IT@Bank 2015: Bezpieczeństwo może być naszą przewagą
Z dr. Mieczysławem Groszkiem, wiceprezesem Związku Banków Polskich, rozmawiał Sławomir Dolecki.
Wojna technologiczna pomiędzy bankami i oszustami nieustająco trwa. Powstają nowe systemy zabezpieczeń, prawo i regulacje sektorowe coraz większą wagę przywiązują do bezpieczeństwa, ale hakerzy też odrabiają lekcje i ciągle stanowią zagrożenie. Czy w zakresie bezpieczeństwa systemów bankowych sytuacja poprawiła się w minionym roku?
– Jeszcze do niedawna włamania do systemów bankowych traktowane były trochę jak gra komputerowa. Hakerzy fascynowali się samym faktem obejścia zabezpieczeń. Chcieli budzić podziw swoimi umiejętnościami. Jednak w ostatnich latach sytuacja ta się zmienia, hakerzy coraz częściej wykorzystują swoje umiejętności nie dla sportu, ale popełniania przestępstw. W ubiegłym roku liczba ataków na systemy bankowe po raz kolejny zwiększyła się. Mierzy się je wielkimi liczbami statystycznymi, ale warto podkreślić, że jeśli chodzi o tzw. fraudy kartowe, to na każde 100 tys. zł zagrożone było 6 zł, więc są to wciąż wielkości liczone w tysięcznych częściach procenta. Ta skala minimalnie wzrosła w stosunku do roku wcześniejszego, ale nadal jest statystycznie nieistotna. W ubiegłym roku pojawiły się także zdarzenia nowego typu. Po raz pierwszy mieliśmy do czynienia z włamaniem do systemu operacyjnego. Na szczęście zaatakowany bank nie odniósł żadnych szkód, w tym i reputacyjnych, nie można jednak powiedzieć, że było to zdarzenie neutralnie. Z drugiej strony jest to dla nas swoiste studium przypadku, a dzięki platformom wymiany informacji, które stworzyliśmy w Związku Banków Polskich, wiadomość ta przyczyniła się do umocnienia systemów innych banków, bo poznaliśmy i opisaliśmy nowy typ włamania i taktyki przestępczej.
Jednym z elementów bezpieczeństwa są regulacje prawne, a wśród nich opublikowana dwa lata temu Rekomendacja D Komisji Nadzoru Finansowego. Czy wszystkie banki uwzględniły to zalecenie? Czy są jeszcze instytucje, w których prace wdrożeniowe trwają?
– Z czysto formalnego punktu widzenia rekomendacja nie jest obowiązkiem, natomiast w tym przypadku nikt nie kwestionował konieczności jej wprowadzenia. Rekomendacje opierają się na zasadzie „zastosuj albo wytłumacz, dlaczego tego nie robisz”. Tę zasadę stosuje się przy wielu rekomendacjach, ale w tym przypadku nie było takiej sytuacji. Stało się tak z kilku powodów. Po pierwsze – kwestia bezpieczeństwa jest przez banki rozumiana jednoznacznie i traktowana priorytetowo. Dzisiejszy typ zagrożeń jest globalny, w starym systemie – klasycznym napadzie na dyliżans czy oddział bankowy – nie można było ukraść więcej pieniędzy niż było w kasetce, a to zawsze stanowiło niewielką część bankowego majątku. Natomiast dzisiaj włamanie do systemu umożliwia kradzież niepomiernie większych kwot ulokowanych w wielu „kasetkach”, czyli kontach bankowych. Po drugie – poprzednia Rekomendacja D była przygotowana z myślą o komórkach IT w bankach, formułowała pewne podstawowe zasady bezpieczeństwa informatycznego, a obecna wersja dokumentu mówi o bezpieczeństwie całych instytucji i stosowaniu nowoczesnych technologii na każdym etapie działalności. To kompleksowe podejście do bezpieczeństwa. Jako regulacja nadzoru jest to unikatowe rozwiązanie w skali Europy. W bankach nie ma już wydzielonych komórek odpowiedzialnych za bezpieczeństwo, gdyż cały bank jest za to odpowiedzialny, każdy pracownik w zakresie swoich obowiązków.
Wracając jednak do kalendarium wdrożeń. Okres ...
Artykuł jest płatny. Aby uzyskać dostęp można:
- zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
- wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
- wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
- zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.
Uwaga:
- zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
- wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).
Komunikat dla uczestników Programu Wiedza online:
- bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI