'Sigurnost postaje jedna od ključnih tema u svakodnevnom životu i radu svih zaposlenika'

U proteklih nekoliko godina bankarski sektor počeo je digitalizaciju svojih usluga. Ovaj pomak prema digitalizaciji omogućio je poboljšana korisnička iskustva i nove izvore prihoda za banke. Međutim, istodobno donosi povećane rizike od povrede podataka i od kibernetičkih napada. Konkretno, uz sve veće oslanjanje na tehnologiju, potreba za snažnim mjerama kibernetičke sigurnosti nikad nije bila veća. S tim se slaže i Blanka Zubalj, direktorica sigurnosti Raiffeisen banke, s kojom smo razgovarali o najvećim izazovima u području kibernetičke sigurnosti u bankarskom sektoru. 

- Posljednjih nekoliko godina strateške odrednice bankarskog sektora usmjerene su na digitalizaciju bankarskih usluga. S jedne strane to otvara nove mogućnosti i za banku i za klijente, ali istodobno predstavlja izazove jer ih izlaže raznim kibernetičkim prijetnjama. Također, istodobno s digitalizacijom dolazi do značajnih promjena u regulatornom okviru, koji od bankarskog sektora zahtijeva daljnje unapređenje sustava upravljanja IT rizicima, upravljanje rizicima trećih strana te jačanje otpornosti banaka u digitalnom svijetu - kaže nam na početku Zubalj. 

Neki od najčešćih napada u svijetu primarno su vezani, ističe sugovornica, za scenarije curenja podataka, destruktivnih napada (DDoS ili enkripcija) čiji su ciljevi ograničavanje i onemogućavanje određene usluge ili za ransomware napade (krađa povjerljivih podataka u kombinaciji s enkripcijom podataka).

- Kako bi banke umanjile rizike od kibernetičkih napada, neophodno je uspostaviti proces kontinuiranog praćenja prijetnji u okruženju te pravodobne implementacije učinkovitih organizacijskih i tehničkih mjera zaštite. Uz napredne sigurnosne sustave zaštite, potrebno je istaknuti važnost transformacije organizacijske kulture tako da sigurnost postaje jedna od ključnih tema u svakodnevnom životu i radu svih zaposlenika banke - kaže Zubalj. 

Kakve su prognoze za budućnost?

Gotovo u svim industrijama, pa tako i u bankarskom sektoru, aktualna je tema korištenje umjetne inteligencije (AI) i machine learninga (ML), a pitali smo sugovornicu kako se to konkretno odražava na bankarske procese. 

- U kontekstu kibernetičke sigurnosti banke su usmjerene na korištenje AI-a i ML-a za bržu obradu velikih količina podataka, detekciju i mitigaciju kibernetičkih prijetnji, prepoznavanje neuobičajenih obrazaca. Nažalost, cyber kriminalci također koriste mogućnosti AI-a i ML-a. Prognoza je da će upravo taj AI/ML na strani malicioznih aktera povećati broj napada, kako na banke tako i na klijente banaka, od toga da će lakše i točnije napisati phishing e-mail na hrvatskom do raznih vrsta automatiziranih napada na infrastrukture banaka - upozorava Zubalj i dodaje: 

- Dodatno, u bankarskom sektoru raste fokus na rizike vezane za dobavljače IT usluga jer je upravo to prepoznato kao jedna od karika u lancu koje maliciozni akteri pokušavaju kompromitirati da bi ih iskoristili kao ulaznicu u infrastrukturu banke. U tom kontekstu pojačani su i regulatorni zahtjevi prema dobavljačima IT usluga kako bi se povećala zrelost informacijske i kibernetičke sigurnosti dobavljača - ističe sugovornica. 

Kako kompanije mogu biti sigurne da su se zaštitile? 

Zanimalo nas je i postoji li način na koji kompanije, u doba sve češćih napada, mogu biti sigurne da su svoje poslovanje zaštitile od kibernetičkih napada. A jedan od temelja zaštite je, kaže Zubalj, adekvatan proces upravljanja rizicima. 

- Međutim, s obzirom na to da je rizik nemoguće svesti na nulu, nemoguće je apsolutno se zaštititi. Da bi kompanije umanjile rizike od kibernetičkih napada, neophodno je uspostaviti proces kontinuiranog praćenja prijetnji u okruženju te pravodobne implementacije učinkovitih organizacijskih i tehničkih mjera zaštite. Uz napredne sigurnosne sustave zaštite, potrebno je istaknuti da više nije dovoljna samo tehnička ekspertiza nego i sposobnost kreativnog promišljanja te spremnost na brzu i organiziranu reakciju u bilo kojoj nepredviđenoj situaciji. U tom kontekstu iznimno je važno da organizacije vježbaju svoju reakciju na incidentne situacije poput kibernetičkih napada ili drugih oblika prekida nekog dijela svojeg poslovanja - savjetuje sugovornica. 

