Kodėl bankai yra hakerio svajonė
Pagalvokite apie tai paprastai: kur saugomi pinigai, ten sukasi ir nusikaltėliai. Tik šiandien nusikaltėliai nebūtinai dėvi juodus megztinius ir nešioja kastetus – jie sėdi kažkur Rytų Europoje, Azijoje ar net kaimyniniame bute su nešiojamuoju kompiuteriu ir puodeliu kavos. Bankai yra vienas patraukliausių taikinių kibernetinėje erdvėje, ir tai nėra jokia paslaptis. Čia sukasi milijardai, čia saugomi jūsų asmens duomenys, kortelių numeriai, kredito istorija, pajamų informacija – viskas, ko reikia, kad kažkas galėtų tapti jumis arba tiesiog ištuštinti jūsų sąskaitą.
2023 metais pasaulyje finansų sektoriuje užfiksuota daugiau nei 1 800 rimtų kibernetinių incidentų. Tai ne skaičiai iš kokio nors mokslinės fantastikos romano – tai realybė, su kuria bankai susiduria kasdien. Ir kalbame ne tik apie didžiuosius žaidėjus. Mažesni regioniniai bankai, kredito unijos, fintech startuoliai – visi jie yra taikinyje, ir dažnai būtent mažesni žaidėjai turi silpnesnes gynybines sistemas.
Kaip iš tikrųjų atrodo banko duomenų apsauga
Daugelis žmonių įsivaizduoja, kad banko duomenų apsauga – tai kažkoks vienas didelis ugniasienės mūras, kuris stovi tarp jūsų pinigų ir blogų žmonių. Realybė yra daug sudėtingesnė ir, atvirai sakant, daug įdomesnė. Šiuolaikinė banko saugumo architektūra veikia pagal principą, kurį specialistai vadina „gynybos gylis” (angl. defense in depth). Tai reiškia, kad nėra vieno apsaugos sluoksnio – jų yra dešimtys, ir kiekvienas atlieka skirtingą funkciją.
Pirmasis lygmuo – tai tinklo segmentacija. Banko vidinis tinklas nėra vienas monolitinis darinys. Jis suskirstytas į atskirus segmentus, kurie tarpusavyje komunikuoja tik per griežtai kontroliuojamus kanalus. Tai reiškia, kad net jei hakeris pralaužia vieną segmentą, jis automatiškai negauna prieigos prie viso tinklo. Antrasis lygmuo – šifravimas. Visi duomenys, judantys tarp sistemų, šifruojami. Trečiasis – prieigos kontrolė. Ne kiekvienas darbuotojas gali pasiekti visus duomenis. Kasininkas nemato to, ką mato rizikos valdymo specialistas, o tas nemato to, ką mato IT administratorius.
Bet čia ir prasideda įdomiausia dalis: visa ši architektūra yra tiek stipri, kiek stipriausia jos silpnoji vieta. O silpniausia vieta beveik visada yra žmogus.
Žmogiškasis faktorius – saugumo Achilo kulnas
Technologijos gali būti tobulos. Galite turėti pačią moderniausią ugniasienę, dirbtinio intelekto pagrindu veikiančią anomalijų aptikimo sistemą, kvantinį šifravimą – ir vis tiek vienas darbuotojas, paspaudęs netinkamą nuorodą el. laiške, gali viską sužlugdyti. Tai skamba kaip kliše, bet statistika yra negailestinga: apie 85% visų sėkmingų kibernetinių atakų prasideda nuo socialinės inžinerijos, dažniausiai – nuo phishing atakų.
Phishing bankininkystės kontekste yra ypač rafinuotas. Nusikaltėliai nesiunčia akivaizdžiai suklastotų laiškų su gramatinėmis klaidomis (nors ir tokie dar pasitaiko). Šiuolaikinės phishing kampanijos yra kruopščiai suplanuotos operacijos. Hakeris gali praleisti savaites tyrinėdamas konkretų banką, jo darbuotojus per „LinkedIn”, jų organizacinę struktūrą, naudojamas sistemas. Tada sukuria laišką, kuris atrodo taip, lyg jį būtų parašęs IT departamento vadovas, prašydamas skubiai atnaujinti prieigos duomenis dėl saugumo patikrinimo. Ir žmonės spaudžia. Nes laiškas atrodo tikras, nes skuba, nes bijo prarasti prieigą prie darbo įrankių.
