Ф инансовите загуби в следствие на киберпрестъпления по света възлизат на 8 трлн. щатски долара. Ако бъде направено икономическо сравнение само САЩ и Китай биха имали по-висок брутен вътрешен продукт, стана ясно от откриващата реч на Димитър Дилов, изпълнителен директор и ръководител на направление „Управление на риска“ в Банка ДСК, на откриването на изложбата „Истината не е по средата“.
Експозицията е вдъхновена от истински киберизмами и показва рисковете, които крие дигитализацията и недостатъчната информираност. По данни на агенция „Тренд“, 64% от българското население не е запознато с рисковете в онлайн пространството.
- Как работят хакерите и кои са най-често срещаните киберзаплахи в България?
- Какви технологии и стратегии прилагат банките за защита от кибератаки?
- Как да се предпазим – съвети към потребителите за по-добра защита?
За да научим повече разговаряме с Даниел Креков, директор „Информационна сигурност“ в Банка ДСК и председател на комитета по Киберсигурност към Асоциацията на банките в България.
Г-н Креков, да започнем с това – кои са най-често срещаните киберзаплахи в България в последно време?
Най-често срещаните киберзаплахи в България са от няколко типа. Те са многовекторни и използват различни технологии. Основните са насочени към електронните канали на банките и други финансови организации, от които би могло да се извлекат големи финансови облаги. Целта на тези атаки е да се открият уязвимости, които да позволят навлизане по-дълбоко в информационната и IT инфраструктура на съответната организация. По този начин атакуващите могат да компрометират системата и да извлекат финансови ползи.
Другият тип атаки са насочени към клиентите на банките, защото те са значително по-слабо защитени от самите банки. В тези случаи инвестициите в сигурността са минимални при някои от клиентите, което ги прави по-лесни за компрометиране.
Ако говорим за методи като фишинг, рансъмуеър и дийпфейк – кои са най-популярните в последно време?
Най-често се наблюдава комбинация от всички тези методи. Самостоятелно те вече не са толкова ефективни срещу съвременните технологии, използвани от големите и силни организации, особено финансовите институции. Финансовите организации инвестират значително в своята сигурност – както в експерти по киберсигурност, така и в модерни технологии. Тези технологии включват и изкуствен интелект, който помага за идентифицирането и блокирането на заплахи.
Злонамерените лица, от своя страна, също използват разнообразни технологии. Например, изпращат фишинг имейли, които съдържат злонамерен код. Ако този код бъде стартиран на даден компютър, той може да компрометира системата и да седи скрит в нея, докато не засече вписване в електронно банкиране от потребителя на системата.
След като потребителя отвори банкирането си, зловредният код може да манипулира определени полета в браузера и да подмени текст без това да се визуализира. Например да подмени IBAN на получателя, докато на екрана, който вижда потребителя, се визуализира това, което е въвел самият той. При натискане на бутона за нареждане на превод патите се нареждат по сметка, подадена от зловредният скрипт, а не това което потребителят желае. В тази връзка потребителите трябва да бъдат много внимателни какво отварят на компютрите си и какво инсталират.
Все пак повечето банки вече разполагат с много добри защити срещу подобни атаки и успяват да ги прихванат своевременно, но това не означава, че потребителите нямат отговорност към собствената си киберхигиена.
Друг подход, който често се използва, е опит за манипулиране на служители чрез социален инженеринг. Например злонамерен имейл може да изглежда като изпратен от изпълнителния директор на банката, въпреки че всъщност не е. В подобни съобщения се иска превод на пари към определено лице.
След това атакуващите може да се обадят по телефон, който не е на директора, като използват технология за симулация на гласа му чрез изкуствен интелект. В някои случаи се използва и видеокамера, за да пресъздадат визията на директора. Те могат да заявят, че изпращат инструкции от личен имейл или телефон, тъй като служебният им не работи.
В подобни случаи те често настояват за незабавни действия, като дори не затварят телефона, докато служителят не изпълни инструкциите. Това е форма на атака, която комбинира социален инженеринг и различни технически подходи, за да заобиколи защитите на организациите, които често струват милиони.
Като споменахме изкуствения интелект, как стоят нещата от другата страна? Как банките го използват, за да противодействат на кибератаките?
От страна на банките изкуственият интелект играе ключова роля, особено в анализа на поведението на клиентите. Той позволява да се идентифицира дали даден клиент е компрометиран, което дава възможност временно да се блокира електронното му банкиране, за да се предотвратят щети.
Също така, изкуственият интелект наблюдава поведението на заявките към електронните интерфейси на банката, достъпни от интернет. Той наблюдава защитните стени на организацията изключително ефективно. Дори ако операторът, отговарящ за тези стени, пропусне дадена аномалия, изкуственият интелект ще я забележи и ще реагира много по-бързо от човека, като насочи вниманието му незабавно към конкретна заплаха.