Jedna od posljedica digitalizacije svakako je sve veća uporaba digitalnog bankarstva i kupnja na internetu. Zato ne treba čuditi što postoje točno određeni napadi koji su orijentirani upravo na korisnike banaka. 

- U posljednje dvije godine primjećujemo da su klijenti sve više izloženi raznim oblicima socijalnog inženjeringa tijekom kojeg ih prevaranti kontaktiraju e-mailom, porukama (SMS, WhatsApp, Viber i slično) ili telefonskim pozivima te im 'prodaju' neku lažnu priču i traže od klijenata podatke s kartica i podatke za prijavu i autorizaciju transakcija, a sve s ciljem pridobivanja financijske koristi - kaže Zubalj te objašnjava koji su neki od najčešćih slučajeva socijalnog inženjeringa. 

- Najčešći slučajevi socijalnog inženjeringa su, primjerice, lažni kupci koji se javljaju na oglase, a ne zanimaju ih karakteristike proizvoda nego odmah traže podatke s kartice kako bi 'poslali' dostavnu službu za preuzimanje proizvoda, ili lažni e-mailovi u ime institucija države, banaka ili dostavnih službi. Zatim lažne nagradne igre na društvenim mrežama, lažni dobici na kriptovalutama, iako su 'mete' davno ili možda nisu nikad ulagale u kriptovalute, lažne ponude za brzu i veliku zaradu, a posebno treba biti oprezan s oglasima na kojima netko inače značajno skuplje stvari prodaje po neuobičajeno povoljnoj cijeni - upozorava stručnjakinja. 
Bez sumnje, jedna od preventivnih mjera svakako je, slaže se Zubalj, kontinuirano podizanje svijesti o aktualnim prijetnjama u okruženju te o načinima zaštite.

- Svaka dobro informirana osoba sama će se najbolje zaštititi i donijeti pravu odluku u ključnom trenutku. Kako bismo podržali svoje klijente, u okviru projekta sufinanciranog iz EU 2023. godine razvijen je RBA Shield, program educiranja klijenata, ali i šire javnosti, o IT sigurnosti u svakodnevnom životu. Želja nam je omogućiti građanima samostalnu zaštitu, odnosno omogućiti prepoznavanje prijetnji vezanih za kibernetičku sigurnost te, u skladu s naučenim, primjenu odgovarajućeg odgovora na situaciju ili prijetnju. S tim ciljem izradili smo na rba.hr sekciju RBA Shield, u okviru koje građani mogu pronaći informacije o aktualnim prijevarnim shemama te naučiti kako se mogu zaštititi od napada i pokušaja prijevara u digitalnom svijetu. Osim naše web stranice, koristimo naše službene profile na društvenim mrežama kako bismo s klijentima podijelili informacije o aktualnim prijetnjama te ih podsjetili na osnovna pravila sigurnosti - navodi sugovornica. 

Dodatno su tijekom 2023. godine proveli roadshow kibernetičke sigurnosti u poslovnicama banke, tijekom kojeg su građani u neposrednom kontaktu s predstavnicima banke mogli dobiti informacije o aktivnostima koje RBA provodi kako bi ih zaštitila od kibernetičkih prijetnji, a mogli su naučiti i kako se trebaju sami zaštiti u on-line transakcijama i aktivnostima.

- U prvom redu građani trebaju paziti na to gdje ostavljaju svoje podatke i biti sigurni s kim ih dijele, kako osobne podatke tako i kartične podatke te podatke za pristup internetskom i mobilnom bankarstvu. Savjetujemo da online kupnje obavljaju na provjerenim prodajnim mjestima, da uslugama internetskog bankarstva pristupaju isključivo sa službenih stranica banke te da ne otvaraju e-mail poruke nepoznatih pošiljatelja i sumnjiva sadržaja. Uz to, trebaju redovito ažurirati svoje računalo i koristiti antivirusni program, a svoje korisničke račune zaštititi snažnim lozinkama. Također, banka od vas nikad neće tražiti PIN nijedne kartice ili autentifikacijskog uređaja, sigurnosni kod debitne i kreditne kartice, instalaciju nekog alata poslanog e-mailom, datum, vrijeme i iznos ili MAC tijekom prijave na internetsko bankarstvo - zaključuje Blanka Zubalj, direktorica sigurnosti Raiffeisen banke.