Od hesla až po bezpečné chování v kyber světě
Co už je bezpečné heslo a co ještě ne? Jaké máte heslo vy a víte, jak ho správně vybrat? Odpovědnost za své peníze nelze přenášet na banku ani na nikoho jiného. Bezpečí svých dat nejlépe zajistíte dodržováním několika zásad, a to nejen na internetu.
Orientujete se správně v oblasti kyberbezpečnosti nebo máte na druhé straně karty napsaný PIN? Víte, co je phishing, quishing, dvoufaktor, MO/TO? Tohle se týká úplně nás všech.
CEO Citfinu Martina Zvěřinová se ptá IT security specialisty Jana Šebeše a ten dává rady a tipy, jak správně přistupovat k otázkám kyberbezpečnosti. V oboru IT security Jan působí přes 25 let a stal se špičkou v ČR ve svém oboru.
Honzo, jaké jsou současné největší hrozby v oblasti IT bezpečnosti pro bankovní a finanční instituce?
V dnešní době, a mnoho let zpět, jsou všechny evropské finanční instituce regulovány a existuje tedy z pohledu klientské veřejnosti nějaká minimální bezpečnostní úroveň při poskytování služeb klientům. Veškeré finanční instituce v České republice tyto minimální standardy překračují, protože jsou si vědomy rizik, která existují i díky současným technickým možnostem útočníků, ať už jedinců, nebo skupin. Používáme ochranu našich výpočetních center, ochranu dat v nich zpracovávaných, ochranu komunikačních kanálů, ale v této otázce mluvíme o „zabezpečení banky“ a to není totéž, jako zabezpečení na straně klienta.
Bezpečnost klienta i nadále, i přes zvyšování úrovně zabezpečení na straně finančních institucí, zůstává logicky stále na straně klienta. Banka může klientovi poradit co nedělat, na co se soustředit, čemu se bránit, ale neovlivní jeho chování.
Můžeš vysvětlit, co je quishing a jakým způsobem ohrožuje finanční sektor?
Co znamená phishing víme dnes asi všichni. Přijde nám email z nesprávné nebo podobné adresy z jaké email čekáme a jeho obsah vypadá identicky jako ten oficiální. A v tomto emailu nám přijde soubor s fakturou, nebo jen naléhavý text, který nás má obvykle v časovém stresu, uvést v omyl a donutit nás poslat peníze, resp. zaplatit něco jinam, než se mělo správně stát. Jde vlastně o „odklonění“ třeba běžné pravidelné platby za služby, nebo zboží.
Quishing je v podstatě identická hra útočníka s potenciální obětí, jen ten text nebo faktura je v tomto případě zaměněn za dnes velmi populární QR kód. Jak známo QR kód si dnes vyrobí v podstatě kdokoliv z nás a zadat do něj číslo účtu, kód banky a částku je otázkou sekund. Tím mířím k tomu, že dnes bychom si měli i QR kód ověřit, a ne pouze slepě zaplatit.
Jaké preventivní opatření mohou klienti přijmout, aby se chránili před phishingovými útoky?
Každý z nás má nasmlouvané nějaké služby a pravidelně za něco platí např. licence, TV, internet, aplikace, uložení dat. Některé společnosti si platby strhávají z účtu, některé posílají fakturu, někde zvolíme platbu kartou. Jediné, jak se lze chránit proti phishingu (podvržení emailu s platebními instrukcemi) je pečlivě ověřovat správnost emailu a jeho obsah, který dostaneme.
Pokud nám chodí pravidelně email z adresy platby@company.cz a najednou z ničeho nic přijde email z adresy 57877854kql@company.cz.reddit.com.uk.lt, měli bychom zpozornět, i když se nám v emailovém klientovi (program, ve kterém koukáte do vašeho emailu) objeví příchozí email z adresy, která je jen mírně odlišná od té, ze které běžné dostáváme zprávy. V takovém případě se velmi pravděpodobně jedná o podvrh. Jinými slovy, každá změna bývá dodavateli služeb oznámena a pokud k tomuto dojde, není nic jednoduššího než dotyčný email přeposlat na původní adresu s dotazem, zda je toto v pořádku, nebo se jinak informovat. Útočníci obvykle sázejí na to, že klienta dotlačí do stresu žádostí o okamžitou platbu, ale to by nás nemělo v žádném případě donutit k uspěchané reakci.
Jak důležité je pro banky a finanční instituce šifrování dat a jaké typy šifrování by měly používat?
Šifrování dat je pro laickou veřejnost většinou něco jako ukázka z nějakého filmu o hackerech. V reálném světe se používají 2 metody šifrování.
