A kiberbűnözők egyre intenzívebben támadják a világ bankjainak és tőzsdéinek számítógépes rendszereit. Az elmúlt időben napvilágra került esetek arról tanúskodnak, hogy brutális háború zajlik a színfalak mögött. A tét nem kicsi, a pénzügyi rendszer lebénulásának ugyanis beláthatatlanok a következményei.

Az elmúlt években egyre több és egyre komolyabb kibertérből induló behatolásról lehet hallani a pénzügyi világban: a hírek ügyfelek és vállalatok adatainak ellopásáról, illetve pénzintézetek fenyegetéséről és zsarolásáról szóltak. Az egyik legfrissebb – a konspirációs elméleteknek is nagy lendületet adó – eseménysorozat július 8-án történt: közel négy órán át szünetelt a kereskedés a New York-i tőzsdén (NYSE), két órára a United Continental légitársaság összes repülőjárata is a földre kényszerült, és szintén aznap a Wall Street Journal weboldala is működésképtelenné vált egy időre. Bár az illetékesek mindhárom esetben hardver-, vagy szoftverhibára hivatkoztak, akadtak olyanok, akik összehangolt kibertámadásra gyanakodtak.

37-39_Wall_streetA média által követett és talán kicsit fel is fújt eset arra mindenképp jó volt, hogy ismét felrázza egy kicsit az illetékeseket, és ráirányítsa a figyelmet a pénzügyi rendszer törékenységére kiberbiztonsági szempontból is. Az ügy jelentőségének meghatározásához érdemes felidézni, hogy a Wall Street-i cégek dollárban ezermilliárdokat kitevő pénzügyi eszközöket kezelnek, a NYSE átlagos napi kereskedési értéke pedig 2013-ban mintegy 169 milliárd dollár volt. New York emellett a világ második legnagyobb devizapiaca is, ahol a napi kereskedési volumen meghaladja az 5 ezer milliárd dollárt. Ezek alapján – még ha belegondolni is nehéz ezekbe a léptékekbe – talán sejthető, hogy csak a Wall Street kikapcsolásával mekkora lyukat lehetne ütni a világgazdaságon.

A következményekbe belegondolni is rossz. Egyrészt a piacok összekapcsoltsága miatt biztosra lehet venni a messzire hullámzó zavarokat. Egy ilyen eset globális pusztító képességét jól mutatta a Lehman Brothers összeomlása, amely berobbantotta a 2008-as pénzügyi válságot. Másrészt egy komoly támadás komoly bizalmatlanságot is generálhat, ami akkor is gyilkos elegy, ha megmarad a pénzügyi szektor berkeiben. Viszont ha a pánik és a félelem a társadalomban is széleskörűvé válik, az hatalmas veszteségek forrása lehet.

Egyre többször, egyre profibban

A világ tőkepiacait felvigyázó felügyeleti szervek szövetsége (Iosco) és a tőzsdéket tömörítő World Federation of Exchanges által elvégzett tanulmány szerint 2012-ben a hozzájuk tartózó 46 nemzetközi tőzsde több mint fele ellen hajtottak végre kibertámadást. A legrosszabb helyzet az amerikai tőzsdéknél volt, itt 67 százalékkal nagyobb az esélye annak, hogy ilyen attak áldozataivá válnak. Ez az arány az ázsiai-csendes-óceáni régióban kissé 50 százalék felett volt, míg Európában mindössze 35 százalék.

A kiberbűnözést egyre több szakember emlegeti a pénzügyi szektorra és az üzleti világra leselkedő legnagyobb veszélyek között, a figyelmeztetések pedig egyre hangosabbak, és egyre gyakrabban sürgetik a szükséges válaszreakciók megtételét. Mivel a támadások egyre szofisztikáltabbak is, felismerni is egyre nehezebb őket, főleg, ha „egyszerű” bennfentes kereskedésről, vagy adatok illetve érzékeny információk ellopásról van szó. Az amerikai értékpapír-piaci felügyelet, a SEC 2015 februári jelentése szerint az amerikai brókercégek 88 százaléka, a pénzügyi tanácsadó cégek 74 százaléka volt már célpontja ilyen támadásnak. Egy júniusi kongresszusi meghallgatáson pedig az hangzott el, hogy egy amerikai nagybanknak átlagosan 34 másodpercenként kell ilyen típusú támadásokat visszavernie. A kiberbűnözés által a társadalom számára okozott kárt viszont nagyon nehéz számszerűsíteni: az Iosco tanulmányában 388 és ezer milliárd dollár közötti összegeket említ különböző felmérésekre hivatkozva.

