Pelot pankkien suuremmasta kyberhyökkäyksestä ovat lisääntyneet, koska hakkerit varastivat menestyksekkäästi lähes 100 miljoonaa dollaria Bangladeshin keskuspankista helmikuussa 2016. Pian tämän tapauksen jälkeen Venäjän keskuspankin virkamiehet paljastivat, että hakkerit varastivat yli 31 miljoonaa dollaria (kaksi miljardia ruplaa) maasta keskuspankki ja liikepankit. Pankkien käyttämä hallitseva viestintäverkko SWIFT varoitti, että tällaisia kyberhyökkäyksiä on määrä nousta.
Teknologiset haavoittuvuudet
Rahoitusala on pyrkinyt pysymään tekniikan innovaatioiden tahdissa etenkin ottaen huomioon sen toimintaa säätelevän laajan sääntelyn. Vaikka vanha tekniikka voi tuntua vain haittaa kuluttajille, siitä on tullut merkittävä turvallisuusriski liikepankeille, vakuutusyhtiöille ja heidän kuluttajilleen. Samalla hakkerit ovat hyötyneet uusista tekniikoista, jotka helpottavat murtautumista näihin vanhoihin pankkijärjestelmiin.
Esimerkiksi ns. Kaksitekijäinen todennus on melkein luodinkestävä tapa suojata kuluttajien pankkitilejä. Pankit lähettävät väliaikaisen koodin kuluttajan matkapuhelimeen ennen kuin he sallivat heidän kirjautua sisään, mikä tarkoittaa, että hakkerit tarvitsevat pääsyn sekä tietokoneelle että matkapuhelimelle saadakseen pääsyn tilille. Menetelmän tehokkuudesta huolimatta useat suuret pankit eivät käytä kaksifaktorista todennusta kuluttajien pankkitilien suojaamiseksi.
Bangladeshin pankkivirhe kuvaa myös pankkien tietokonejärjestelmien haavoittuvuuksia. SWIFT: n mukaan asiakkaiden (pankkien) tietokonejärjestelmissä havaittiin suhteellisen yksinkertainen haittaohjelma, joka kohdistui tilioteviesteihin käytettävään PDF-lukijaan. Hakkerit käyttivät haittaohjelmia ohittaakseen ensisijaiset riskienhallinnan ja aloittaakseen peruuttamattomat varojensiirtoprosessit peitessaan lauseita ja vahvistuksia, jotka toimisivat yleensä toissijaisina valvontatoimenpiteinä.
Kyberhyökkäysten vaikutukset pankkeihin
Kuluttajilla on verrattain vähän menetettävää pankkien kiistohyökkäyksiltä, mikäli he eivät olleet viivyttäneet tietosuojaansa ja he ilmoittavat nopeasti pankille, jos varoja puuttuu. Yhdysvaltain liittovaltion laki edellyttää pankkien palauttavan asiakkaita, jos joku ottaa rahaa tililtään ilman lupaa ja ne ilmoittavat pankille 60 päivän kuluessa tilinpäätökseen liittyvistä tapahtumista. Yritystilillä on kuitenkin vähemmän suojauksia ja ne voivat kärsiä suuremmista tappioista.
Pankeilla itsellään on vähemmän federaatiohallituksen vakuutuksia siitä, että he pysyisivät vakavaraisina, jos merkittävä kyberuhkaus teloitettaisiin. Joidenkin asiantuntijoiden mukaan rahoitusvakauden valvontaneuvosto ei ole suurelta osin tunnustanut ja suunnitellut suurpankin vakavaraisuutta uhkaavia kyberhyökkäyksiä. Nämä hyökkäykset voivat kohdistua pankkien käsittelyjärjestelmiin ja häiritä kriittisiä finanssitapahtumia, joita tarvitaan esimerkiksi marginaalipuhelujen välttämiseksi, mikä johtaa laiminlyöntiin.
Brittiläinen akateeminen Richard Benham, National Cyber Management Centerin puheenjohtaja, varoitti BBC: tä siitä, että ”suuri pankki epäonnistuu vuonna 2017 tehdyn kyberhyökkäyksen seurauksena, mikä johtaa luottamuksen menettämiseen ja pankin ajamiseen”. Monet pankit näkevät jo miljoonia Joka vuosi tehdyt hyökkäysyritykset aiheuttavat vaatimattomia tappioita, mutta SWIFT-hakkeroinnin asettama ennakkotapaus keskuspankeille osoittaa, että hyökkäyksistä tulee nopeasti monimutkaisempia.
Pohjaviiva
Tietoturvasta on tullut pankkisektorin ensisijainen huolenaihe, mutta jotkut pankit ovat epäröineet toteuttaa tarvittavia turvatoimenpiteitä, ja sääntelijät ovat olleet hitaita kehittäessään suunnitelmaa suurten hyökkäysten torjumiseksi silloin, kun niitä tapahtuu. Kuluttajat saattavat pystyä perimään rahansa liittovaltion lain nojalla, mutta jotkut asiantuntijat ovat huolissaan siitä, että kärjistyvät hyökkäykset voivat tehdä merkittävän pankin konkurssin, jos se onnistuu, tai ainakin aiheuttaa paniikin, joka johtaa pankkien hallitsemiseen.
