Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Mamy pierwszy przypadek ransomware w banku w Polsce. Bank Spółdzielczy w Zambrowie został ofiarą cyberataku.
Od kilku dni czytelnicy informują nas o możliwym ransomware w banku spółdzielczym w Zambrowie. Jedna z informacji, którą otrzymaliśmy brzmiała naprawdę niepokojąco:
(…) bank padł ofiarą ataku. Klasyczny model, zostali zhackowani w trakcie ostatniego weekendu. Nie działa większość systemów IT, w tym bankowość elektroniczna.
Spróbowaliśmy się skontaktować z bankiem – jednak na razie bezskutecznie (e-mailowo – brak odpowiedzi, telefon – nie działa; pewna osoba z oddziału banku odpowiedziała nam – „trzeba kontaktować się z zarządem”).
Do tej pory bank prezentował tylko enigmatyczną informację dotyczącą „awarii” (i do tego prezentowaną w formie pliku graficznego)
Obecnie bank informuje już bardziej konkretnie:
W dniu 16 stycznia 2024 roku zaobserwowano problemy z funkcjonowaniem systemu bankowego. Po dokonaniu analizy stwierdzono, iż dane klientów zostały zaszyfrowane.
(…) Niezwłocznie po zidentyfikowaniu incydentu Bank zabezpieczył systemy informatyczne oraz rozpoczął pracę nad odtworzeniem funkcjonalności systemu oraz udostępnieniem klientom pełnego dostępu do usług świadczonych przez Bank. Bez zbędnej zwłoki poinformujemy Klientów Banku o przywróceniu dostępności do usług bankowych.
Konsekwencją opisanego wyżej Naruszenia ochrony danych osobowych polegającego na zaszyfrowaniu danych jest czasowy brak dostępności do elektronicznych usług bankowych – realizowania płatności i dysponowania środkami zgromadzonymi na rachunkach bankowych.
Jak widzimy jako naruszenie wskazana jest niedostępność, chociaż niestety często w przypadku ransomware dane są dodatkowo wykradane. Bank działa w zrzeszeniu BPS – więc otwarte jest pytanie czy incydent jest izolowany czy ew. może wpłynąć na inne banki w zrzeszeniu. Aktualizacja: Bank BPS (zrzeszający) przesłał dodatkową informację: Incydent, do którego doszło w Banku Spółdzielczym w Zambrowie jest izolowany, zatem nie może spowodować zaszyfrowania danych w jakimkolwiek innym Banku Spółdzielczym z Grupy BPS, ani w Banku BPS.
Obecnie cały czas nie działają min. bankowości internetowe (prywatna, korporacyjna) oferowane przez Bank. Wg informacji opublikowanych na stronie informacyjnej Banku – działają karty płatnicze / można wypłacać pieniądze w bankomatach / oddziałach.
Rady na gorąco? Jak słusznie wskazuje CERT Polska – „najskuteczniejszą formą obrony przed ransomware jest… profilaktyka”. Warto przy tej okazji spojrzeć na poradnik anty-ransomware właśnie od CERT Polska.
Na koniec – pojawiają się informacje, że za akcję odpowiedzialna jest grupa ransomware Trigona.
Aktualizacja 1: bankowości elektroniczne Banku już działają.
Aktualizacja 2 (21.01.2024): otrzymaliśmy informację z Banku Zrzeszającego (BPS), której fragment cytujemy poniżej:
Zrzeszenie BPS tworzy 307 Banków Spółdzielczych i Bank BPS. Każdy z Banków Spółdzielczych posiada swoją infrastrukturę IT obsługiwaną przez różnych dostawców usług informatycznych, wybranych przez dany bank. Incydent, do którego doszło w Banku Spółdzielczym w Zambrowie jest izolowany, zatem nie może spowodować zaszyfrowania danych w jakimkolwiek innym Banku Spółdzielczym z Grupy BPS, ani w Banku BPS.
Aktualizacja 3 (22.01.2024):
Bank BPS (Zrzeszający) przesłał dodatkową odpowiedź na nasze pytanie o połączenia jakie następują w kontekście bank spółdzielczy <-> bank BPS (pytanie w kontekście jeśli ransomware jest w banku spółdzielczym, to jaka jest potencjalna możliwość jego propagacji dalej):
Połączenie z bankiem zrzeszającym (czyli z Bankiem BPS) jest ograniczone tylko do wymaganych portów i protokołów. Dodatkowo ruch jest poddawany analizie i monitorowany przez dedykowane do tego celu systemy. Anomalie w ruchu są identyfikowanie i obsługiwane w ramach działającego w trybie 24/7 zespołu SOC.
