selvom truslen om cyberangreb stiger, skubbes bankerne for at gå tilbage til det grundlæggende i cybersikkerhed, ifølge en penetrationsspecialist.
den 31.December 2019 lancerede en gruppe hackere kaldet Sodinokibi et cyberangreb på Traveleks-netværket. Gruppen holdt valutaselskabet til løsesum for 4,6 m, som Telegrafen rapporterede. Angrebet fortsatte med at forårsage forstyrrelser ved Lloyds, Barclays og Royal Bank of Scotland.
med et cyberangreb, der producerer en krusningseffekt på tværs af finansielle tjenester, ønskede jeg at finde ud af, hvilke cybersikkerhedstrusler der er specifikke for branchen, så jeg havde en samtale med medstifter og direktør, Fidus Information Security, Et britisk firma, der har specialiseret sig i penetrationstest.
for at udføre en penetrationstest er det vigtigt at kende bankens størrelse, siger Mabbitt.
“der er et par ting, der går ud af vinduet med det samme. Typisk vil den eksterne infrastruktur, alt hvad de er offentligt vært for, normalt være relativt sikkert. Igen bruger bankerne mange penge på sikkerhed, så straks ved du, at det vil være blevet testet til døden, og statistisk set vil du ikke finde noget større der.
“vi ville ikke engang gider at se på bankernes fysiske sikkerhed, fordi de har alle disse kameraer, de har meget Personale, de har sikkerhedsvagter. Hvad vi ville begynde at se på er, har de nogen satellitkontorer? Har de et stort hovedkvarter? Typisk vil de have mindre sikkerhed, fordi de ikke beskytter alle pengene, men hvad forsøger vi at opnå her?
“vi forsøger ikke at få adgang til pengeskabet og de store bolte i bankerne, vi forsøger at få adgang til netværket. Så hvor ville det svageste punkt på netværket være? Typisk er de enten i hovedkontorer, hvor der er så mange mennesker, eller de er i satellitkontorer.
“når vi udfører fysisk engagement, kan vi stå udenfor eller sidde i en lokal cafekrus selv og se folk, der arbejder for banken, komme ind og ud. Typisk, de er altid iført de samme liner osv. Og hvis de er generiske som en rød lanyard, vi kan bare sætte en rød lanyard under vores jumper, gå for at gå ind og typisk hvis nogen ser en lanyard, de vil stole på dig.
“den anden ting, vi normalt gør, er også at filme og tage billeder af mennesker, hvis de arbejder i banken og prøver at klone et badge. Så godt få et billede, mock det op i photoshop, udskrive det på vores eget badge, og så har vi det sandsynlige forsøg på at forsøge at gå ind i bygningen, og vores badge arbejder ikke på scanneren og beder sikkerhed om at åbne den, fordi igen vil folk hjælpe.
“hvis vi ikke kan bryde ind, vil vi lede efter mennesker, vi tror, vi kan målrette mod, så vi afviger fra økonomiteamet, vi afviger fra IT-teamet, og vi ser på mennesker, der er i meget forskellige slags roller, som folk ikke ville påtage sig, ville være målrettet mod phishing-angreb hele tiden. Så folk i medierne for eksempel ville du ikke forvente, at de var så målrettede som folk i finansteamet, så vi ville forsøge at udnytte det.”
det ventende spil
i November 2018 underrettede HSBC deres kunder om et databrud, der var sket måneden før. En uautoriseret login efterlod nogle kunders personlige oplysninger tilgængelige.
men hvor længe en hacker kan forblive uopdaget helt afhænger af, hvad de forsøger at opnå, siger Mabbitt.
“jeg vil normalt sige, at de mennesker, der har talent og opbakning til at angribe en kritisk bank i et land, vil være ret sofistikerede. Man forventer, at de befinder sig på et højt niveau af organiseret kriminalitet eller nationalstatsbankangreb, som de ikke bare prøver at komme ind og stjæle pengene, de ønsker at få så mange data som muligt. Så de er den slags hacks, hvor folk vil sidde på netværk i mindst seks måneder og derover.
“et af de største problemer ved overførsel af data er, at folk stadig sender det over en normal e-mail. I deres sind sender de det fra deres e-mail, og den eneste anden person, der vil se det, er den anden person i den anden ende af denne e-mail. Hvis din e-mail-indbakke er kompromitteret, har du måske ingen anelse, og nogen kunne bare se hver enkelt e-mail, du sender. En anden ting at bemærke er, at e – mails som standard ikke har nogen kryptering i dem, der betyder, at enhver, der er i stand til at kompromittere forbindelsen i midten, og se trafikstrømmen – givet det ville kræve en stor indsats for at gøre sådan noget-hvis nogen er på det samme trådløse netværk, hvis nogen kan opfange data i transit over ledningen, de vil helt være i stand til at læse hele indholdet af den e-mail uden besvær overhovedet.
“en af de ting, der skal implementeres, er obligatorisk kryptering, når du sender data. Jeg ved, at den britiske regering bruger en klassificeringsordning på data-der er klient fortroligt, Officiel, væsentlig, følsom, tophemmelighed osv. Og der er stick retningslinjer for, hvordan hver af dem skal håndteres.”
Going phishing
finansielle servicefirmaer er fortsat de mest målrettede af hackere på grund af de kritiske data, de har, siger Mabbitt. Men mangel på medarbejderbevidsthed og den fysiske byggesikkerhed er fortsat de to største faldgruber i virksomhedernes sikkerhed.
“jeg siger fysisk, og folk antager, at James Bond skalerer over et hegn, men i det væsentlige meget af tiden står det bare udenfor i et rygeområde og følger nogen ind, fordi de holder døren åben for dig. Årsagen til at være mennesker er iboende rart og vil hjælpe. Ingen ønsker at vende sig om og være den person for at sige: ‘hej, hvem er du?’
“når du har brugt millioner på dine sikkerhedsfunktioner og alle de ting, som folk lægger på netværket og de dejlige skinnende kasser, de køber for at beskytte dem, går det hele ned i afløbet, hvis nogen bare kan gå ind i din bygning og tilslutte dit netværk.
“den anden faldgrube, som vi ser, som ikke kun er begrænset til den finansielle sektor, vil være medarbejderbevidsthed, og når jeg siger medarbejderbevidsthed, mener jeg ting som phishing-angreb. Årsagen er, at jeg ved, at mange finansielle virksomheder investerer meget i at uddanne personale til ikke at åbne e-mails osv.
“det er meget nemt at skræddersy ting til at appellere til den specifikke person, som hvis vi ved, at nogen arbejder i et postrum, kan vi sende dem noget, der ser ud som om det er fra et velkendt leveringsfirma, og vi kan straks fra de almindeligt nævnte, der bruges som Økonomi og administrerende direktører-vi vil ikke gå i nærheden af dem. Eller vi kan sende noget til HR med et falsk CV.
“men problemet med phishing og lignende angreb er, at bankerne og medarbejderne skal få det rigtigt hver eneste gang – ikke indtaste deres legitimationsoplysninger og ikke åbne dokumenter, mens en angriber kun skal få det rigtigt en gang.”