του
Κώστα Χρήστου
Συχνά, οι τράπεζες έχουν κατηγορηθεί ότι σκοπίμως κρύβουν «κάτω από το χαλί», τις περιπτώσεις επιθέσεων στον κυβερνοχώρο, με το αιτιολογικό της αποφυγής δημιουργίας πανικού στους πελάτες τους. Αυτό έχει ως αποτέλεσμα την συστηματική υποεκτίμηση του ποσοστού των χρημάτων που οι «κυβερνοεγκληματίες» υπεξαιρούν από τους τραπεζικούς λογαριασμούς. Εξάλλου στο τέλος, ένα ικανοποιητικό μέρος αυτών των χρημάτων ανακτάται. Ταυτόχρονα όμως, δυσχεραίνει το έργο τόσο των εποπτικών αρχών να αντιληφθούν το πραγματικό μέγεθος και τους κινδύνους της «κυβερνοαπάτης», όσο και των τραπεζών να αξιολογήσουν τι ποσά πρέπει να επενδύσουν στην ασφάλεια.
Πραγματικά, τον Σεπτέμβριο του 2014, η παγκόσμια κοινή γνώμη θα έμενε εμβρόντητη εξαιτίας μίας εκ των σοβαρότερων εισβολών στο σύστημα πληροφοριών μιας αμερικάνικης εταιρείας. Δύο μήνες πριν, η JPMorgan Chase είχε ανακαλύψει μια άνευ προηγουμένου παραβίαση προσωπικών δεδομένων που σχετιζόταν με πάνω από 83 εκατομμύρια λογαριασμούς, 76 εκατομμύρια νοικοκυριά (ήτοι 2/3 των ΗΠΑ) και 7 εκατομμύρια μικρές επιχειρήσεις.
Μάλιστα, οι επιθέσεις συνεχίστηκαν 15 ημέρες μετά την αρχική ανακάλυψη, ενώ οι αναλυτές πιστεύουν ότι οι «κυβερνοεγκληματίες» επιχείρησαν να εισβάλλουν και σε άλλα 9 χρηματοπιστωτικά ιδρύματα, ανάμεσά τους η Citigroup και η HSBC. Επιπλέον, υπάρχουν βάσιμες υποψίες ότι τελικά εκλάπησαν στοιχεία και από την Fidelity Investments, ένα από τα μεγαλύτερα mutual funds, παγκοσμίως. Ο αντίκτυπος του σκανδάλου έκανε την JP Morgan να δεσμευτεί ότι θα διπλασιάσει τις δαπάνες στον τομέα της ασφάλειας του κυβερνοχώρου για τα επόμενα 5 χρόνια.
Η κατακόρυφη αύξηση του αριθμού των ψηφιακών συνδέσεων στο τρίγωνο, τράπεζες, πελάτες και ενδιάμεσα μέρη, δημιούργει καινούριες προοπτικές για τους επίδοξους εγκληματίες. Σε αυτό το εκρηκτικό κοκτέιλ, έρχονται να προστεθούν εξτρεμιστικές οργανώσεις, μυστικές υπηρεσίες, αλλά και κράτη απομονωμένα από την διεθνή κοινότητα.
Επί παραδείγματι, η Βόρεια Κορέα αποτελεί τον «βασικό ύποπτο» για την παραβίαση των συστημάτων της Sony Pictures ενώ το 2012, η επιχείρηση Ababil φέρεται να διεξήχθη είτε από οργάνωση του Ισλάμ, είτε από το Ιράν, ενώ είχε ως στόχο τα μεγαλύτερα αμερικανικά χρηματοπιστωτικά ιδρύματα. Την ίδια χρονιά, ανάλογη επίθεση έγινε και στην HSBC με αποτέλεσμα εκατομμύρια πελάτες παγκοσμίως να μείνουν χωρίς online πρόσβαση. Άλλωστε, με την εξαίρεση κυβερνητικών ιστότοπων, η παραβίαση τραπεζικών συστημάτων αποτελεί το ιερό δισκοπότηρο κάθε «κυβερνοεγκληματία».