~ms
Czy ktoś wie jaki był wektor ataku?
Przykra sprawa ale Państwo też mogliby się trochę douczyć. To, ze Bank jest w Zrzeszeniu nie ma wpływu na inne Banki. Zrzeszenie nie łączy Banków srodowiskiem informatycznym między sobą. Banki Sp działają niezależnie, mają różnych dostawców systemow.
To pewnie dlatego Bank zrzeszający wysyłał do „swoich” banków alerty (TLDR: nie że coś się konkretnego dzieje, ale żeby „uważały”). Przynajmniej takie mamy info od jednego z czytelników.
Z tymi całkiem różnymi dostawcami to też chyba nie ma co szaleć (generalnie są różni, ale np. „bankowość elektroniczna” – to jak z tym jest…?)
Hej. Przed weekendem wszystkie banki dostały takie ostrzeżenienod regulatora. Nie tylko BSy.
No właśnie, zapewne nie bez powodu. Z jednej strony nie ma automatyzmu że jeden BS ma ransomware = inni też muszą mieć. Z drugiej strony, no właśnie – regulator wysyła ostrzeżenie.
Regulator wysyła takie ostrzeżenia dość często i niekoniecznie ma to związek z czymkolwiek istotnym. Czasem są to pogłoski, czasem wywiad, czasem po prostu warto zmobilizować do działania różne struktury. W tym przypadku ryzyko istnieje bo analiza wykradzionych informacji, a w szczególności kodu źródłowego bankowości elektronicznej może spowodować próby exploitowania tego systemu. Natomiast należy zaznaczyć, że Regulator dba aby bsy przeprowadzały regularnie audyty bezpieczeństwa, także u dostawcy softu i jest to system najczęściej testowany w tym państwie, także przecież przecież Was co nie :)
Na rynku jest kilku dostawców systemów finansowych dla banków. Część posiada swoja bankowość dedykowaną ale są też firmy, które integrują swoje aplikacje z systemami banków. Fackupu jednego banku nie ma co łączyć z całą grupą, bo byłoby krzywdzące – BS-y ładują grupe tysiące w bezpieczeństwo. Może boleć, że to jest typowo polski kapitał.
Nie łączymy tego, tylko stawiamy otwarte pytanie. Np. również w kontekście połączenia do głównego banku BPS – i czy przynajmniej potencjalnie tutaj mogłaby być jakaś droga propagacji ransomware.
Automatyzmu, tj. ransomware w jednym BS = od razu ransomware w innym BS – oczywiście nie ma.
W BSach jest kilku dostawców systemów bankowości elektronicznej i systemów centralnych. W większości przypadków banki korzystają z usług w chmurze. Dostawcy zapewniają CPD posiadające certyfikacje ISO analogiczne do banków komercyjnych z zakresu zarządzania bezpieczeństwem informacji, zarządzania usługami czy jakością usług. Kluczowe jest jaki był wektor ataku i szczegółowe okoliczności (a tego raczej się nie dowiemy). Oczywiście trudno generalizować ale raczej do przeszłości należy czas kiedy BSy ustępowały jakoś istotnie pod tym względem bankom komercyjnym. Jak pokazują też historię z banków komercyjnych najsłabszym ogniwem jest człowiek.
No bankowości elektroniczne są różne. Jest kilku dostawców, nie ma jednego. Poza tym nie ma czegoś takiego jak połączenie Banków w Zrzeszeniu między sobą. Nie ma transmisji od Banku A do Banku B itd.
Polecam Sekurakowi wrócić się do BPS to Wam wytłumaczy, zamiast wymyślać…
Nie prawda. Drugie Zrzeszenie ma np. systemy scentralizowane i wiele usług wspólnych, w tym bankowość. Mógłby Pan się trochę douczyć, cytując.
Ale co mnie SGB obchodzi. Tu mowa o BPS i nie ma centralizacji systemów
Nigdy nie założył bym konta w żadnym z banków grupy BPS ich system jest jak na te czasy tragiczny jakby zatrzymał się technologicznie w 2009 roku w dodatku jest to naprawdę drogi banki który jak widać w zamian nie daje żadne skutecznej ochrony.
