BANK 2017/06

50 Największych Banków w Polsce 2017: Nowoczesne technologie i świadomy użytkownik gwarancją bezpieczeństwa w wirtualnym świecie

Dariusz Wojtas | Konrad Machowski
50 Największych Banków w Polsce 2017: Nowoczesne technologie i świadomy użytkownik gwarancją bezpieczeństwa w wirtualnym świecie
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Z Dariuszem Wojtasem, Head of Product Management w IMPAQ Sp. z o.o., rozmawiał Konrad Machowski.

Niedawny atak przy użyciu złośliwego oprogramowania Wanna- Cry po raz kolejny przypomniał o tym, że problem cyberprzestępczości dotyczy każdego. Skąd firmy i urzędy powinny pozyskiwać know-how do walki z wyłudzeniami danych?

W tym obszarze trudno mówić o wiedzy powszechnie dostępnej. Ma to swoje dobre strony, gdyż tego rodzaju samouczek zwykle staje się instrukcją dla oszusta, ale jest to również oczywiste utrudnienie dla osób odpowiedzialnych za bezpieczeństwo w organizacji. Najskuteczniejszą formą prewencji jest zatem współpraca z profesjonalnymi podmiotami wyspecjalizowanymi w zwalczaniu tego rodzaju zagrożeń. Dysponują one własnym know- how, korzystają ze sprawdzonych narzędzi i współpracują z doświadczonymi dostawcami usług, a przy tym sami pozyskują doświadczenie poprzez analizę zdarzeń obserwowanych w obsługiwanych u swych klientów. Ważnym źródłem wiedzy może być też śledzenie branżowych doniesień o dokonanych oszustwach. Sam WannaCry dotknął zarówno firmy, jak i osoby prywatne. W tym przypadku dla ochrony nie była konieczna wiedza tajemna, a przestrzeganie dwóch podstawowych zasad: instalacji na bieżąco poprawek bezpieczeństwa na swoich komputerach oraz ograniczone zaufanie do e-maili. WannaCry miało tę umiejętność, że jedna zainfekowana maszyna potrafiła skutecznie infekować kolejne w tej samej sieci.

Ostatnie miesiące przebiegają pod znakiem dynamicznego rozwoju bankowości mobilnej, jakie zagrożenia są specyficzne dla tego kanału?

Zabezpieczenie bankowych aplikacji mobilnych jest o tyle trudnym wyzwaniem, że kanał mobilny do niedawna służył głównie do uwierzytelniania operacji. Zainstalowanie aplikacji umożliwiającej zarządzanie operacjami i wydawanie dyspozycji na tym samym sprzęcie, na który otrzymuje się SMS-y uwierzytelniające powoduje, że autentykacja przestaje mieć charakter dwukanałowy. Oczywiście, nie musi to automatycznie oznaczać zagrożenia, niemniej w istotny sposób zwiększa się ryzyko związane z dokonywaniem transakcji. Pamiętajmy, że smartfon posiada również dostęp do informacji na temat nas samych i naszych znajomych, które są zbierane bynajmniej nie tylko przez cyberprzestępców. Przykładem mogą być aplikacje portali społecznościowych, które na podstawie monitorowania naszych aktywności, zainteresowań czy utrzymywanych kontaktów automatycznie generują propozycje zawarcia znajomości. Analogiczne działania mogą prowadzić hakerzy, gromadząc informacje pozwalające na dokonanie oszustwa w sprzyjającej sytuacji.

Co w takim razie klient powinien zrobić, żeby czuć się bezpiecznie, korzystając z aplikacji mobilnych?

 Banki mają wypracowane swoje zalecenia w tym zakresie. W kontekście urządzeń mobilnych będą to: 1) nie należy udostępniać telefonów obcym osobom; 2) unikać instalacji przypadkowych aplikacji, często na chwilę, na urządzeniu, z którego wydajemy dyspozycje bankowe; 3) dbać o aktualizacje systemu operacyjnego; 4) unikać zabawy w chowanego z bankiem i nie rozmywać swojego profilu zachowań, np. przez łączenie się z bankiem przez anonymizujące usługi VPN. Pierwsze dwa zalecenia wydają się oczywiste – jeśli z danego urządzenia chcę wydawać dyspozycje dotyczące moich pieniędzy, to powinienem dbać o to urządzenie. W realu dbam o to by nikt niepowołany nie miał dostępu do moich dokumentów, a idąc do okienka bankowego, nie przebieram się w nietypowe stroje, by pożartować sobie z pracownikiem banku. Powinniśmy z podobną powagą podchodzić do operacji wydawanych kanałem elektronicznym – na oficjalnym urządzeniu nie instalować aplikacji przypadkowych czy na chwilę, bo za duże jest ryzyko, że znajdą się wśród nich takie, które mają wykraść cenne informacje o nas. Zwykłe pozwolenie nieznanej aplikacji na dostęp do naszych kontaktów może pozwolić komuś na zbudowanie bazy wiedzy o nas. Coraz więcej osób wie, że nadmierne chwalenie się szczegółami ze swojego życia na portalu społecznościowym może mieć negatywne skutki. Czas zacząć patrzeć krytycznie na wymagania zwykłych aplikacji.

A czy bank ma możliwość w jakikolwiek sposób zabezpieczyć klienta na odległość, przynajmniej w podstawowym zakresie?