Από την μία, ολοένα και περισσότερες φωνές τάσσονται υπέρ ενός νομοθετικού πλαισίου που θα υποχρεώνει τους οργανισμούς που πέφτουν θύματα του «κυβερνοεγκλήματος», να το δηλώνουν. Από την άλλη, υπάρχουν αρκετοί που πιστεύουν ότι στα επόμενα χρόνια, το «κυβερνοέγκλημα» θα είναι μεγαλύτερη απειλή και από τα επισφαλή δάνεια, καθώς και ότι μια ευρεία κλίμακας επίθεση θα μπορούσε να παραλύσει το παγκόσμιο χρηματοπιστωτικό σύστημα. Επομένως, υποστηρίζουν ότι οι τράπεζες που αδυνατούν να προστατεύσουν επαρκώς τους πελάτες τους θα πρέπει να τιμωρούνται με αυστηρά πρόστιμα. Το μόνο σίγουρο είναι ότι τα προαναφερθέντα σενάρια ζωντανεύουν τους χειρότερους εφιάλτες των υπευθύνων ασφαλείας. Ως αποτέλεσμα, οι δαπάνες για την online ασφάλεια αυξάνονται σταθερά. Αρκεί, όμως, αυτό;
Καταρχάς, το διεθνές περιβάλλον δεν είναι ευνοϊκό για τις τράπεζες, καθότι οι εναλλακτικές διαδικτυακές πλατφόρμες και τα startups εμφανίζονται με καταιγιστικό ρυθμό και διεκδικούν ολοένα μεγαλύτερο μερίδιο στην πίτα των αμιγών τραπεζικών υπηρεσιών. Στην πραγματικότητα λοιπόν, οι τράπεζες πασχίζουν για να προσελκύσουν τα καλύτερα μυαλά της πληροφορικής, που προτιμούν αμιγώς τεχνολογικές εταιρείες. Άλλωστε είναι γεγονός, ότι κολοσσοί όπως η Google και η Apple προσφέρουν πολλαπλάσια πακέτα αποδοχών και καλύτερο εργασιακό περιβάλλον, κάτι που δυσχεραίνει τις προσπάθειες εξεύρεσης ικανού προσωπικού. Σαν να μην έφτανε αυτό, οι νέοι κανονισμοί για τις ανώτατες τραπεζικές αμοιβές περιορίζουν σημαντικά τα προσφερόμενα πακέτα αποδοχών.
Κατά δεύτερον, δεν υπάρχει κουλτούρα συνεργασίας στο θέμα της «κυβερνοάμυνας». Τα έτη 2011 και 2013, η Τράπεζα της Αγγλίας υπέβαλε τις εγχώριες τράπεζες σε προσομοιώσεις επιθέσεων από ένα εχθρικό κράτος. Το συμπέρασμα που βγήκε ήταν ότι ο μεγαλύτερος κίνδυνος για την ασφάλειά τους απέρρεε από την έλλειψη συνεργασίας μεταξύ των θεσμικών οργάνων και από την χαοτική δομή των συστημάτων τους. Αυτό θα μπορούσε να αποφευχθεί αν οι τράπεζες εργαζόντουσαν συλλογικά στο θέμα της ασφάλειας και της ανταλλαγής πληροφοριών.
Τα συμπεράσματα αυτά οδήγησαν το 2013 την Τράπεζα της Αγγλίας στην δημιουργία του CBEST, ενός εξειδικευμένου πλαισίου ασφάλειας στον κυβερνοχώρο για τα χρηματοπιστωτικά ιδρύματα. Το CBEST είναι ένα εθελοντικό τεστ που στοχεύει κυρίως στον έλεγχο της ασφάλειας, την ανταλλαγή πληροφοριών, καθώς και τη συγκριτική αξιολόγηση των παρόχων υπηρεσιών. Κεντρικό ρόλο στην προσπάθεια της Τράπεζας της Αγγλίας κατέχουν και ethical hackers που εξετάζουν τα κενά ασφαλείας των χρηματοπιστωτικών ιδρυμάτων.