System nie jest tragiczny, to wszystko zależy od konkretnego banku. Każdy z banków spółdzielczych działa osobno jeśli chodzi o systemy IT i bezpieczeństwo danych klientów. Nie jeden spółdzielczy dba o bezpieczeństwo bardziej niż komercja. Tu nie chodzi o BPS, a o podejście niektórych zarządów, którzy zwyczajnie nie dbają ani o aktualność, ani bezpieczeństwo.
Właśnie podejście i wydatki są w przypadku mniejszych banków kluczowe. Oczywiście jest już trend aby krytyczne systemy banku były w jakimś centrum przetwarzania danych, odpowiednio chronionym, ale nie wszyscy rozumieją, iż jest to teraz niestety konieczne. Sprzęt, usługi, oprogramowanie krytyczne musi być stale aktualizowane i musi być ktoś kto nad tym 24/24 czuwa. W małych bankach, działających często bardzo lokalnie, często nie wystarcza osób na stanowiskach i…. zysku do wprowadzenia tego co powinno się zrobić w kwestii bezpieczeństwa. Jeśli dojdzie do tego brak zrozumienia po stronie kadry zarządzającej dla potrzeb IT to mamy gotowy scenariusz tragedii.
Gratuluję świeżego, nie skażonego wiedzą spojrzenia. 1.Nie ma czegoś takiego, jak system informatyczny grupy bankowej. Są systemy lokalne, z których korzystają banki spółdzielcze oraz systemy wspólne dla zrzeszenia, na przykład służące do rozliczeń międzybankowych, krajowych i zagranicznych. Spełniają (bo muszą) wszystkie standardy i działają bardzo dobrze.
A ja odwrotnie, jestem od wielu lat klientem BPS i nim pozostanę. BPS i BSy są bardzo istotnymi instytucjami dla klientów w mniejszych miastach (ale nie tylko, ja mieszkam w dużym), ponadto banki spółdzielcze działają w Polsce od ponad 100 lat, wyłącznie na bazie polskiego kapitału. BS-y w Polsce mają rożne systemy bank. elektr. więc stosowanie uogólnień świadczy raczej o braku wiedzy. BPS np. ma system prosty i przejrzysty i trudno mu cokolwiek od strony praktycznej zarzucić. Ja np. nigdy nie założyłbym konta w banku na literę m bo jego główny udziałowiec kiedyś chętnie finansował niemieckie firmy korzystające z przymusowej pracy więźniów albo budujące krematoria. Ransmoware nie omijał też „dużych i rozpoznawalnych” firm na świecie, może w BS zawiódł czynnik ludzki, zobaczymy.
Proponuję przyglądnąć się bezpieczeństwu technologii wykorzystywanych w systemach (zaszyfrowanego banku): główny system, bankowość elektroniczna i sprawozdawcze oraz wile innych, które dostarczył krakowski producent oprogramowania dla banków spółdzielczych.
A to z nimi coś jest nie tak? Jeśli ransomware poszedł przez spear phishing to nie ma mocnych. Pytanie tylko jak on dotarł do takich systemów… to musiała być zaplanowana akcja z jakimś backdoorem
A ja proponuję abyś zaczął się przyglądać jak wygląda uchwalanie budżetu na wydatki IT w banku spółdzielczym i ile osób pracuje w wydziale IT w takim banku. Jeżeli często jest to tylko jedna osoba i dodatkowo obarczona jest dodatkowymi nieinformatycznymi obowiązkami to masz odpowiedź gdzie najpierw trzeba coś poprawić. Poza tym „główny system, bankowość elektroniczna i sprawozdawcze … które dostarczył krakowski producent oprogramowania dla banków spółdzielczych” to nie wszystko. Są przecież systemy i urządzenia w banku zabezpieczające to. To trzeba stale w banku spółdzielczym aktualizować. A wsparcie i aktualizacje kosztują bardzo dużo. Jeśli nie daje się na to środków w budżecie IT banku to nie ma zastanawiania się czy atak nastąpi tylko jakie będą duże straty. Poza tym parcie kontaktu „natychmiast” z klientem poprzez Internet i media społecznościowe wymusza wydatki na odpowiednie zabezpieczenie. Ale to już rodzi niewygodne pytania do tych, co budżet na wydatki IT zatwierdzają w banku spółdzielczym.
„Bank działa w zrzeszeniu BPS – więc otwarte jest pytanie czy incydent jest izolowany czy ew. może wpłynąć na inne banki w zrzeszeniu” – oczywiście mają Państwo jakieś dowody na tą ewentualność bo wywołanie burzy na FB dotyczącej bezpieczeństwa w sektorze bankowości spółdzielczej i wręcz panicznych wpisów jest bardzo na rękę banków komercyjnych. Tylko czy na pewno banki komercyjne są bezpieczne od takich wydarzeń….