Jedna je statická, když data někam uložíte na disk, do cloudu, na diskové pole, na přenosné médium, do mobilu, v notebooku apod. Druhá je dynamická, a to při přesunu těchto dat, tedy šifrování komunikací. Obě tyto metody jsou finančními institucemi běžně využívány.
Jaké jsou nejlepší praktiky pro zabezpečení mobilního bankovnictví?
Na tuto otázku je jediná odpověď, dvoufaktor nebo vícefaktor. Tedy oddělení minimálně dvou nebo více informací nutných k potvrzení nebo chcete-li, provedení transakce. Dosud byla nejpoužívanější metodou smska, kterou jsme potvrdili danou transakci. SMS ale lze nahradit potvrzením transakce v mobilní aplikaci autorizačním kalkulátorem, tokenem, emailem, nebo jiným prostředkem. Ony dva faktory jsou vyšší formou jistoty, kdy by útočník musel ovládnout několik systémů naráz, aby dokázal podvrhnout nebo získat více než jednu informaci nutnou k provedení nebo ovládnutí a změně transakce.
Jaký je Tvůj názor na používání biometrických autentizačních metod (např. otisky prstů, rozpoznání obličeje) v bankovnictví?
Biometrie je jeden z faktorů viz výše. Rohovku nám nikdo nezmění, otisk prstu si můžeme poškodit, krevní řečiště je podle dnešní vědy víc než otisk prstu. Je to ideální a biometrické autentizační metody máme stále s sebou, ale jinak je to opět jen autentizační faktor. V dnešním světě už víme, že některé systémy, které ověřují uživatele podle otisku prstu, se dají oklamat. Ale stále se jedná o jednu z nejbezpečnějších forem ověření lidské identity.
Jak mohou banky a finanční instituce efektivně reagovat na tzv. ransomware útoky?
Úplně stejně jako klienti, tedy důslednou kontrolou příchozích dat a následně rozdělením rolí mezi uživateli v bance tak, aby když příjemce udělá chybu a nezjistí riziko nebo možnost podvržení dat, nesmí mít příležitost v tomto procesu pokračovat dál, a proto je riziko eliminováno tím, že kauzu bude řešit několik osob, čímž se snižuje riziko oklamání.
Jakou roli hrají v zabezpečení finančních služeb umělá inteligence a strojové učení?
Vzhledem k počátkům v tomto trendu se nedokážu úplně odborně vyjádřit k této otázce, ale z pohledu IT security je to stejné, tedy ani účtu s umělou inteligencí nemohu přidat práva správce stejně, jako běžnému uživateli (člověku) na této pozici. Strojové učení je pak oblast, která v budoucnu dokáže automatizovat rutinní kroky ve zpracování dat, nebo požadavků klientů.
Jak mohou finanční instituce sledovat a reagovat na aktuální bezpečnostní hrozby a trendy?
Na světě existuje mnoho služeb, které pro vaši lepší informovanost sdílejí možné aktuální hrozby vč. IP adresy známých útočníků nebo informace již známých typů útoků. Každý z nás, nejen banka, dokáže z tohoto pohledu sledovat aktuální dění v této oblasti. Další možností vyšší formy ochrany jsou třeba inteligentní firewally, které v reálném čase (v milisekundách) dokážou rozhodnout, zda je dotaz na server rizikový, nebo ne. Některé z těchto NG (next generation) zařízení mají k dispozici i cloudovou databázi, která obsahuje známá rizika pro celý svět a tím zjednodušují, resp. urychlují rozhodnutí např firewallu. Důležité je také průběžné sledování, resp. dohlížení vlastní infrastruktury, kde vlivem času může dojít ke snížení odolnosti některých prvků infrastruktury.
Jak vidíš budoucnost IT bezpečnosti v bankovním a finančním sektoru? Jaké technologie a strategie budou podle tebe klíčové?
Když už padla otázka AI, v brzké budoucnosti se obávám dopadů z této oblasti. Jako vždy dokáže novinka obrovsky pomoci v různých směrech, zefektivnit byznys i urychlit procesy, ale jako vždy se dá také velmi efektivně zneužít.
Jak mohou běžní zákazníci bank rozpoznat phishingové a quishingové útoky?
Dnes lze podvrhnout emailovou adresu, telefonní číslo, webovou stránku, s pomocí AI i hlas Vám známého člověka. Rizik je mnoho a některá z nich jsou pro běžného uživatele, který se příliš neorientuje v IT problematice, velmi překvapivá. I nadále ale zůstává hlavním úkolem každého ověřovat informace, která mu je doručena. Ať už je to adresa odesílatele, správnost informací obsažených v emailu, správná adresa webové stránky, platný certifikát ať už v emailu nebo na webové stránce, kód banky a další platební instrukce v QR kódu atd. Je toho mnoho, ale jde přeci o naše peníze a my je nechceme odevzdat někomu, komu nepatří.