Ένα χρόνο αργότερα, το 2014, μια ομάδα από 16 αμερικάνικες τράπεζες, συμπεριλαμβανομένων των JP Morgan, Citigroup, BB & T Corp και US Bancorp, θα δημιουργούσαν, μέσω κοινών επιχειρήσεων, μια πλατφόρμα ανταλλαγής απειλών και πληροφοριών ασφαλείας, ονόματι «Soltra Edge». Μάλιστα, το συγκεκριμένο πρόγραμμα έχει υιοθετηθεί ήδη από 45 ιδρύματα, ενώ επεκτείνεται στρατηγικά και στην Ευρώπη με στόχο να γίνει το κύριο πρότυπο ανταλλαγής απειλών στο χρηματοπιστωτικό τομέα.
Φυσικά, όλα αυτά διόλου δεν ενόχλησαν την πολυεθνική συμμορία ονόματι «Carbanak», που διείσδυσε μέσα σε δύο χρόνια σε περισσότερες από 100 τράπεζες και 30 χώρες, αποσπώντας ίσως και 1 δισεκατομμύριο δολάρια, προτού αποκαλυφθεί η δράση της από την Kaspersky. Ανάμεσα στα θύματά της ήταν και πάνω από 1000 ιδιώτες, που εξαπατήθηκαν μέσω e-mails, κάτι που φανερώνει την ανάγκη εκπαιδεύσεως και του πελάτη. Αν και υπάρχουν έντονες αμφισβητήσεις για την δράση και το εύρος της εν λόγω ομάδας, το μόνο σίγουρο είναι ότι χρησιμοποιούσε όλες τις πιθανές μεθόδους επιθέσεων και εξαπάτησης (ATM, δούρειους ίππους, email «ψαρέματος» κοκ).
Σε κάθε περίπτωση, οι τράπεζες είναι αναγκασμένες να ακολουθήσουν την τάση του κλάδου των υπηρεσιών που αναμορφώνεται μέσω της τεχνολογικής αυτοματοποίησης. Αυτή η ζήτηση ειδικών ασφαλείας αναμένεται να οδηγήσει ακόμη και σε έλλειψη 1.5 εκατομμύριών στελεχών. Ακολούθως, τραπεζικοί κολοσσοί, όπως οι Goldman Sachs και HSBC, περικόπτουν παραδοσιακές θέσεις εργασίας, ενώ παράλληλα αυξάνουν τις θέσεις εργασίας στον τεχνολογικό τομέα. Ενδεικτικά, η VISA έχει προγραμματίσει για το 2015 την πρόσληψη 2000 στελεχών στο τομέα της τεχνολογίας.
Στο διαμορφούμενο τραπεζικό κόσμο όπου όλα είναι συνδεδεμένα διαδικτυακά και η μεταφορά του χρήματος γίνεται με ένα κλικ, πιθανόν μαζί με την εικόνα του ταμία του φυσικού τραπεζικού καταστήματος, να χαθεί και η εικόνα των ληστών με την κουκούλα που εισβάλλουν στην τράπεζα και απειλούν πελάτες και προσωπικό. Και ενώ μπορεί το φαινόμενο της ληστείας τραπεζικών καταστημάτων να απαντάται σπάνια και να γίνεται αντιληπτό άμεσα, στην περίπτωση του «κυβερνοεγκλήματος» τα ακριβώς αντίθετα συμβαίνουν. Η έλλειψη υψηλά εξειδικευμένου προσωπικού σε θέματα διαδικτυακής ασφαλείας, σε συνδυασμό με την κατακόρυφη αύξηση των «κυβερνοεγκληματιών» και την online διασύνδεση των τραπεζών, αποτελεί μια ωρολογιακή βόμβα. Η αντίστροφη μέτρηση έχει ήδη ξεκινήσει... το ζήτημα είναι αν και πώς μπορεί κανείς να τη σταματήσει.