Widzę agencje PRowe dostały już briefing ;)
Faktem jest, że pierwszą ofiarą ransomware jest bank spółdzielczy a nie komercyjny i wg mnie to nie jest przypadek. Archaiczne zarządzanie, nepotyzm i jak jak widać luźny stosunek do procedur
Dokładnie, bardzo nie na miejscu uwaga. Wywołujecie Redakcjo niepotrzebne emocje.
Pytanie czy w dużych bankach komercyjnych jest chociaż ktoś od security? A jak jest z drugiej strony? Informatyk za 4k obslugujacy kilka bankow z grupy?
W dużych bankach jest ktoś od security. Często nawet więcej niż 1 ktoś.
W dużych bankach jest lazarus i kasztany z pisu:D
Pytanie jest właśnie „otwarte” – tj. zachęcające do dyskusji. To coś innego niż stwierdzenie np. „no to duża szansa że jest ransomware w innych BSach” – tak zdecydowanie nie jest.
KNF wysłał ~właśnie ostrzeżenia do banków w temacie ransomware. Też sieją „niepotrzebny ferment”?
KNF wysłał ostrzeżenie z bardzo ogólnymi zasadami ;-) równie dobrze mógł je wysłać do wszystkich banków także komercyjnych. Banki Spółdzielcze, tak jak i komercyjne, współpracują w wymianie danych z kilkoma podmiotami – te podmioty mają jasno i sztywno określone wymagania bezpieczeństwa do wymiany danych. Jednak jeśli Państwo zastanawiają się nad dyskusją na temat czy kierunek ataku nie nastąpił czasem w kontekście połączenia do głównego banku zrzeszającego – i czy przynajmniej potencjalnie tutaj mogłaby być jakaś droga propagacji ransomware no to proszę jeszcze przedyskutować co najmniej drogę komunikacji z BIK czy ZBP oraz z firmami zapewniającymi obsługę sprawozdawczości obowiązkowej. Tak przypominam, że łącza to też jakiś dostawca zapewnia więc może i ten kierunek do analizy jest potrzebny. Moja wypowiedź to nie jest akcja PR jak sugeruje lol ale jeśli dowody są niejasne i nie zna się specyfiki co banki spółdzielcze wymieniają z bankiem zrzeszającym to można by się trochę powstrzymać przynajmniej do czasu zebrania informacji.
Dziwne, nie kradli kasy tylko szyfrowanie odrazu, mogli np kupować bitcoiny
Za dużo filmów
W dalszym ciągu, wszystko sprowadza się do tego, że osoby decydujące o budżecie firmy nie rozumieją, że dziś kwestie security są koniecznym kosztem tak samo jak paliwo.
Nie zatankujesz – nie pojedziesz.
Nie zainwestujesz w sec – stracisz. Kwestia czasu.
Stracisz więcej niż raz, bo zaciągasz i rośnie dług technologiczny. najpierw stracisz na ataku, a potem i tak musisz wydać bo jak nic nie zrobisz to klienci pójdą do konkurencji. I słusznie, bo jak się nie sznuje (danych) klienta to się nie zasługuje na to żeby go mieć.
Tylko na końcu ten koszt w jakimś stopniu trzeba przerzucić na klienta, czy to w opłatach bankowych czy oprocentowaniu lokat/kredytów itp.
Dopóki dopóty IT jest kosztem w firmach to tego typu dyskusje będą zawsze występowały. Banki spółdzielcze raczej mają lokalne IT + centrala IT/Sec na poziomie całej spółki i to centrala wyznaczy kierunkowe wytyczne oraz strategię rozwoju na najbliższe lata. Lokalne IT to raczej ma to wdrożyć zgodnie z procedurami.
Zaznaczę, że przypuszczam, że to centrala wyznacza rozwój / strategię a nie lokalny bank „ot tak sobie”. Nie znam ich infry :)
W przypadku banków spółdzielczych nie ma centrali w takim rozumieniu. Każdy BS jest autonomiczny w zakresie decyzji stricte finansowych jak i wydatków na IT. BSy (nie wszystkie) są zrzeszone w w ramach jednej z dwóch grup BPS lub SGB, których są notabene udziałowcami.