Jaké základní kroky by měl podniknout každý uživatel internetového bankovnictví, aby zabezpečil své účty?
Jednoduché. Měl by udržet v tajnosti své přihlašovací informace, tedy ID a heslo. Dále by nikdy neměl otevírat webovou stránku banky z odkazů, které mu přišly emailem, ale jít vždy standardní cestou, na webovou stránku banky, ověřit platnost certifikátu a pak následně jít do rozhraní IB. Pokud používáme bankovní aplikaci v mobilním zařízení, zásadně neinstalujeme do zařízení neznámé aplikace a sledujeme práva aplikací, která instalujeme nebo aktualizujeme. Další již zdánlivě nesouvisející praxí je nastavení limitů pro jednotlivé typy transakcí, tedy limit pro platby, limit pro platby na internetu, pro MO/TO platby (platby na dálku přes mobil nebo email) a další, které Vaše IB umožňuje.
Jak důležité je používání silných hesel a jaké máš tipy pro jejich tvorbu a správu?
Použiji klasické porovnání. Útočník chce do Vašeho prostoru chráněného heslem. Zjistí si o Vás vše potřebné, jako jméno dítěte, psa, adresu domu, věk, koníčky. Heslo Rex2023 si sice dobře zapamatujete, ale jméno Vašeho štěněte neznáte pouze vy. Naopak heslo vzniklé z fráze, tedy věty, která je pro Vás snadno zapamatovatelná, je bezpečnější. Věta: „Moje Manželka Se Jmenuje Karla A Je Jí 32 Let“ nám dá heslo „MMSJKAJJ32L“ a to je bezpečné. Nehledě na to, že útočníci disponují databázemi hesel, která obsahují běžné výrazy. Pro lidi, kteří jsou technicky zdatní jsou dnes k dispozici aplikace, které Vám heslo vygenerují a současně i uloží, ale jedno vstupní heslo budete muset mít v hlavě vždycky.
A jen připomenutí starého moudra: „Řetěz je vždy jen tak silný, jak slabý je jeho nejslabší článek.“ Tedy když budete mít uložena všechna silná hesla v aplikaci a vstupem do aplikace bude PIN 1234, moc problémů to neřeší.
Jaké bezpečnostní funkce by měli zákazníci využívat při používání mobilního bankovnictví?
Funkce není správný výraz. Všichni by měli mít aktualizovaný operační systém ve svém počítači, instalovaný antivirový program a uvnitř internetového bankovnictví používat již zmíněné limity pro transakce.
Co by měli zákazníci dělat, pokud mají podezření, že se stali obětí kybernetického útoku?
Jednoduchá odpověď. Pokud došlo k útoku na Váš počítač je třeba si uvědomit, co všechno z něj provádíte a podle toho upravit kroky.
Běžný příklad: Pokud používám IB, v první řadě zablokuji IB zavoláním do banky nebo úmyslně zablokuji IB několikanásobným nesprávným přihlášením. Změním si hesla pro sociální sítě, změním hesla pro e-shopy, které navštěvuji a pokud mám na některých webech registrovanou platební kartu nebo jinou metodu (Google Pay, PayPal apod), změním i toto zabezpečení, neb stále existuje riziko, že útočník byl úspěšný a dokáže se dostat i k těmto informacím.
Dalším problémem je pak napojení Vašeho počítače do chytré domácnosti, kdy hrozí riziko změny nastavení, ztráty identity a v nejhorším případě i riziko ztráty nastavení zabezpečení domu např. při používání systémů pro otisky prstů pro dveřní systémy. Toto riziko musí zohlednit každý vlastník počítače, protože jenom on ví, jaké systémy používá a jaké hrozby z možného úniku dat nebo převzetí kontroly útočníkem hrozí.
Dotkli jsme se mnoha otázek. Padlo mnoho NESMÍ a MUSÍ, mluvil jsem také o dvoufaktoru a o nutné pozornosti a kontrole. Z vlastní zkušenosti doporučuji všem: „Nedopusťte, aby veškerá Vaše osobní data, přístupy, IB, aplikace, ovládání auta, domu a dalších věcí jste měli pouze na mobilním telefonu, byť používáte FaceID, MicrosoftID, otisk prstu apod.“
Děkuji ti Honzo, věřím, že jsme si všichni udělali lepší představu o hrozbách a tobě přeji, ať se ti daří.