije (sustav zaštite koji se koristi za zaštitu računa privatnih i poslovnih korisnika internetskog bankarstva). Tijekom nedavnih napada pokazao se nešto robusniji, ali daleko od toga da je siguran i nekompromitiran.

Od 2009. nalazimo web adrese hrvatskih banaka u kodu malicioznih programa, a od 2011. javno je dostupan izvorni kod Zeusa, sofisticirane platforme za razvoj malicioznih programa specijaliziranih za napade na e-bankarstvo.

Također, od početaka primjene dvofaktorske autentikacije putem pametnih kartica i USB stickova znamo da je ta metoda izložena napadima po principu man-in-the-middle (danas još man-in-the-machine, man-in-the-browser), kojima se prvo kompromitira sigurnost korisničkog računala, njegovog operativnog sustava ili pojedinih aplikacija, te se iznutra nadgleda, presreće i mijenja komunikacija, odnosno izvršavaju radnje i nalozi napadača, a ne stvarnog korisnika računala.

Zato se danas kao sigurnosna nadgradnja dvofaktorskoj autentikaciji koriste metode komunikacije (potvrde transakcija) drugim kanalom, kao što su npr. SMS poruka i programi za otkrivanje kriminalnih transakcija (otkrivanje prijevara) koji na osnovi parametara transakcije otkrivaju je li je zaista zadao korisnik ili zlonamjeran napadač.

Zašto banke propuštaju učiniti nužno za zaštitu od takvih napada?

Mislim da je većina banaka bila uljuljkana u navode o potpunoj sigurnosti metoda zaštite koje su koristile. To su po prirodi stvari konzervativne i formalizirane institucije, pa mogu sporije reagirati na trendove i biti nedostatno inventivne.

Pitanje je i imaju li ljudi koji vode poslovne i tehnološke procese vezane uz IT i sigurnost potreban status i podršku u upravama. Nije dovoljno imati samo znanje - takav posao zahtijeva volju, želju, pa i hrabrost. Teško je biti đavolji odvjetnik kada svi zaključe da su sigurni ustati i reći: 'Ne, nismo.'

Jesu li krive samo banke ili dio odgovornosti leži i na drugima - korisnicima, vlastima...?

Banke ne mogu jednostavno oprati ruke od odgovornosti. Sustav zaštite bankarskih transakcija koji korisnik ima implementiran na svom računalu je njihov, kao i način na koji se pristupa transakcijama. Te je sustave sama razvila ili su to učinili oni koje je angažirala u tu svrhu.

Činjenica je da je znatan broj računala na internetu zaražen malicioznim kodom te nije pod kontrolom svojih korisnika, već se nalazi pod kontrolom informatičkih kriminalaca. Točan broj tih računala nije poznat, ali istraživanja pokazuju kako ih je barem između četvrtine i trećine. Neki smatraju da ih je i do 70-80 posto. Zato banka teško može očekivati da će sva računala preko kojih korisnici pristupaju njenom sustavu (i tako postaju dio tog sustava) biti čista.

Banka, naravno, ne može osigurati integritet korisničkog računala, ali može i mora osigurati integritet provođenja transakcija, dakle mora osigurati to da korisnik i samo korisnik može zadati legalne transakcije!

Što građani mogu i trebaju učiniti kako bi se zaštitili?

Krenite od primjerene instalacije operativnog sustava i programa te njihovog redovitog dograđivanja, pogotovo sigurnosnim ispravcima. Potrebno je imati instaliran firewall i antivirusni (sigurnosni) program. Ne treba zaboraviti i arhivske kopije (backup).

Kod pristupanja e-bankarstvu putem tokena možete si pomoći ako na svoje računalo dodatno instalirate nestandardan operativni sustav, poput nekog Linuxa, možete koristiti i Mac, odnosno bilo kakav operativni sustav (osim Windowsa) koji podržava preglednik.

Možete napraviti i neku inačicu operativnog sustava koji se pokreće s unaprijed pripremljenog CD-a (LiveCD). Pritom imajte na umu da sustavi poput Mac OS-a, Linuxa, Unixa, BSD-a i sličnih nisu sigurniji od Windowsa, već samo manje izloženi.

Situacija je nešto kompliciranija pri korištenja pametnih kartica i USB stickova koji zahtijevaju dodatne programe, ne uvijek dostupne za druge operativne sustave (mimo Windowsa).

U tom slučaju razumno je instalirati dodatnu, čistu, Windows particiju, samo s nužnim potrebnim programima. Zatvorite je koliko je najviše moguće i ograničite komunikaciju prema internetu samo na potrebne za bankarske transakcije.

Bilo bi korisno enkriptirati tu particiju jer se tako sigurno sprečavaju neželjene promjene kada je aktivna neka druga instanca operativnog sustava instalirana na istom stroju.

Koristite li vlastiti poslužitelj, neka bankarstvu pristupa preko terminal servera, ispravno i restriktivno postavljenog.

Smatrate da je potrebna promjena paradigme u borbi protiv cyberkriminala, ne samo u bankarstvu, već i u alatima za računalnu sigurnost i operativnim sustavima.

Sadašnje stanje nije održivo. Sigurnost široko korištenih operativnih sustava je vrlo loša, a upitna je i sigurnost temeljnih aplikacija kao što su neki internetski preglednici. Većina operativnih sustava i aplikacija zapravo uopće nije napravljena tako da se brine o vlastitoj sigurnosti i integritetu, a kamoli da pri tome pomaže korisniku - osim ako netko ne misli da je automatsko dograđivanje vrh vrhova informatičke sigurnosti i brige za korisnika.

Uz sve napore koje ulaže, sigurnosna industrija i dalje je previše reaktivna. Samo nekoliko novijih napada tipa inačica virusa Zeus i Java koji se šire preko Facebooka pokazuju da ovakva zaštita nema veliku budućnost.

Korisnici su posebna priča i ne smije se zanemariti njihova odgovornost, pogotovo korporativnih korisnika i institucija. Istine radi, nemaju ni dovoljnu podršku informatičke industrije u pitanjima sigurnosti. Što, naravno, ne opravdava one koji se prema svojim računalima ponašaju neodgovorno.

Kakva bi uloga vlasti trebala biti? Bi li pomogla stroža regulativa i njena provedba?

Mislim da ne bi. Bilo bi nepravedno reći da nemamo pristojnu regulativu - standardi koje je postavio HNB su dosta visoki. Ali, kao i svaka regulativa, podložni su slobodnoj interpretaciji onoga tko je čita.

Temelj odnosa klijenta i banke je povjerenje u banku. Ako klijent izgubi povjerenje u banku, tu priča završava za nju. Nije nemoguće da klijenti odustanu od korištenja usluga banaka za koje smatraju da su nesigurne, koje će im ponuditi previše komplicirane i neergonomske sustave zaštite ili koje će na korisnike pokušati prebaciti i svoju odgovornost.

Štitite sebe i svog korisnika jer je to ne samo propisano ili potrebno, već zato što je to poslovno mudro.