Rosną obawy przed poważnym cyberatakiem na banki, ponieważ hakerzy z powodzeniem ukradli prawie 100 milionów dolarów z banku centralnego Bangladeszu w lutym 2016 r. Wkrótce po tym incydencie rosyjscy urzędnicy banku centralnego ujawnili, że hakerzy ukradli ponad 31 milionów dolarów (dwa miliardy rubli) z kraju bank centralny i banki komercyjne. SWIFT - dominująca sieć przesyłania wiadomości wykorzystywana przez banki - ostrzegła, że tego rodzaju cyberataki będą rosły.
Luki technologiczne
Branża finansowa walczyła o nadążenie za innowacjami technologicznymi, szczególnie biorąc pod uwagę obszerne regulacje dotyczące jej funkcjonowania. Choć starsza technologia może wydawać się jedynie niedogodnością dla konsumentów, stała się poważnym zagrożeniem bezpieczeństwa dla banków komercyjnych, firm ubezpieczeniowych i ich konsumentów. Jednocześnie hakerzy skorzystali z nowych technologii, które ułatwiają włamanie się do tych starszych systemów bankowych.
Na przykład tak zwane uwierzytelnianie dwuskładnikowe to niemal kuloodporny sposób zabezpieczenia kont bankowych konsumentów. Banki wysyłają tymczasowy kod na telefon komórkowy konsumenta przed zezwoleniem na zalogowanie się, co oznacza, że hakerzy będą potrzebować dostępu zarówno do komputera, jak i telefonu komórkowego, aby uzyskać dostęp do konta. Pomimo skuteczności tej metody kilka dużych banków nie stosuje uwierzytelniania dwuskładnikowego w celu ochrony kont bankowych konsumentów.
Napad na bank w Bangladeszu zilustrował również luki w systemach komputerowych banków. Według SWIFT wykryto stosunkowo proste szkodliwe oprogramowanie na komputerowych systemach klienckich (bankowych) atakujących czytnik PDF służący do sprawdzania komunikatów wyciągów. Hakerzy wykorzystali szkodliwe oprogramowanie do ominięcia podstawowych kontroli ryzyka i zainicjowania nieodwołalnych procesów transferu środków, manipulując przy tym oświadczeniami i potwierdzeniami, które normalnie działałyby jako kontrole wtórne.
Wpływ cyberataków na banki
Konsumenci mają stosunkowo niewiele do stracenia w wyniku cyberataków na banki, pod warunkiem, że nie byli zbyt pobłażliwi w kwestii ochrony swoich informacji i szybko powiadomili bank, jeśli brakuje środków. Amerykańskie prawo federalne wymaga, aby banki zwracały klientom pieniądze, jeśli ktoś pobiera pieniądze z ich konta bez upoważnienia, i powiadamia bank w ciągu 60 dni od transakcji pojawiających się na wyciągu bankowym. Konta biznesowe mają jednak mniej zabezpieczeń i mogą być narażone na większe straty.
Same banki mają mniej zapewnień ze strony rządu federalnego, że zachowałyby wypłacalność, gdyby wykonano poważny cyberatak. Według niektórych ekspertów Rada Nadzoru Stabilności Finansowej w dużej mierze nie uznała i nie planowała cyberataków zagrażających wypłacalności dużego banku. Ataki te mogą atakować systemy bankowe i zakłócać krytyczne transakcje finansowe niezbędne do uniknięcia wezwań do uzupełnienia depozytu zabezpieczającego, na przykład wyzwalając domyślne.
Brytyjski akademik Richard Benham, prezes National Cyber Management Center, ostrzegł BBC, że „duży bank upadnie w wyniku cyberataku w 2017 r. Prowadzącego do utraty zaufania i ucieczki do tego banku”. Wiele banków już widzi miliony prób ataków każdego roku, których skutkiem są niewielkie straty, ale precedens ustanowiony przez hack SWIFT wobec banków centralnych wskazuje, że ataki te stają się coraz bardziej wyrafinowane.
Dolna linia
Cyberbezpieczeństwo stało się sprawą najwyższej wagi dla sektora bankowego, ale niektóre banki wahały się przed wdrożeniem bardzo potrzebnych środków bezpieczeństwa, a organy regulacyjne nie spieszyły się z opracowaniem planu przeciwdziałania poważnym atakom, jeśli wystąpią. Konsumenci mogą być w stanie odzyskać pieniądze zgodnie z prawem federalnym, ale niektórzy eksperci obawiają się, że eskalacja ataków może doprowadzić do niewypłacalności dużego banku, jeśli odniesie sukces, lub przynajmniej wywołać panikę, która doprowadzi do bankructwa.
