Jakab Péterrel, az MKB Bank bankbiztonságért felelős ügyvezető igazgatójával és a Magyar Bankszövetség Bankbiztonsági Bizottságának vezetőjével beszélgettünk a pénzintézeti csalások természetrajzáról, illetve az ellenük való védekezés lehetőségeiről.
Az első részben a pénzintézeti csalás meghatározásáról volt szó, most megtörtént csalási esetekről beszélgetünk.
Mi volt a legbutább csalási próbálkozás a praxisodban?
Hát, ha egyet kellene kiválasztani, talán azt az esetet említeném meg, amikor egy hölgy hat darab, egyenként 1 millió dollárra (!) szóló csekkel jelent meg az egyik fiókunkban. A csekk már önmagában meglehetősen ritkán használt az európai banki gyakorlatban, egymillió dollár értékű valódi csekket pedig egyetlen darabot sem láttam 15 év alatt, nem hogy hatot. Az elkövetők sem közvetlenül akartak pénzhez jutni, vagyis nem beváltani akarták a csekkeket, hanem letétbe helyezni őket, és erről igazolást kérni -- ezzel, mint hitelbiztosítékkal lehetett volna ügyködni más bankokban. Ma sem tudom, mire gondoltak -- csekkekre igazolást amúgy sem szokás kiadni, ha pedig megpróbálják beváltani, ennél két nagyságrenddel kisebb összegről szóló csekket is olyan alaposan ellenőrzünk, hogy egyből lebuktak volna. Az egymillió dolláros csekket még beszedésre sem vesszük át, annyira nyilvánvalóan nem valódi.
Az elektronikus csalások közül azokat a phishing-leveleket említhetném a buta próbálkozások között, amelyeknek az előállításába a legkisebb energiát sem fektetik íróik. Olyan rossz magyarsággal vannak megírva, hogy még a Google-fordító is belepirulna, nem egyszer pedig még idegen karakterek is keverednek bele -- ordít róluk, hogy valami nem stimmel velük. De a teljes képhez hozzátartozik, hogy még az ilyen leveleknek is bedől néhány ügyfél.
És melyik volt a legnagyobb összegű csalás?
Ha a potenciális kárértéket nézzük, akkor egy több mint tíz évvel ezelőtti, szerencsére idejében leleplezett kísérletet tudnék említeni. Egy rendszergazda két alvó -- vagyis kevés tranzakciót bonyolító -- számláról két tételben 180 millió forintot tett át egy harmadik (egyébként hamis papírokkal nyitott) számlára. (A későbbi vizsgálat kiderítette, hogy a rendszergazda nem saját hasznára dolgozott, hanem megbízásra, mégpedig mondhatni szemtelenül alacsony összegért.)
Az elgondolás okos volt, de mégsem elég okos. A "nagy kalapban" az eredő egyenleg nem változott, vagyis a számlavezető rendszerben ugyanannyi pénz maradt, hiszen a két hiányzó tétel megjelent egy harmadik számlán. A fiú azt hitte, hogy a rendszerben lévő összes "csőszházat", vagyis ellenőrző mechanizmust ismeri, és ezeket kijátszotta akkor, amikor magában az adatbázisban, a rekordok szintjén vezette át az összegeket. Igen ám, de a bankban alkalmazott osztott tudás elve itt is érvényesült, vagyis voltak olyan beépített kontrollok, amelyekről neki fogalma sem volt. Így például nem tudta, hogy a rendszerben minden (jóváhagyott) módosítás után készül egy hash ellenőrző összeg; de ha tudta is volna, a titkos kulcs hiányában akkor sem lett volna képes leképezni a hash-t, amely így, az adatbázis „megreszelése” után, természetesen nem egyezett az esti feldolgozásnál egyik érintett számlánál sem.
Szóltak nekem, hogy valami nincs rendben, azonnal ellenőrizni kezdtük a rendszereket, és éjjel fél kettő környékén már pontosan tudtuk, hogy mi történt. De akkor még nem csináltunk semmit, mert azokat is el akartuk kapni, akik a pénzt fel akarják venni. Másnap ez meg is történt, a három illetőt a rendőrök vitték el, a rendszergazda fiút pedig behívtuk (mert aznapra ő ügyesen szabadságot vett ki), és az orrára húztuk, hogy mit is csinált.
