Banke u Kazahstanu – godinu dana kasnije – Monitor.hr


Eto, baš neki dan primih od svoje banke SMS poruku u kojoj me obavještavaju da su mi privremeno blokirali prepaid MC karticu zbog hakerskih napada, te da ću istu neko vrijeme moći koristiti samo na bankomatima i u poslovnicama banke.

Par dana kasnije, obavjestili su me kako ponovo mogu koristiti svoju karticu za plaćanja Internetom.

Svidjela mi se ta reakcija banke, tim više što sam upravo s tom bankom i tom karticom imao slučaj e-krađe kojeg ću vam sad prepričati.

Riječ je o prepaid MC kartici, dakle kartici koju je, baš poput mobilnog telefona, moguće “napuniti” novcima i zatim ih trošiti sve dok iznos ne bude potrošen. Ovakve prepaid kreditne kartice idealno su rješenje za ljude koji često kupuju na Internetu, ali i one koji često putuju: u slučaju krađe podataka s kartice, napadač ne može počistiti više od onoga što je na kartici ostalo.

Tako su i meni, u nekom momentu putovanja na drugi kraj svijeta i nazad, negdje na nekom POS uređaju skinuli podatke s kreditne kartice; najvjerojatnije se to dogodio prilikom presjedanja negdje u UAE, jer tamo imaju čudan običaj da ne traže ni pin ni potpis, već samo provuku karticu i tako na aerodromu brzo i jednostavno kuglicu sladoleda platite šest dolara.

Uglavnom, prošlo je od tog putovanja nekoliko mjeseci, kad eto ti ga – telefonski poziv iz banke. Dobar dan, dobar dan, jeste li vi taj i taj, jesam izvolite… jeste li možda ovih dana svojom kreditnom karticom kupovali autobusne karte u Italiji?

Odmah po obavljenom telefonskom razgovoru blokirana mi je kartica i izdana druga, a proces povrata novca za lažno kupljene autobusne karte jest trajao mjesec, dva – ali mi je na kraju sav novac refundiran. Nije bilo nikakvog navlačenja s bankom, prebacivanja krivnje niti nijekanja odgovornosti s njihove strane.

Zato cijenim i ta dva SMS-a koji me uvjeravaju da banka svoju IT zaštitu shvaća proaktivno i da razumije povjerenje koje sam joj dao koristeći njene usluge.

Podsjetio me taj događaj i na testiranje banaka u Kazahstanu koje sam obavio prije nešto više od godine dana, testirajući jedan mali, mali dio sigurnosti Internet bankarstva – SSL certifikate.

Svakako vas želim nagovoriti da pročitate, imate li snage, volje i živaca, cijeli taj tekst kako biste bolje razumjeli o čemu se radi. Za Twitter generaciju, ovo je sažetak:

“testirao SSL certifikate, isprva vrlo loši rezultati, neke banke se trgnule i ispravile sigurnosne probleme, neke nisu, puno tehničkih izraza u tekstu”.

U tekstu kojeg sam pisao prošle godine otprilike u ovo vrijeme posebno su me intrigirali odgovori banaka na moje upite o lošim rezultatima testiranja njihovih sustava; upite sam poslao samo bankama koje tad nisu zadovoljile na testu,a odgovori su bili zapravo PR- ispravni: ljubazni i apologetski, a primio sam samo jedno pismo iziritirano-nadmenog tona.

Na ponovljenom testu dva tjedna nakon e-mail korespondencije pokazalo se da su one banke koje su se odazvale e-mail upitu ozbiljno shvatile situaciju i riješile ili barem počele rješavati sigurnosne probleme na koje je upućivao test. Banke koje su ignorirale e-mail upit nisu učinile baš ništa.

Jesmo li, dakle, godinu dana kasnije imalo pametniji?

Ponovio sam testiranje banaka (kazahstanskih, podsjetit ću) s istim parametrima, ali uključujući i jedan nedavni, poprilično neugodan problem: DROWN napad.

DROWN napad relativno je svjež (oko dva mjeseca star), no potencijalno vrlo opasan napad koji, pod određenim uvjetima, može napadaču omogućiti ulaz i na poslužitelje koji nisu osjetljivi na napad.

Kako su, dakle, prošle kazahstanske banke ovog puta?

Testirano je 26 banaka i jedna stambena štedionica (eto, tako). Da vas ne zamaram detaljima koje ionako možete provjeriti u onom podugačkom originalnom tekstu, navest ću samo promjene.

Rezultat bolji od prošlogodišnjeg ostvarilo je deset banaka. Neke od banaka, njih sedam, ostvarile su male pomake (primjerice, s dobre ocjene B na A- ili s prihvatljive ocjene C na A-), dok su tri ostvarile drastične pomake nabolje – s ocjene F (apsolutno neprihvatljivo) na B ili čak na A+.

To su, dakle, tri banke koje su sigurnost sustava shvatile vrlo ozbiljno i uložile truda da se, barem u ovom (imajmo na umu: vrlo izoliranom) testu pokažu u puno boljem svjetlu.

S te strane uistinu možemo pohvaliti banke i njihov trud da poslovanje s klijentima učine sigurnijim. No, ova priča (očekivano, nažalost) ima i svoju tamnu stranu: trenutno su dvije kazahstanske banke pale na ovom testu, i to zato što su obje u trenutku testiranja ispale ranjive na DROWN napad.

Ostale banke drže se tu negdje, iako i tu postoje mala nazadovanja: tri banke “pale su” za po jedno slovo; iako niti jedna nije pala u kategoriju neprihvatljivih (ispod “C”), to pokazuje kako i dalje ima mjesta za unapređenje poslovnih procesa koji se tiču proaktivne sigurnosti informacijskih sustava u tim bankama.

Proaktivna sigurnost (tj. praćenje cybersigurnosti i uvođenje promjena kako bi se zakrpale rupe i spriječili napadi prije nego što se dogode) kompleksniji je i skuplji način zaštite informacijskog sustava od reaktivne sigurnosti (kad se reagira na nešto što se već dogodilo), no on se dugoročno uvijek isplati.

Korespondencija s bankama od prije godinu dana ostavila me je u uvjerenju kako dobar dio banaka u Kazahstanu prakticira reaktivnu sigurnost jer su se, činilo mi se, našli dosta iznenađeni mojim upitom; ove godine, čini se kako je dobar dio banaka poslovne procese koji se tiču informatičke sigurnosti (jer u bankama sve počinje i završava strogo definiranim i ozbiljno nadziranim poslovnim procesom) shvatio ozbiljnije, pa otud i zamjetan napredak

To je u modernom svijetu nužnost – primjer je SMS kojeg sam dobio, koji je mene korisnika obavjestio o sigurnosnom problemu i kako ga banka rješava: sigurnost računalnih sustava disciplina je koju treba shvatiti ozbiljno i oko nje se dobro potruditi, jer ne kažu bez razloga kako su zli dečki uvijek korak ispred dobrih.

Primjetio sam, testirajući kazahstanske banke, da testovi koje sam koristio u svom prvom tekstu ne prolaze na dvije banke; nadam se samo da se iste nisu odlučile na “security trough obscurity” (sigurnost kroz skrivanje, princip izbjegavanja davanja ikakvih informacija prema van u najčešće lažnoj nadi da će sam nedostatak informacija spriječiti napade), pa su selektivno onemogućile pokretanje baš tih testova. Kao da će to spriječiti one gore navedene zle dečke…

Views: 245

Comments, rants and vents

,