Praktinis patarimas čia yra paprastas, bet retai laikomasi: joks legitimus banko IT departamentas niekada neprašys jūsų slaptažodžio el. paštu ar telefonu. Niekada. Jei gausite tokį prašymą – tai yra 100% bandymas jus apgauti, nepriklausomai nuo to, kaip įtikinamai tai atrodo.
Daugiafaktorinis autentifikavimas – ne mada, o būtinybė
Vienas iš labiausiai išdiskutuotų, bet vis dar nepakankamai naudojamų saugumo sprendimų yra daugiafaktorinis autentifikavimas, arba MFA (angl. Multi-Factor Authentication). Idėja paprasta: vien slaptažodžio neužtenka, kad patvirtintum savo tapatybę. Reikia dar kažko – ir tas „kažkas” gali būti SMS žinutė, autentifikatoriaus programa, biometriniai duomenys arba fizinis saugumo raktas.
Bankai šiuo klausimu yra gerokai pažengę į priekį, palyginti su kitomis industrijomis. Lietuvos bankai, pavyzdžiui, jau seniai naudoja Smart-ID ir Mobile-ID sistemas, kurios iš esmės yra MFA sprendimai. Bet problema ta, kad daugelis vartotojų vis dar naudoja silpnesnius autentifikavimo metodus, kai jiems suteikiama tokia galimybė, nes tai „patogiau”.
Štai ką reikia žinoti apie skirtingus MFA metodus ir jų patikimumą:
- SMS žinutės – silpniausias variantas. Pažeidžiamas per SIM swapping atakas, kai nusikaltėlis įtikina mobiliojo ryšio operatorių perkelti jūsų numerį į naują SIM kortelę.
- Autentifikatoriaus programos (Google Authenticator, Authy) – žymiai geriau. Generuoja laikinius kodus, kurie galioja tik 30 sekundžių ir nėra susieti su telefono numeriu.
- Biometrika – pirštų atspaudai, veido atpažinimas – patogus ir gana saugus variantas, bet turi savo rizikas (biometrinių duomenų nutekėjimas yra negrįžtamas – slaptažodį galite pakeisti, piršto atspaudo – ne).
- Fiziniai saugumo raktai (YubiKey ir panašūs) – pats patikimiausias variantas. Beveik neįmanoma nulaužti nuotoliniu būdu.
Rekomendacija: jei jūsų bankas siūlo galimybę naudoti autentifikatoriaus programą vietoj SMS – naudokite ją. Tai užtrunka 5 minutes nustatyti ir žymiai padidina jūsų sąskaitos saugumą.
Šifravimas – nuo teorijos iki praktikos
Šifravimas yra vienas tų žodžių, kuriuos visi girdėjo, bet nedaugelis tikrai supranta, kaip jis veikia ir kodėl svarbus. Bankininkystės kontekste šifravimas vyksta keliuose lygmenyse, ir kiekvienas iš jų atlieka skirtingą funkciją.
Kai jūs prisijungiate prie internetinės bankininkystės, jūsų naršyklė ir banko serveris užmezga šifruotą ryšį naudodami TLS (Transport Layer Security) protokolą. Tai tas žalias spynelės simbolis naršyklės adreso juostoje – jis reiškia, kad duomenys, keliaujantys tarp jūsų kompiuterio ir banko, yra šifruoti ir niekas tarp jūsų negali jų perskaityti. Tai apsaugo nuo vadinamųjų „man-in-the-middle” atakų, kai kažkas bando perimti ryšį tarp jūsų ir banko.
Bet šifravimas nevyksta tik perduodant duomenis. Bankai šifruoja duomenis ir saugodami juos – tai vadinama encryption at rest. Tai reiškia, kad net jei kas nors fiziškai pavogtų duomenų bazės kopiją, be šifravimo raktų tie duomenys būtų beverčiai – tik beprasmis simbolių rinkinys.