A felhőre figyelni kell Minden korszaknak megvan a maga IT-biztonsági mumusa. Minden új és ki nem forrott technológiához hasonlóan most a cloud computing és az azt övező megoldások jelentenek meglehetős kockázatot. Az egyik oldalról millió érv szól mellette (rugalmasság, gazdaságosság). A másik oldalról viszont annak a puszta tudata is zavar, hogy az adatok nagyon messze vannak tőlem, és olyan helyen, aminek a működésére korlátozott a befolyásom. Olyan szervezeteknél, ahol a biztonság nagyon fontos -- és a bankok ilyenek -- igen komoly garanciát kell tudniuk adni a hozzám hasonló hivatalból aggodalmaskodóknak. Úgy vélem, a technológia első alkalmazói nem a bankok lesznek. Illetve az MKB biztosan nem, amíg én vagyok a bankbiztonsági vezető, és ezen a kezdeti színvonalon áll e technológia biztonsági garancia rendszere . Ha majd finomodik, én is felülvizsgálom az álláspontomat, mint ahogy a wifivel is tettem korábban. Sokáig elképzelhetetlennek tartottam, hogy a bankban valaha is legyen vezeték nélküli hálózat, de ahogy a fejlesztések jó része a biztonságra irányult, korlátozott körben már teszteljük a használatát. |
Lehet-e beszélni tipikus magyar csalásról? Van-e olyan trükk, amellyel inkább csak itthon lehet találkozni, külföldön kevésbé jellemző?
Az a helyzet, hogy nem nagyon vagyok képben a nemzetközi trendeket illetően. Ugyanakkor a pénzvilág és a bankrendszer annyira nemzetközi és sztenderdizált, hogy a csalásokban sem igen tudok elképzelni nemzeti sajátosságokat; de az is igaz, hogy honfitársaink meglepően innovatívak tudnak lenni.
Bizonyos esetekben jól követhető, hogy valamit kitalálnak Nyugaton, és az megérkezik ide hozzánk is. Az ATM-k kitépése a falból pár éve még ismeretlen dolog volt, aztán egyszer valaki levette a külföldi mintát, és meghonosította a "szokást" itthon is. De arról nem tudok, hogy valamit csak Magyarországon követnének el.
Az informatikai biztonsággal foglalkozók körében axiómának számít, hogy a fenyegetések, támadások 80 százaléka belső embertől származik. Igaz ez a pénzintézeti csalásokra is?
Lehet, hogy meglepő lesz, amit mondok, de tapasztalataim szerint nem. Megbízható, pontos statisztika nem áll a rendelkezésemre, de a magyarországi helyzetre van némi rálátásom, és komoly kétségeim vannak aziránt, hogy a belső emberek nagyobb számú és több kárt okozó csalást követnének el; és abban egészen biztos vagyok, a mi bankunknál nincs így. Ezzel együtt elhiszem, hogy világszinten ez a helyzet, bár ezek az adatok kevéssé megbízhatók, hiszen az érintettek nem szívesen beszélnek róla, és emiatt mindenki komoly, de pontosan nem megbecsülhető látenciát tételez fel ebben a kérdésben.
Azt sem tudnám megmondani, hogy miért nincs annyi belső támadás. Ezek megelőzése igen sokrétű feladat: kell hozzá rendesen szabályozott környezet, a jó és jól beállított identity management, a szerepkörök megosztása, az adatszivárgás elleni hatékony védelem, illetve mindazok az intézkedések, amelyek egyrészt kikényszerítik a szabályok betartását és betartatását, másrészt pedig nyilvánvalóvá teszik a dolgozók számára, hogy ezekkel a kérdésekkel a cég foglalkozik, vagyis a felhasználók tudatában folyamatosan ott van, hogy ezekre a dolgokra odafigyel a bank.
A technológia mellett én legalább olyan fontosnak érzem, hogy demonstrálni tudjuk azt a képességünket, hogy a „huncutságokat” képesek vagyunk detektálni, van eszközünk a megakadályozásukra vagy az elkövetésük bizonyítására. És persze ezekből egyenesen következik, hogy a konzekvenciákat minden esetben levonjuk -- az ilyen esetek nem maradnak felderítetlenül és megtorlatlanul.
Nem is célunk, hogy az ilyen eseteket csendben intézzük el a bankon belül. Volt rá példa, hogy megírtuk körlevélben mindenkinek, hogy ilyen és ilyen banktitoksértést követett el valaki a bankon belül, és már nem banki alkalmazott amellett, hogy számolhat azzal is, hogy büntetőjogi következményei lesznek az esetnek. És vegye mindenki tudomásul, hogy ilyet nálunk nem lehet csinálni, mert megvan a képességünk, hogy ezt felfedjük, kezeljük és bizonyítsuk, és arra is elszántak vagyunk, hogy akár a büntetőjogi felelősségvonásig is elmenjünk.
Az is nyilvánvaló persze, hogy az ilyen típusú ügyekben kulcsfigurának számító munkatársakat -- akik azért egy pénzintézetben nincsenek kevesen -- jól meg kell fizetni, hogy legyen vesztenivalójuk, amikor azt mérlegeli, hogy megéri-e neki egy ilyen mutatványt megcsinálni. Az egy másik dolog, hogy a számára hozzáférhető információk hogyan vannak szeletelve, és azoknak mi az értékük. Sokat számít az osztott tudás elvének alkalmazása: senki ne férhessen hozzá annyi adathoz, ami nagyon sokat ér, mert akkor nagyobb a kísértés.
Holnap a védekezési módszerekkel folytatjuk.