Na rynku dostępne są różne sposoby, które wspierają bezpieczeństwo po stronie klienta. Część z nich wymusza instalację dodatkowego oprogramowania na maszynie klienta, w celu monitorowania komunikacji pomiędzy tą maszyną a serwisami banku. To daje względnie dużą kontrolę nad samą komunikacją, a nawet nad systemem operacyjnym klienta, ale jednocześnie wymaga wyjaśnienia klientowi, dlaczego należy instalować kolejną aplikację. W niedalekiej przeszłości odnotowywano też kampanie podszywania się pod takie właśnie oprogramowanie przez oszustów. Mniej inwazyjna kategoria oprogramowania zabezpieczającego nie wymaga instalacji dodatkowych komponentów zabezpieczających po stronie klienta, ogranicza się do technik dostępnych po stronie przeglądarki użytkownika. Takie rozwiązania potrafią zintegrować się z chronioną aplikacją, pozostając przy tym niewidocznymi dla niej oraz dla klientów. Często pojawiają się głosy, że ważna jest edukacja klientów. Kroki czynione w tym zakresie ograniczają się zwykle do informacji o zagrożeniach, opisanych na dedykowanych stronach. Myślę, że dobrym rozwiązaniem mogłoby być informowanie użytkownika o słabościach jego systemu lub przeglądarki, aby kazać im się zastanowić nad tym, czy świadomie chcą zarządzać swoimi środkami przy użyciu przestarzałego oprogramowania. Np. „Twoja przeglądarka nie była aktualizowana od co najmniej 9 miesięcy. Nie aktualizując oprogramowania, zwiększasz ryzyko podatności na ataki złośliwego oprogramowania”. Wystarczyłaby informacja, podana w odpowiedniej formie. Dziś to banki, jako podmioty dominujące w relacjach klient-bank, są postrzegane jako te zobowiązane do zapewnienia pełnego bezpieczeństwa komunikacji. „Bo przecież wyraźnie oszczędzają na przenoszeniu swojej działalności do internetu”. Tymczasem wszystkim uczestnikom rynku pomogłoby określenie, jakie są obowiązki klienta w kwestii bezpieczeństwa. Powszechnie wiadomo, że klient ma obowiązek chronić swój PIN do karty. Ale już inaczej traktowana jest „higiena” technologiczna urządzeń, z których klient korzysta w kontaktach z bankiem. Niehigieniczne zachowanie klienta to np. korzystanie z pirackiej wersji systemu operacyjnego, brak oprogramowania antywirusowego, korzystanie z oprogramowania do nielegalnej wymiany mediów. Moim zdaniem kwestią czasu pozostaje wprowadzenie regulacji mówiących, w którym momencie zaczyna się rażąca niedbałość klienta w tym obszarze. Tu nie chodzi o penalizację klienta, ale uświadomienie mu, że on też jest stroną, która ma swoje obowiązki w zapewnieniu bezpieczeństwa.

Jakimi narzędziami pozwalającymi na ograniczanie fraudów webowych dysponuje IMPAQ?

Takim rozwiązaniem jest system oferowany pod nazwą Web Fraud Protection. Pozwala on na bezinwazyjne monitorowanie transakcji dokonywanych z przeglądarki przez klienta w celu budowania profilu jego zachowań i kalkulacji ryzyka związanego z dokonywaniem przez niego operacji. Przy użyciu Web Fraud Protection budowany jest profil zachowań dopuszczalnych, który potem pomaga w weryfikacji, czy operacje zlecane w e-bankowości są dokonywane przez niego. Istnieje również możliwość budowania profili poszczególnych urządzeń, z których logują się klienci. Monitorowanie nie ogranicza się wtedy do pasywnego nasłuchiwania na łączach, ale pozwala na dodatkowe raportowanie z urządzenia klienta. Dzięki temu można na przykład stwierdzić, że przy użyciu tego samego urządzenia w krótkim czasie próbowały zalogować się różne osoby. Inną usługą, na które pozwala nasze rozwiązanie jest weryfikacja, czy to, co uruchomiło się w przeglądarce klienta, jest tym, co bank naprawdę do klienta posłał. Pozwala to zabezpieczyć się przed niektórymi rodzajami złośliwego oprogramowania, które infekuje treści pokazywane klientowi lub wręcz zmienia treści poprzez infekcję oglądanej strony.

Klient może być nie tylko ofiarą, ale również sprawcą wyłudzenia. Dotyczy to w szczególności kredytów, ale także leasingu. Jak banki się mogą bronić przed nadużyciami w tym obszarze?

Kluczem do bezpiecznej transakcji jest weryfikacja zarówno samych podmiotów zawierających umowę, jak również przedmiotu leasingu: czy one faktycznie istnieją i jaka jest ich rzeczywista wartość. Istotnym czynnikiem jest weryfikacja sposobu, w jaki klient spłaca należność. Sytuacje, kiedy kolejne raty uiszczane są z rachunku osoby trzeciej mogą sugerować, że umowa leasingowa lub kredytowa została podpisana ze słupem, a faktyczny beneficjent po zapłaceniu zaledwie ułamka wartości przedmiotu przestanie regulować należności i zniknie wraz z wyłudzonymi dobrami. Dlatego jedną z istotniejszych funkcji aplikacji kredytowych i leasingowych powinno być zweryfikowanie danych z wniosku w jak największej liczbie rejestrów, poczynając od własnych zasobów instytucji finansowych poprzez biura informacji gospodarczej i systemy Związku Banków Polskich oraz inne rejestry o zasięgu ogólnonarodowym. Do weryfikacji w tak zróżnicowanych systemach konieczne jest posiadanie spójnego mechanizmu, który pozwoli powiązać dane z zasobów wewnętrznych i zewnętrznych przez jeden spójny mechanizm. Nasza platforma AntiFraud Hub doskonale adresuje te potrzeby. Pozwala na wykorzystanie różnych źródeł danych w samym banku, jak i na integrację z systemami zewnętrznymi, także na komunikację z systemami zainstalowanymi w bankach „partnerskich”.