Słabe zabezpieczenia systemu informatycznego

Bank Ochrony Środowiska to państwowy bank zarządzany przez Narodowy Fundusz Ochrony Środowiska. Prowadzi ponad 130 tys. kont osobistych. „Gwarantujemy bezpieczeństwo zgromadzonych kapitałów” – napisano na stronie internetowej banku.

Jednak z tajnego dokumentu opisującego stan bezpieczeństwa informatycznego BOŚ wynika, że poziom zabezpieczeń w banku budzi poważne wątpliwości. „Rz” dotarła do tajnego „Raportu końcowego dla osób zarządzających z wykonania audytu bezpieczeństwa BOŚ” sporządzonego 29 września przez audytorów firmy Clico. Audytorzy skupili się na ocenie 11 głównych elementów składających się na system bezpieczeństwa informatycznego BOŚ i oceniali je w trzystopniowej skali – wysoki, średni, niski. Najwyższa ocena nie została przyznana w żadnym elemencie. Stwierdzono tylko, że na wysokim poziomie jest zabezpieczenie systemu m.in. przed wirusami.

Najpoważniejsze zagrożenia audytorzy mieli do trzech elementów – ochrony logo krytycznych serwerów banku, wewnętrznych standardów bezpiecznych konfiguracji i zabezpieczenia strony internetowej.

Co o skutkach słabego zabezpieczenia strony piszą audytorzy? „Zawiera podatności, których upublicznienie (np. na forach dla internautów) lub nielegalne wykorzystanie, np. błędów (...), do przeprowadzania ataków phishingowych na klientów Banku może zaszkodzić dobremu wizerunkowi Banku i obniżyć zaufanie klientów”.

Pozostałe elementy zostały sklasyfikowane na poziomie średnim. Jednak audytorzy nie mają wątpliwości, że aktualny stan zabezpieczenia banku może mieć poważne konsekwencje. Istnieje m.in. możliwość wykorzystania błędów do tzw. phishingu, czyli wyłudzania loginów i haseł kont oraz możliwość przejmowania przez hakerów komputerów pracowników, co skutkować może atakami na serwery banku. Poważny niepokój audytorów wzbudziły przede wszystkim wyniki testów dotyczących przejęcia serwerów banku. Udało im się to zrobić, a systemy bezpieczeństwa ataku nie wykazały: „Audytor praktycznie wykazał, że ataki na serwery banku (ze względów bezpieczeństwa serwery testowe) wykonywane w ramach testów penetracyjnych nie zostały wykryte przez istniejące w banku zabezpieczenia i systemy monitorowania” – napisano w raporcie z audytu.

– To wyjątkowo groźne, bo  haker, wprowadzając wirusa, może zniszczyć bankowe serwery z dziesiątkami tysięcy danych klientów. Może unieruchomić bank – mówi „Rz” zastrzegający sobie anonimowość szef bezpieczeństwa IT w dużej firmie międzynarodowej.

Sprawy nie chce komentować BOŚ. „(Kwestie te) dotyczą obszarów o charakterze poufnym. Niezależnie od tego, w jaki sposób wszedł pan w posiadanie tych informacji, bank nie będzie ich komentował. (…) Natomiast w kwestii (…) audytu, chcielibyśmy także podkreślić, że bank prowadzi wiele cyklicznych, rutynowych audytów. Działania takie są standardowe, a stwierdzone w trakcie tych audytów podatności zawsze są systematycznie eliminowane” – napisał w piśmie do „Rz” Piotr Lemberg, rzecznik prasowy BOŚ.

Jednak z ustaleń „Rz” wynika, że władze banku są świadome zagrożenia. W tym celu jeszcze przed wynikami audytu 3 września 2010 r. dyrektorzy w BOŚ zaakceptowali plan 805 inicjatyw, które miałyby poprawić poziom bezpieczeństwa banku.

Kiedy zmiany zostaną wdrożone? „Obecnie zrealizowana jest większość inicjatyw. Pozostałe znajdują się na różnych etapach wdrożenia. Ponadto w związku z wyciekiem zastrzeżonych informacji, bank rozważa skierowanie w tej sprawie zawiadomienia do właściwych organów” – stwierdził Lemberg.

masz pytanie, wyślij e-mail do autorów

[mail=p.kubiak@rp.pl]p.kubiak@rp.pl[/mail]