Šiuolaikiniai bankai taip pat naudoja tokenizaciją – ypač mokėjimų srityje. Kai mokate kortele internete, jūsų tikrasis kortelės numeris dažnai niekada nepasiekia pardavėjo sistemų. Vietoj jo naudojamas unikalus žetonas (token), kuris galioja tik tai konkrečiai transakcijai. Net jei pardavėjo sistema yra nulaužta ir žetonai pavogti, jie yra beverčiai – jų negalima panaudoti kitoms operacijoms.
Dirbtinis intelektas banko saugumo tarnyboje
Čia prasideda tikrai įdomus skyrius. Dirbtinis intelektas ir mašininis mokymasis jau seniai nėra tik marketingo žodžiai bankininkystės saugumo kontekste – jie yra realūs ir veikiantys įrankiai, kurie kasdien apsaugo milijonų žmonių pinigus.
Sukčiavimo aptikimas yra galbūt ryškiausias pavyzdys. Kiekvieną kartą, kai atliekate mokėjimą kortele, banko sistema per milisekundes analizuoja šimtus parametrų: kur esate geografiškai, koks yra įprastas jūsų išlaidavimo modelis, kokia suma, kokia parduotuvė, koks paros metas. Jei kažkas nukrypsta nuo normos – sistema pažymi transakciją kaip įtartiną ir gali ją blokuoti arba paprašyti papildomo patvirtinimo. Tai yra mašininio mokymosi modeliai, išmokyti ant milijardų istorinių transakcijų.
Bet DI naudojamas ne tik transakcijai stebėti. Šiuolaikiniai bankai naudoja elgsenos biometriką – tai sistema, kuri mokosi, kaip jūs naudojatės internetine bankininkyste. Kaip greitai rašote, kaip judinate pelę, kaip slenkate puslapį. Jei staiga jūsų sąskaitoje kažkas elgiasi kitaip – net jei jis turi teisingą slaptažodį ir praėjo MFA – sistema tai pastebės ir gali pareikalauti papildomo patvirtinimo arba blokuoti sesiją.
Kita DI pritaikymo sritis – anomalijų aptikimas tinklo lygmenyje. Sistemos stebi tinklo srautą ir ieško neįprastų šablonų: neįprastai didelių duomenų kiekių, perduodamų naktį, prisijungimų iš neįprastų geografinių vietų, neįprastų prieigos šablonų prie duomenų bazių. Visa tai vyksta realiu laiku, ir kai sistema aptinka anomaliją, ji automatiškai pradeda reagavimo procedūras – blokuoja prieigą, įspėja saugumo komandą, pradeda incidento tyrimą.
Reguliavimas ir atitikties reikalavimai – ne biurokratija, o apsauga
Daugelis žmonių mano, kad bankininkystės reguliavimas yra tik biurokratinis krūvis, kuris apsunkina verslą ir brangina paslaugas. Iš dalies tai tiesa – atitikties reikalavimai kainuoja pinigus. Bet šie reikalavimai egzistuoja dėl priežasties, ir jie realiai apsaugo jūsų duomenis.
Europos Sąjungoje bankai privalo laikytis kelių svarbių reguliacinių sistemų. GDPR (Bendrasis duomenų apsaugos reglamentas) nustato, kaip bankai gali rinkti, saugoti ir naudoti jūsų asmens duomenis. Bankas negali tiesiog saugoti jūsų duomenų amžinai arba dalintis jais su trečiosiomis šalimis be jūsų sutikimo. PSD2 (Mokėjimo paslaugų direktyva) reikalauja stipraus kliento autentifikavimo mokėjimams ir atveria galimybę trečiosioms šalims pasiekti jūsų sąskaitos duomenis (su jūsų sutikimu) – tai atviro bankininkystės pagrindas. DORA (Skaitmeninės operacinės atsparumo aktas), įsigaliojęs 2025 metais, nustato griežtus reikalavimus finansų institucijų kibernetiniam atsparumui.
