Andrzej Sieradz: Bezpieczeństwo busolą przemian w sektorze

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter

140508.sieradz.400xWypowiedź dla aleBank.pl: Andrzej Sieradz, wiceprezes zarządu, Bank BGŻ

Andrzej Sierdz: Współpraca zaczyna się od klienta. Ostatnie kilkanaście lat to jest obserwacja, że bankowość się zmienia – mniej klientów w oddziałach, więcej klientów, którzy większość swych potrzeb bankowych potrafią zaadresować z domu, wykorzystując albo internet, albo zaawansowaną dziś technologię mobilną na tabletach, telefonach, które za chwilę wszyscy będziemy mieli. Dziedzina bezpieczeństwa jest taka, że dzisiaj nie możemy powiedzieć, że bank jest jeden i w jakiś sposób kooperuje ze wszystkimi. Dziś przestępstwa jeśli się pojawią są od strony klienta, który nie zawsze zdaje sobie sprawę ze wszystkich niebezpieczeństw, które mogą się pojawić w momencie wykorzystywania nowych technologii. Tutaj banki absolutnie muszą współpracować. Kolokwialnie mówiąc – jesteśmy w tej samej łodzi. Na koniec dnia to klienci nam ufają, że powierzone środki są bezpieczne. Ten system jest relatywnie nowoczesny biorąc pod uwagę takie możliwości, jakie dzisiaj ma klient  – chodzi o płatności natychmiastowe, o to, że pieniądze z jednego do drugiego banku idą w ciągu maksymalnie jednego dnia. To są rzeczy nowe, bardzo dobre dla klientów, ale jednocześnie trzeba pamiętać, że rodzą one szereg wyzwań jeśli chodzi o bezpieczeństwo transakcji po stronie banków, ale także po stronie klienta. Stąd też banki publikują na stronach internetowych pewne informacje, które powinny ułatwić klientom zarządzanie ryzykiem zaczynając od tego, że na każdym komputerze PC czy urządzeniu powinniśmy mieć ochronę antywirusową – jest to podstawa – ale również sugerując pewne bezpieczne zachowania jeśli chodzi o posługiwanie się hasłem dostępu czy innymi elementami, które mają za zadanie zabezpieczenie posługiwania się technologią w sposób prawidłowy.

Maciej Małek: Zaawansowana technologia w połączeniu z łatwą, intuicyjną obsługą – bo tego oczekuje od nas klient – sprawia, że wyrafinowane fraudy odwołują się do takich z pozoru prostych metod jak podszywanie się pod stronę mojego banku.

AS: Z jednej strony mamy takie postawy klientów, że skoro mają możliwość wykorzystywania aplikacji mobilnej to oczekują, że jeden klik i płatność, transakcja zostanie wykonana. Drugi element jaki się jawi to jest zabezpieczenie z punktu widzenia otwartości i bardziej wyrafinowane sposoby  atakowania. My ciągle jeszcze jesteśmy na etapie standaryzowania się pewnych rozwiązań. Jest wiele systemów operacyjnych, które są instalowane na urządzeniach mobilnych.  Tym samym świat nie dopracował się jeszcze co najmniej kilku standardów, które by powodowały, że cały rynek pracuje nad maksymalnym bezpieczeństwem tego toru.
Pamiętajmy także o tym, że jeśli mówimy o końcu – łatwo i przyjemnie – to drugi koniec to – nieprzyjemnie i bardzo bezpiecznie. Ne pewno część ludzi jeszcze ciągle pamięta pierwsze możliwości autoryzacji podszywania się pod klienta oparte na tokenie. Do dzisiaj nikt już nie chce nosić tokena bo to kłopot – albo go zapomnę, albo nie wiem gdzie jest. Dziś 95 proc. rynku to autoryzacje oparte na smsach. Dziś ludzie potrafią wyjść z domu bez portfela, ale bez telefonu komórkowego już trudniej. W związku z tym myślę, że to będzie odwieczny problem dla banków – jak spowodować aby klienci mieli łatwość obsługi, a to oznacza uproszczenie procesu, a z drugiej strony – jak zachować bezpieczną odległość, żeby było jednak bezpiecznie i do zaakceptowania z punktu widzenia zarządzania ryzykiem.

