Mint az igazán súlyos, mélyre ható, nagy bajokat felmutató biztonsági incidenseknél, a bangladesi központi bank rendszerének feltörése után is viszonylag visszafogott volt a sajtóreakció. Egyrészt azért, mert elsőre egy szokványos támadásnak tűnik, másrészt azért, mert döntő részben sikertelen volt, harmadrészt viszont azért, mert nagyon komoly problémákra mutat rá, melyeket sem a pénzügyi, sem az informatikai szektor nem szívesen tereget ki. Az elmúlt egy-két hétben viszont több jele is van annak, hogy a nemzetközi bankrendszer legfontosabb informatikai elemének, a SWIFT-nek az újragondolására van szükség.

Mint az IT café is többször beszámolt róla, Bangladesben a központi bank nemzetközi rendszerhez való csatlakozása során az informatikusok oly sok elemi hibát vétettek – egyes feltételezések szerint szándékosan –, hogy a támadók dolga igen könnyű volt, és jórészt csak a szerencsén, illetve néhány beépített automatikus védelmi mechanizmuson múlott, hogy nem történt meg a világ eddigi legnagyobb online bankrablása. A történtek után az érintettek egymást hibáztatták, de mára lassan tisztázódik, hogy mindenki sáros. Mutatja ezt az, hogy a világ vezető pénzintézetei egymás után jelentették be, hogy a SWIFT rendszere felülvizsgálatra szorul, mivel vannak sebezhető pontjai.

Újabb információk

Ezt bizonyítja, hogy a Reuters hírügynökség friss exkluzív riportja szerint nem a bangladesi az első eset, amikor a szuper-megbízhatónak tartott, naponta sok milliárd dollár átutalását menedzselő SWIFT-et felhasználva bűnözők pénzt loptak. A riport egy tavaly év eleji esetre utal, amikor egy ecuadori bankból érkezett egy átutalási kérés az amerikai Wells Fargóhoz, akik – mivel a feltételek megfelelőek voltak – teljesítették az átutalást, majd ezek után még 12 hasonlót, összesen körülbelül 12 millió dollár értékben.

Ám utóbb kiderült, hogy ezek hamis átutalások voltak, és ezért az ecuadori bank pert is indított idén a Wells Fargo ellen, mivel azt vélelmezik, hogy nekik észre kellett volna venniük, hogy ezek hamis utalások. A Wells Fargo azzal védekezik, hogy a Banco del Austro (BDA) nem teljesítette az alapvető biztonsági előírásokat, hackerek hozzáfértek egy alkalmazottjuk SWIFT-azonosítójához és jelszavához, így ők nem felelősek. A SWIFT üzemeltetőinek az az álláspontja, hogy ők ebben az ügyben vétlenek, a saját rendszerük biztonságos, de ha valaki azonosítót lop, azzal nincs mit tenni. Emellett azt is közölték, hogy bármilyen biztonsági probléma merül fel, csak akkor tudnak lépni, ha az érintett pénzintézet erről tájékoztatja őket.

De mi ezzel a baj?

Hát az, hogy sok vállalat, és különösen a pénzintézetek, akkor sem szívesen teszik közzé a biztonsági incidenseket, ha erre törvény kötelezi őket, mivel bizalomvesztéstől tartanak, a SWIFT pedig nem ír elő ilyen kötelezettséget.

A Reutersnek azt mondta több, a SWIFT-nél dolgozó alkalmazott, hogy az információvédelem és a félelem miatt a nemzetközi átutalási rendszer nem átlátható, túl sokan túl sok mindent titkolnak el üzleti okokból, így az esetlegesen napvilágra kerülő sérülékenységek javítása szinte lehetetlen. Röviden: ha a SWIFT rendszerén belül megjelenik egy átutalási kérelem, azt automatikusan megbízhatónak tekintik, alig van kontroll – vagyis a rendszerbe nincs beépítve egy olyan mechanizmus, amely a SWIFT egyes, gyengébb védelemmel rendelkező tagjainál történő biztonsági incidensekre lenne képes reagálni – pl. utólagos, másodszori, harmadszori ellenőrzésekkel.

És a bűnözők pont ezt használják ki: ha egy olyan országban, ahol kevésbé szigorúak a biztonsági előírások, vagy éppen vannak, de nem tartják be őket, behatolnak a banki rendszerbe, a SWIFT-azonosítók megszerzése után szabadon garázdálkodhatnak a nemzetközi pénzügyi forgalomban, hiszen ha már bent vannak, nem kell számítaniuk komoly ellenőrzésre. (A bangladesi történetben is minden simán ment volna, ha a cracker nem gépel el két karaktert, ami a rajtuk átfolyó tranzakció miatt feltűnt a Deutsche Bank rendszerének, illetve alkalmazottainak.)

Újításokra van szükség

A SWIFT egy kiválóan működő rendszer, de úgy tűnik, az 1973-ban alapított, belga központú vállalkozás nem készült fel a legújabb kor kiberfenyegetéseire – évtizedeken át nagyszerűen ellátta feladatát, ám most új támadásokkal kell szembenézni, és ezt még nem tudják kezelni.

A Reuters belső forrásokra alapozva azt állítja, hogy ennek több oka is van. Egyrészt van egy merev, még a múlt században megalapozott irányítási struktúra, mely nem elég rugalmas a mai helyzetek kezelésére. Másrészt roppant hiányos a bankok közötti információáramlás, mivel mindenki félti ezeket, ám a biztonsági incidensek kezeléséhez, illetve megelőzéséhez kooperációra és nyitottságra lenne szükség.

A bankok attól is félnek – mondja egy korábbi SWIFT-vezető –, hogy ha fény derül a biztonsági incidensekre, akkor a megindított rendőrségi vizsgálatok egyéb – a bankok által inkább eltitkolandó – információkat is napvilágra hoznának: a bankok a felszíni pr ellenére gyakran belemennek kétes üzletekbe is, egyensúlyoznak a törvényesség határán, esetleg át is lépik azt, így féltve őrzik ezeket az adatokat.

Az mindenesetre világos, hogy a bangladesi eset sokkal nagyobb vihart kavart, mint számítani lehetett rá: a világ pénzügyi központjaiban erős mozgolódás indult, pl. az Egyesült Államok felügyelete is felülvizsgálati eljárást indított, de a meghatározó Hongkongban is úgy döntöttek az illetékesek, hogy reformokra van szükség.