Praktiškai tai reiškia, kad bankai privalo reguliariai atlikti saugumo auditus, testuoti savo sistemas ieškodami pažeidžiamumų, turėti incidentų reagavimo planus ir pranešti apie rimtus saugumo incidentus reguliavimo institucijoms per 72 valandas. Tai nėra tobula sistema, bet ji yra žymiai geresnė nei jokia sistema.
Jums, kaip vartotojui, tai reiškia, kad turite teisę žinoti, kokius duomenis bankas apie jus saugo, galite prašyti juos ištrinti (su tam tikromis išimtimis), ir bankas privalo jus informuoti, jei jūsų duomenys buvo pažeisti.
Ką galite padaryti patys – ir kodėl tai svarbu
Visa ši technologinė infrastruktūra yra nuostabi, bet ji neveikia vakuume. Banko saugumas yra bendras projektas – bankas daro savo dalį, bet jūs turite daryti savąją. Ir čia daugelis žmonių daro klaidų ne dėl to, kad yra neprotingi, o tiesiog dėl to, kad niekas jiems nepaaiškino, kas iš tikrųjų svarbu.
Pirma ir svarbiausia: slaptažodžiai. Jei naudojate tą patį slaptažodį bankui ir, tarkime, kokiam nors senajam forumui, kuriame registravotės prieš dešimt metų – jūs esate labai didelėje rizikoje. Duomenų bazių nutekėjimai vyksta nuolat, ir nusikaltėliai automatiškai bando pavogtus el. pašto ir slaptažodžių derinius visuose populiariuose bankuose. Tai vadinama credential stuffing ataka, ir ji veikia stebėtinai dažnai. Sprendimas: naudokite slaptažodžių tvarkyklę (Bitwarden yra nemokamas ir atviro kodo variantas, 1Password – puikus mokamas). Kiekvienai paskyrai – unikalus, stiprus slaptažodis.
Antra: reguliariai tikrinkite savo sąskaitos išrašus. Tai skamba trivialiai, bet daugelis žmonių to nedaro. Nedidelės, nepastebimos transakcijos – 2-3 eurų mokesčiai – dažnai yra pirmasis ženklas, kad kažkas naudoja jūsų kortelę. Nusikaltėliai dažnai pradeda nuo mažų sumų, kad patikrintų, ar kortelė veikia, prieš atliekant didesnes operacijas.
Trečia: būkite atsargūs su viešais Wi-Fi tinklais. Prisijungimas prie internetinės bankininkystės per kavainės ar oro uosto Wi-Fi yra bloga idėja. Jei tikrai reikia – naudokite VPN. Arba tiesiog naudokite mobiliojo ryšio duomenis.
Ketvirta: atnaujinkite programinę įrangą. Tai galioja ir jūsų telefono banko programėlei, ir operacinei sistemai. Daugelis atnaujinimų yra saugumo pataisos, uždarančios žinomus pažeidžiamumus. Atidėliodami atnaujinimus, jūs paliekate žinomas skyles atvirais.
Penkta: įgalinkite pranešimus. Beveik visi šiuolaikiniai bankai leidžia nustatyti realaus laiko pranešimus apie kiekvieną transakciją. Tai yra paprasčiausias ir efektyviausias būdas greitai sužinoti apie neleistinas operacijas. Kuo greičiau pranešate bankui apie sukčiavimą, tuo didesnė tikimybė susigrąžinti pinigus.
Banko duomenų saugumas nėra kažkas, kas vyksta tik banko duomenų centruose. Tai ekosistema, kurioje technologijos, procesai, reguliavimas ir žmonių elgsena susipina į vieną visumą. Bankai investuoja milijardus į saugumo sistemas, reguliatoriai kuria vis griežtesnius reikalavimus, o nusikaltėliai nuolat ieško naujų spragų – tai amžinas kačių ir pelių žaidimas. Jūsų vaidmuo šiame žaidime yra mažas, bet ne nereikšmingas. Kelios paprastos praktikos – stiprūs unikalūs slaptažodžiai, MFA, budrumas phishing atžvilgiu – gali reikšti skirtumą tarp saugios sąskaitos ir skausmingos patirties su banko sukčiavimo skyriumi. Technologijos daro savo darbą. Padarykite ir jūs savąjį.
