I hrvatske banke na udaru hakera

Potrošnja na informatičke tehnologije u Hrvatskoj u ovoj godini bit će za 15 posto manja u odnosu na prošlu godinu. Riječ je o revidiranoj procjeni IDC Adriaticsa koju je na 1. konferenciji o hakerskim prijetnjama, prevencijama i protumjerama iznio Boris Žitnik, direktor i glavni analitičar te analitičke kuće specijalizirane za informatičko-telekomunikacijsku industriju.

U 2008. na IT usluge, opremu, i aplikacije uloženo je 6,63 milijarde kuna ili 1,34 milijarde dolara, što znači da će ovogodišnja potrošnja iznositi oko 5,6 milijardi kuna, piše Tihomir Dokonal za Bankamagazine. U prethodnim prognozama objavljenim u proljeće ove godine, IDC je predvidio pad tržišta od 7 posto, no tada se očekivao pad BDP-a od 2 posto, dok je sada razvidno da će na godišnjoj razini pad BDP-a iznositi oko 6 posto, pojasnio je Žitnik. Ulaganja u informacijsku sigurnost manje su pogođena krizom u odnosu na ukupnu IT potrošnju i kod njih će pad u ovoj godini biti manji u odnosu na pad ukupnog tržišta, rekao je Žitnik. Prošle godine u informatičku sigurnost uloženo je 15,5 milijuna dolara, odnosno 28 posto više nego 2007. godine, dok je cijelo tržište u dolarima raslo za 7 posto. Manjem padu ulaganja u IT sigurnost nesumnjivo su pridonijeli i regulatorni zahtjevi prema financijskim institucijama koje su postavili Hrvatska narodna banka i Hrvatska agencija za nadzor financijskih usluga. Žitnik smatra da nema nikakvih naznaka da će se situacija, što se ukupne IT potrošnje tiče, u idućoj godini popraviti.

Trevor LaFleche, stariji analitičar Financial Insightsa za područje Europe, Srednjeg istoka i Afrike, istaknuo je kako se današnje banke temelje na tri stvari: brandu, novcima i informatičkoj tehnologiji. U krizi je još više na značenju dobilo očuvanje povjerenja klijenta: s jedne strane treba očuvati povjerljivost podataka, a s druge zadovoljiti zahtjeve klijenata za transparentnošću i jednostavnošću. Nije dovoljno više ponuditi osnovne bankarske usluge, nego klijenti danas od banaka traže da se prilagode njihovom životnom stilu, što uključuje primjenu novih tehnologija, poput internetskog bankarstva, rekao je LaFleche. Pri tome podaci više nisu izolirani, nego se nalaze u mreži. Banke tako gube kontrolu nad njima, što postavlja pred njih sve veće sigurnosne izazove. Dodatni izazov su web 2.0 tehnologije. Ove godine štete nastale internetskim napadima na banke u SAD-u po prvi su puta premašile štete nastale fizičkim pljačkama, rekao je Bojan Ždrnja, stariji konzultant za financijsku sigurnost u tvrtki Infigo IS. Štete nastale internetskim napadima, prema javno dostupnim podacima, već su premašile 100 milijuna dolara, dok je u fizičkim napadima na banke počinjena šteta od 60 milijuna dolara. Tri vodeće zemlje u razvoju trojanskih programa koji napadaju bankovne sustave su Brazil, Rusija i Ukrajina, a u svojoj prezentaciji Ždrnja je predstavio i dva "trojanca" koji napadaju hrvatske banke kroz internetsko bankarstvo – trojan.banker i clampi. Prvi u svojoj konfiguraciji sadrži domene dviju najvećih hrvatskih banaka, dok drugi obuhvaća petnaestak domaćih banaka. Prvi sadrži generički keylogger koji, nakon što prepozna domenu, prikuplja povjerljive podatke. Osim toga, ovaj "trojanac" mijenja HTML kod web-stranice, pri čemu korisnik teško razaznaje lažnu stranicu od originalne stranice banke. Na lažnoj stranici od korisnika se traži upis dodatnih podataka (na primjer PIN-a) kako bi se podaci mogli iskoristiti za izradu lažne kartice. "Clampi je jedan od najnaprednijih trojanskih programa, izuzetno je kompleksan i težak za analizu, a otkrili smo ga prije petnaestak dana", rekao je Bojan Ždrnja. Program omogućava ubacivanje u komunikaciju između računala klijenta i računala banke, mijenjajući podatke o broju računa primatelja i iznosu transakcije koje klijent šalje prema banci. Nakon što banka zatraži od klijenta autentifikaciju transakcije, program presreće poruku i ponovo mijenja zapis u originalni, tako da klijent ne može zamijetiti da se događa nešto neobično i potvrđuje lažnu transakciju. Ždrnja je istaknuo da naše banke prema zahtjevima HNB-a koriste dvostruku autentifikaciju i po tome su među naprednijima u svijetu. Mnoge američke i australske banke, naprimjer, još uvijek koriste samo korisničko ime i lozinku, što je vrlo jednostavno probiti. Te banke boje se da će prekompliciranim sigurnosnim procedurama izgubiti klijente. Kod internetskog bankarstva teško je provesti zaštitu jer banka ne može kontrolirati računalo korisnika, tako da mnogo ovisi o njegovim navikama – redovitoj nadogradnji antivirusnih programa, vatrozida i drugih zaštitnih programa. Što se banaka tiče, jedan od načina za dodatnu sigurnost je da se povratna poruka banke prilikom autentifikacije ne šalje putem interneta, nego SMS-om, tumači Ždrnja. Engleska banka Barclays koristi, pak, interaktivni token i od korisnika traži da upišu i broj računa primatelja, što donosi sigurnost od virusa poput Clampija, ali komplicira korištenje internetskog bankarstva korisniku.

Sanjay Bavisi, predsjednik EC-Councila, upozorio je na nesavršenost standardnih zaštitnih mjera, poput antivirusnih programa, biometrije, vatrozida i drugih. Upotreba takvih programa kod većine ljudi stvara lažni dojam sigurnosti jer im se čini da sve funkcionira u redu. No, hakeri danas više ne rade kao nekad, kada im je bio cilj da se pokažu, nego nastoje biti neprimijećeni kako bi prikupili podatke. Prikupljene informacije prodaju se na crnom tržištu, na kojem je cijena kreditne kartice između 0,10 i 25 dolara, dok se podaci o bankovnom računu prodaju za 10 do 1000 dolara, ovisno o banci i stanju na računu.

Konferenciju o hakerskim prijetnjama, prevencijama i protumjerama organizirali su Učilište Algebra i IDC Adriatics.