Разбира се, AI все още не може напълно да замени хората. Те имат по-добра способност да преценяват ситуации, особено когато системата подаде сигнал за потенциална заплаха. В такива случаи хората могат да определят дали алармата е фалшива. Въпреки това, първоначалните действия, като блокирането на заплахата, се извършват от изкуствения интелект, което значително подпомага сигурността в банковия сектор.
Какви са предизвикателствата и предимствата, които създават регулациите в този контекст?
Понякога регулациите създават затруднения. Проблемът е, че изпълнението на някои регулации не винаги отговаря напълно на реалните нужди на бизнеса. Те често са написани с добра мисъл, но не винаги са най-ефективният инструмент за защита на организациите.
От друга страна, регулациите принуждават всички организации, попадащи под тях, да поддържат нивото си на киберсигурност много високо, а това е добре не само за компаниите и клиентите, а и за финансовата стабилност на страната.
Ако вземем за пример последния регламент DORA, който влезе в сила от този януари – как ще усложни той процесите в сектора?
Регламентът DORA (Digital Operational Resilience Act) има за цел да засили цифровата оперативна устойчивост на финансовите институции в ЕС, като въведе унифицирани изисквания за киберсигурност и управление на ИКТ риска. Той задължава организациите да внедрят ефективни механизми за управление на риска, да провеждат редовно тестване на устойчивостта чрез оценки на уязвимостите и тестове за проникване.
DORA изисква също строги процедури за докладване на ИТ инциденти, включително бързо уведомяване на регулаторните органи. Освен това, регламентът поставя акцент върху управлението на риска от трети страни, като доставчици на облачни услуги и други външни ИТ партньори. Това е доста сериозен регламент, който обединява добри практики и стандарти за ИТ сигурност.
Въпреки това, след въвеждането му, финансовите организации ще бъдат много по-добре защитени. DORA обхваща всички аспекти на ИТ сигурността и изисква от компаниите да подобрят дори области, които те самите може да не смятат за приоритет. Това означава, че организациите са принудени да направят необходимите подобрения, дори когато не биха го направили доброволно. В резултат, сигурността на сектора значително се повишава.
Наблюдава ли се в България моделът „Harvest Now, Decrypt Later“ и какво е нивото на откриване на такива атаки?
Да, този модел се наблюдава активно от средата на ноември досега. Като той в България се използва в комбинация с криптовируси. Има множество компании в България, които са компрометирани по този начин. Хакерите използват многовекторни атаки, търсят уязвимости, крадат информация, включително и криптирана, и по-късно криптират електронните масиви, до които са получили достъп.
Интересното е, че те първо проучват какво ще им бъде ценно и фактът, че данните са криптирани, не ги притеснява. След това пристъпват към изнасяне на необходимите данни и криптиране на всичко в организацията, до което имат достъп. При приключване на атаката се започват опити за разкриптиране на защитените откраднати файлове. Този подход цели максимална вреда за жертвата и максимална печалба за хакерите.
Тъй като участвате в Асоциацията на банките в България, какво е нивото на междубанковото сътрудничество по отношение на киберсигурността в момента?
До преди една година нивото на междубанковото сътрудничество в България не беше добро. Всяка банка сама се справяше с проблемите, свързани с ИТ сигурността, и сама инвестираше в защитни технологии и методологии. Ако някоя банка беше атакувана, тя често потискаше информацията за инцидента и не я споделяше с останалите банки.
Тази практика се промени, откакто поех председателството на комитета по киберсигурност в Асоциацията на банките в България. Създадохме комуникационен канал, в който всяка банка, при наличие на атака – за щастие, засега неуспешна – споделя информация с останалите банки. Обменяме информация за типа на атаката, методите за защита, както и за нещата, на които колегите трябва да обръщат повече внимание.
В момента комуникацията между банките е много добра. Това ни позволява не само да реагираме по-бързо и ефективно на потенциални заплахи, но и да изградим по-добра колективна защита срещу кибератаките.
След като говорихме за киберсигурност, нека преминем към киберустойчивост. Постигаме ли такава в България?
Киберустойчивостта е постигната във финансовата сфера, където има сериозни инвестиции в ИТ сигурност. За съжаление, в други сектори това не е така, тъй като не се отделят достатъчно ресурси. Компаниите, които не са инвестирали навреме в ИТ сигурност, рано или късно се налага да го направят, защото стават жертва на кибератаки. Това е урок, който мнозина научават по трудния начин.
Как стоят нещата от гледна точка на клиентите? Какво бихте ги посъветвали, за да останат защитени?