Nagyobb összehangoltság kell

Az IT-biztonsági fenyegetések ugyanakkor nem újkeletűek: az amerikai kongresszus számára jelentéseket készítő független szervezet, a Government Accountability Office már egy 1991-ben készült jelentésében 68 rendszerbiztonsági és felügyeleti problémát jelzett az általa vizsgált öt amerikai tőzsdén. Ugyanakkor azt is hozzá kell tenni, hogy a tőzsdék kiberbiztonsági szempontból óriási kihívásokkal állnak szemben: szakemberek a mai börzéket egy banki köntösbe bújtatott technológiai vállalathoz hasonlítják, ahol a hackerek elleni harc olyan, mint egy autón óránként 100 kilométeres sebességnél kereket cserélni.

37-39_Anonymus_cyber_attackMaguk a rendszerek viszont elég sérülékenyek, Chrisopher Finan csak „összetákolt zagyvalék-rendszerekként” jellemezte őket a MarketWatchnak. A Nasdaqot ért 2010-es támadás idején a Pentagonnak dolgozó, később pedig Barack Obama kormánya mellett biztonsági tanácsadói pozíciót betöltő szakértő szerint a biztonsági megoldásokat legfeljebb utólag próbálják ráhúzni e rendszerekre, ahelyett, hogy már az elején beépítették volna. Ez pedig csak megkönnyíti egy elszánt hacker dolgát a rések megtalálásában.

Bár a tőzsdék és a pénzügyi szektor szereplői általában igyekeznek megnyugtatni a közönséget, hogy mindent elkövetnek a rendszer biztosítása érdekében, és rengeteget invesztálnak IT-biztonságba, úgy tűnik, lenne még mit tenni. Az egyik „watchdog”, az Iosco elnöke, Greg Medcraft tavaly nyáron például egy konferencián azt jósolta, hogy a következő pénzügyi sokk minden bizonnyal a kibertérből jön majd. Véleménye szerint a kibertámadásokkal érkező fenyegetéseket a jelenleginél összehangoltabb erőfeszítésekkel kellene kezelni, a pénzügyi ágazatból kapott válaszok ugyanis azt mutatják, hogy a szereplők reakcióiban nincs következetesség.

Új szabályok Amerikában

És valóban, az ágazat és a hatóságok mintha csak most ébredeznének: a SEC egyik szakértője, Luis Aguilar egy júniusi amerikai konferencián elismerte, hogy bár a felügyeletnek tudomása van arról, hogy a brókercégek számláit feltörik, és tudomásuk van engedély nélküli ügyletekről is, ennek ellenére a hatóság még nem állt elő hivatalos állásfoglalással ez ügyben.

A SEC egyébként tavaly fejezte be annak az új szabályozási rendszernek a kidolgozását, amely a tőzsdék számára kötelező előírásokat tartalmazza kibervédelmi rendszereik felépítéséhez, és amelyek novembertől lesznek kötelező érvényűek a börzék számára. Az új szabályok szerint a cégeknek folyamatosan figyelniük kell a behatolási kísérleteket, és ha ilyet érzékelnek, azt 24 órán belül jelenteniük kell a SEC-nek.

Emellett a New York-i tőzsdék – a Nasdaq és az NYSE – még azzal is igyekeznek felvértezni magukat a kiberbűnözők ellen, hogy nemcsak összehangolják egymás záróaukcióit, hanem szükség esetén egymás ügyleteinek háttérmentésével is tudják támogatni a másikat bármilyen leállással fenyegető esemény idején. Szakértők szerint az ilyen párhuzamos rendszerek csökkentik a piac sebezhetőségét, hiszen ha az egyik piac kiesik, attól még más tőzsdék zavartalanul működhetnek, és a lebénult börzén forgó papírokkal is gond nélkül folyhatna a kereskedés.

Annak a valószínűsége ugyanis, hogy a hackerek egyszerre több parketten és nagy pénzügyi cégeknél próbáljanak meg egy időben zavart okozni, alacsony – mutatott rá Finan. Az ugyanis, hogy valaki sok, egymástól különböző rendszerben egyszerre találjon olyan rést, amit kihasználva azonos időben rendszerszintű összeomlást okozhat, elképesztően nehéz – azaz kicsi a valószínűsége. Ha azonban ez egyszer megtörténne, annak következményei felmérhetetlenek lennének.

Szabó Zsuzsa