Od wytycznych jest KNF lub EBA i banki spółdzielcze stosują się do nich i są audytowane tak samo jak komercja
Może trzeba sobie zadać pytanie z czego wywodzą się te banki, jakie biznesy obslugiwały a co za tym idzie kto nimi zarzadza i z jakich biznesow sie wywodzi. Moze liczy sie tylko pieniadz a wszyscy ci „komputerowcy” to tylko siedza i nic nie robia? Wiecie co mam na mysli?
Czy działy IT nie wiedzą jakie systemy mają w banku i czy są podatne czy nie? To co oni robią? Gdzie SIEMy czy monitorowanie zagrożeń?
Nawet jak mieli systemy do monitorowania to jeszcze na alert/incydent trzeba odpowiednio szybko zareagować w przypadku, gdy nie ma odpowiednio procesu automatyzacji na alert/incydent (izolacja/blokada kont itp). Ransomware raczej nie czeka sobie aż „IT” wróci z kawy :) Nawet jak był jakiś SOC to realia są takie, że SOC zadziała post incydentowo, gdy maszyny już będą w fazie szyfrowania i z racji braku uprawnień do systemów za wiele nie będą w stanie zrobić niż tylko poinformować kogoś wyżej.
Każdy ma błędne zrozumienie, że security zaczyna się od SIEM’a a prawda jest taka, że SIEM ma dopiero sens jak masz odpowiednie maturity, ludzi, procesy :)
Aktualizacja nr2 jest z przyszłości? :)
Tesciowie mają konto w BS. Kiedyś zalogowałem się przez VPN przez jakiś inny kraj europejski i po kilku minutach była interwencja telefoniczna z banku. Byłem nawet miło zaskoczony. W innych bankach nie było żadnej reakcji.
Kolega chyba za dużo literatury sf się naczytał.
Też kiedyś miałem styczność. Javascriptowy błąd pojawiający się na górze ich aplikacji webowej nie gasł. Kilka razy podczas robienia przelewu (w ostatniej chwili kiedy klikalo sie – wyslij) potrafiło się wszystko sypnąć i nie wiedziales czy przelew poszedl czy nie poszedl. Trzeba bylo czekac na drugi dzien zeby zobaczyc. Ta aplikacja to było dno. Ciągle coś z nią było nie tak. Obsluga fatalna, w samym banku wyciagi potrafila wydac sprzataczka we fartuszku z miotłą w dłoni. To nie jest żart. Naprawdę. Mam fatalną opinię o tych bankach przez to że chwilę, nie osobiście miałem styczność z jednym z nich. A w to że ktoś zadzwonił i zapytał o logowanie z innego kraju przez VPN – tak od ręki – jakoś średnio wierzę. Zakładam ze napisal to pracownik banku. Nie wierzę źe jest ktoś kto ma za zadanie dzwonić do ludzi jesli dostanie info o logowaniu zza granicy. Po prostu w to nie wierzę. Nie w tych bankach.
Miałem podobnie jak rodzice chcieli skorzystać z swojego konta na moim kompie. VPN był na Niemcy. Bank zadzwonił bo „dwie godziny temu było logowanie z okolic Łodzi, teraz z Berlina i nie ma połączeń lotniczych które mogą pozwolić na tak szybkie przemieszczanie się. Byłem w Szoku. Połączyłem się z moim kontem w banku komercyjnym. Jeden przelew bez VPN-a, drugi z. Zero reakcji. Więc Banki Spółdzielcze bywają zabezpieczone dobrze.
Tak do wiadomości: jeśli chodzi o IT w bs-ach to sprawę reguluje głownie Rekomendacja D i dalsze przepisy. Zwykle jest tak, że określone w nich minimum podlega audytowi co 2 lata. Do tego dochodzi audyt banku zrzeszającego. Często bywa tak, że audyty są co roku. Jeśli ktoś ma wiadomości o różnych centrach przetwarzania w których są dane bankowe, to wie, że tam audyty są coroczne i nie na zasadzie przejrzenia dobrze zrobionej dokumentacji. Dodatkowo KNF wydaje różne zalecenia, nawet związane z bezpieczeństwem „zwykłej” strony banku (nie strony bankowości elektronicznej) i bardzo dba o przesłanie wyników oraz regularnie je sprawdza. Jednak należy pamiętać, że nakłady na „ponad minimum” zabezpieczeń ustala kierownictwo banku samodzielnie. Żaden pracownik IT BS nie kupi z własnej pensji urządzeń zabezpieczających i czasem nie ma siły przebicia aby to wywalczyć w budżecie lub powiedzieć „you shall not pass” na pomysły „bo tak wygodnie” osób nieinformatycznych.