В момента средата за ИТ сигурност прилича на реалния живот през 90-те години в България – има много и силни киберпрестъпни групировки, които атакуват безразборно всяка система, имаща достъп до интернет и потребител.
Моят съвет към клиентите е да поддържат системите си актуализирани, а също и да инвестират в качествени антивирусни програми от следващо поколение или така наречения EDR (Endpoint Detection and Response) софтуер за защита. Това е система за защита на клиентски устройства, която следи, анализира и реагира на заплахи в реално време. Тя събира логове от процеси, работещи на компютъра ви, файлове и мрежова активност, за да открива зловреден софтуер, ransomware, и подозрителни действия.
Важно е и всички ние да бъдем образовани и в тази сфера, тъй като дори най-добре защитеното устройство може да бъде компрометирано, ако самите предоставим данните си на злонамерени лица.
Пример за това са фишинг атаките, които са изключително чести. Всеки от нас получава десетки, дори стотици фишинг имейли месечно. Един злонамерен линк може да ви подведе да въведете данните си на уебсайт, който изглежда като истински – например, страница за електронно банкиране или облачна услуга.
Двуфакторната автентификация остава ли най-сигурният начин за защита?
Двуфакторната автентификация е полезна, но вече има по-сигурни методи. По-модерният подход е мултифакторната автентификация.
Мултифакторната автентификация използва няколко различни фактора и нива на защита, включително анализ на поведението на потребителя (например дали използва обичайните си устройства). На следващия етап е проверката на устройството, което потребителят обикновено използва. И ако друго устройство се опита да влезе в акаунта, системата може да разпознае това като потенциална заплаха и да блокира достъпа. Отчитат се и допълнителни фактори като поведение на потребителя, докато работи с електронното банкиране на банката, освен пароли и кодове за получаване по различни канали.
Мултифакторната автентификация е значително по-ефективна, защото изисква от хакерите да преодолеят няколко различни нива на защита, което е изключително трудно.
С каква цел най-често атакуват хакерите потребителите в последно време? Да достигнат до техните финанси или данните им са по-ценен актив?
Основната цел на хакерите е да извлекат финансови облаги, но това често става чрез компрометиране на лични данни. Един от вариантите е да заключат най-ценните ви данни – например снимки на вашето семейство или децата ви, които нямате друго място, където да съхранявате. Ако тези снимки са много важни за вас, вероятно ще сте готови да платите голяма сума, за да ги върнете обратно.
Хакерите се опитват да ви ударят там, където ще ви заболи най-много, за да ви накарат да платите. Те разчитат на емоционалния натиск, за да извлекат финансова изгода.
Какъв е най-адекватният начин да реагираме, ако установим, че сме жертва на такъв пробив?
Най-добрият начин е да имаме превенция. Трябва да сме подготвени за такъв сценарий, защото никой от нас не е 100% защитен, включително и аз. Добрата превенция включва студен бекъп, който включва съхранение на най-ценната информация на друго място, което няма достъп до интернет – например външен хард диск или друг носител. Това копие трябва да бъде напълно изолирано от вашия компютър или мрежа. Ако някой компрометира основното ви устройство, ще можете да възстановите данните си от този бекъп.
Ако сте внимателни и информирани, ще можете да предпазите както данните си, така и вашите финанси.
Каква е вашата прогноза за киберсигурността през 2025 година? Какви тенденции можем да очакваме?
През 2025 година можем да очакваме значително засилване на атаките, използващи изкуствен интелект. Това включва измами, при които се симулират гласове и видеоизображения.
Например, хакерите могат да ви се обадят чрез приложения като Viber, използвайки симулирано видеоизображение на ваш близък, който ви моли за пари. Тази техника може да се комбинира с различни манипулации като фалшиви инциденти, болнични ситуации или друго, което ви кара да реагират емоционално. Смятам, че този тип атаки ще се превърнат в „хит“ през годината, защото залагат на емоционален натиск и доверие.
Даниел Креков – Директор дирекция "Информационна сигурност", Банка ДСК
Даниел Креков е утвърден експерт с над 18 години опит в ИТ сферата, като от 2007 г. се специализира в банковия сектор. През 2014 г. поема ръководството на отдел "Информационна сигурност" в Банка ДСК, където успешно участва в проекти като класификация на данните и сертификация по PCI DSS, както и ръководи интеграцията на различни решения за ИТ сигурност. Към момента Даниел Креков е и председател на Комитет “Киберсигурност” на Асоциацията на банките в България (АББ).
Със своя богат опит и експертиза, Даниел Креков е ключова фигура в областта на киберсигурността в България, допринасяйки значително за повишаване на сигурността и устойчивостта на банковия сектор срещу съвременните киберзаплахи.
най-активните вулкани в света 