MM: Inny obszar bezpieczeństwa stanowi ryzyko reputacyjne, które w zgodniej ocenie analityków rynku nie ma ceny, ponieważ my nie słyszymy o tych 99,99 bezpiecznych transakcjach, ale zawsze o tym jednym promilu. Co zatem w obszarze komunikacji z klientem możemy zrobić aby podtrzymać uzasadnioną opinię, że nasze pieniądze są bezpieczne właśnie w bankach?

AS: Znów dwa końce. Pierwszy to klient, który nie stosuje się do ogólnych zasad bezpieczeństwa i z tego wynikają roszczenia w stosunku do banku. Druga część to jest to, co robi bank żeby zapewnić bezpieczeństwo. Ten 1 procent, który się zdarza, nie ma co ukrywać od czasów Fenicjan i pieniędzy, które można było mieć fizycznie w ręku do dziś świat się nie zmienił. Zależnie od technologii zawsze jest ktoś, kto próbuje nam pieniądze ukraść. To się nie zmieni. Na pewno jest jakieś niebezpieczeństwo, aczkolwiek gdy oceniam to ze strony nie tylko mojego banku, ale całego sektora, naprawdę dokładamy wszelkich starań aby rozwiązania były absolutnie, maksymalnie bezpieczne. I one są bezpieczne. Są powszechnie stosowane. Przypadki utraty pieniędzy, to, że następuje przejęcie tożsamości, przejęcie technik dostępu to jest naprawdę marginalna część i w większości takich przypadków, z tego co Związek Banków Polskich rejestruje i publikuje, w takich wypadkach pieniądze są klientom zwracane.

MM: Gdzie w przestrzeni między bankiem i klientem lokować na mapie architektury bezpieczeństwa ład regulacyjny? Myślę chociażby o Rekomendacji D, ale przecież nie tylko.

AS: Rekomendacja D to jest rekomendacja odświeżana od 10 lat, a w tym czasie w obszarze technologii mnóstwo się zdarzyło. W związku z tym ona adresuje wiele aspektów również w technologiach mobilnych, o których mówiliśmy. Z drugiej strony brakuje patrzenia na bezpieczeństwo nie tylko w sferze klient banku, internet czy techniki mobilne i bank, ale również patrzenia na szereg różnych aspektów, które pomogłyby bankom. Mówię o dostępie do pełnej bazy pesel. Dziś w banku mogę sprawdzić dokumenty zaginione ale czy on został wydany to już nie jestem w stanie ustalić. Nie mogę tego ustalić na akceptowalym poziomie kosztów – tak należałoby to powiedzieć. Również brakuje nam pewnego rodzaju uwarunkowań dotyczących medium, które nas łączy. Mówię o kliencie i banku. Medium to oznacza telekomunikacja. Jeżeli mówimy o atakach dedos na banki czy inne instytucje – jeżeli te ataki są z poza Polski to dostawcy telekomów powinni być bardziej zainteresowani i to filtrować. Tu jest konflikt interesów, bo tego typu usługi są także sprzedawane, ale z punktu widzenia ogólnego wykorzystywania internetu, nie tylko w biznesie, ale również przez wszystkich użytkowników, to pewne rozwiązania, które są możliwe technologicznie, a które by absolutnie powiększały…

MM:…Barierą nie jest technologia, a jej koszta powinniśmy dzielić solidarnie – jako wszyscy użytkownicy systemu?

AS: W tym zakresie byłaby bardzo duża akceptowalność takich rozwiązań. Z drugiej strony zdecydowane powiększenie bezpieczeństwa z punktu widzenia ataków na małe firmy – duże firmy są w stanie się obronić przed atakami dedos bo mają na to środki, znają technologię. Małe firmy są bezbronne. Dziś zorganizowanie ataku jest bardzo proste. O ile jest on duży, przychodzi z zewnątrz nie możemy się bronić. Jeśli jest wewnątrz to jesteśmy w stanie zidentyfikować kto nas atakuje. 

aleBank.pl

Zobacz rozmowę w wersji wideo: „Andrzej Sieradz: Bezpieczeństwo busolą przemian w sektorze”