AML a KB nexus

AML a KB nexus

Kamil Kouba | 14. 04. 2023

Na finanční systém jsme napojeni všichni. Všichni mu důvěřujeme a sdílíme v něm ohromné množství citlivých dat. Odstřižení od něj by bylo katastrofou. O praní peněz a jeho dopadu na finanční systém se toho napsalo už hodně, o kyber zločinu v této souvislosti podstatně méně. Citlivá data obecně znamenají pro zločince obchodovatelnou komoditu a finanční systém je tak ideální cíl.

Nutno dodat, že kybernetická bezpečnost (KB) v sobě zahrnuje potřebu chránit podstatně víc systémů než jenom finanční, pro představu se jedná o systémy kritické infrastruktury, distribuce internetu, distribuce pitné vody a mnoho dalších. Portfolio aktivit státu v kybernetické bezpečnosti je výsadní, nicméně bez nás se neobejde. Ať už je ale motivem ke kybernetickému útoku cokoli, soustřeďme se na aktivity, jejichž motivem je finanční zisk, neboť lze důvodně předpokládat, že takových útoků bude většina.

Může se zdát, že kybernetický zločin jako predikativní trestný čin, který generuje výnos ze zločinu v podobě některé z populárních kryptoměn, není potřeba složitě maskovat, protože samotná podstata virtuálního prostředí poskytuje dostatečnou anonymitu. Zločinci ale nechtějí žít a utrácet jen ve virtuálním světě. Potřebují svět reálný a v něm reálné peníze, a v tomto případě k tomu potřebují zneužít finanční systém.

Postupy AML poskytují šanci vystopovat finanční toky kyberzločinců, stejně jako výnosy z jakéhokoli jiného trestného činu. Kyber však na rozdíl od ostatních, stejně jako praní peněz, představuje nebezpečí pro samotný finanční systém. Ochrana před ním je urgentní. Při praní peněz se ve finančním systému zastírá skutečný účel transakce i pachatel. O stejné se snaží kyber útočník. Prostředí k vedení útoku je totožné, motivace rozdílná. U praní peněz proplout bez povšimnutí – praní už další výnos nevygeneruje, naopak se prodražuje. U kybernetického útoku je cílem obohatit se a pokud možno ještě za sebou zničit stopy. V obou případech je riziko poškození reputace enormní nejen pro finanční instituce.

Zabezpečení finančního systému je tak klíčové pro prevenci kybernetických hrozeb. *

Uniklá data jako časovaná bomba

Příklad: Kyber zločinec napadne server nemocnice s daty pacientů, daty pojišťoven vč. dat o finančních tocích, dodavatelích atd. Má ve své moci citlivá data. „Nemocnice, zaplať v Bitcoinech!“ objeví se na monitoru. Nemocnice ale měla zálohu, přepne na zálohovaná data a systém nekolabuje. Dobrá zpráva pro daný okamžik, ale zločinci stále zůstávají citlivá data.  Motiv útoku na nemocnici nemusí být jen finanční, může se jednat o teroristický čin nebo válečný akt ve snaze ochromit kritickou infrastrukturu, ale pak jsme v jiné kapitole. V té naší kapitole, jak jsem již zmínil shora, se v drtivé většině případů bude jednat o snahu zločinem vydělat peníze. Zločinec sice prolomil zabezpečení nemocnice, ale nepočítal se zálohou. Nebo? Jak často slýcháme, že došlo k úniku citlivých dat? Data mají svoji cenu. I když zločinec z nemocnice nedostal výkupné. V ideálním světě by se zločinec k serveru nemocnice vůbec neměl dostat. Pokud se dostane, má v rukou podklady pro nespočet dalších útoků a s množstvím dat roste pravděpodobnost úspěchu. A data toho umí nabídnout opravdu hodně. Pomohou sestavit profil dodavatele, zjistit jeho fakturační údaje, obchodní historii, kontakty. Není pak extra složité poslat nemocnici fakturu standardní cestou, u které nebude mít účetní pochybnost. Zločinec využije techniky sociálního inženýrství. Steganografie mu umožní do souboru schovat malware, a nejen že mu nemocnice konečně zaplatí, ale je opět uvnitř systému, navíc v počítači účetní.  Pokud účetní není dostatečně pozorná a nemá aktualizovaný operační systém, pak je šance na odhalení nulová. Dalším prostorem, kam zločinec přesouvá svoji pozornost, je finanční systém. Je to jediné místo, kde se nachází stopy. Nemocnice pravděpodobně sama časem zjistí, že zaplatila, kam neměla, ale to už bude pozdě.

Správně nastavená obrana vyřeší kybernetický útok během několika hodin, v opačném případě, škody po kybernetickém útoku se napravují roky. **

Spojení sil je nezbytné

Obrana proti kybernetickým útokům na finanční systém zahrnuje několik klíčových kroků, které by měly být prováděny pravidelně a systematicky. Některé z těchto kroků jsou:

Žádný zločinec po sobě nechce zanechat stopy, natož důkazy o své vinně, ale ve finančním systému je stopa zachována na vždy. Ve fyzickém světě zločinci organizovaného zločinu korunního svědka většinou odstraní. Mít tak možnost napadnout finanční systém, zavřít ho do sudu a shodit na dno Orlické přehrady. Drogový dealer tohle neumí, a ani se o to nepokusí, ten náš bohužel ano. Má k tomu dostatek času, dat a výkonu. Naštěstí, finanční systém si je vědom této hrozby a dokáže se bránit, to však neubírá na motivaci kybernetického zločince se stále zdokonalovat.

Obrana proti němu bude úspěšná, pokud se podaří propojit a společně využívat všechny nástroje a postupy, které se nám nabízí. Důležitost multidisciplinárního přístupu probereme již brzy na odborném semináři.

Těšíme se na Vás.

Zdroje:

*FinCEN Ransomware Advisory

**Před třemi roky zasáhl Fakultní nemocnici Brno kybernetický útok. Systém dodnes není plně obnovený | iROZHLAS – spolehlivé zprávy


Kamil Kouba

AML officer s více jak 16ti letou praxí u protikorupční policie.
V hodnosti plukovníka vedl speciální oddělení, které bylo příjemcem trestních oznámení FAÚ.
Opakovaně byl vyznamenán za boj proti praní peněz, působil jako člen vyjednávacího týmu ČR při obhajobě přijatých AML opatření na Radě Evropy ve Štrasburku.
Již 6 let úspěšně poskytuje služby v privátním sektoru napříč spektrem povinných osob.