Bank i Klient: Informacja ważniejsza od technologii

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter

bank.2015.05.foto.046.a.400xBanki wciąż rozwijają systemy bezpieczeństwa, coraz umiejętniej bronią się przed atakami hakerskimi. Czy zatem już dogoniły przestępców, czy wciąż jeszcze pozostają za nimi pół kroku?

Jerzy Trzaska

Na zakończenie IV Forum Bezpieczeństwa Banków 2015 odbyła się publiczna debata z udziałem dr. Mieczysława Groszka, wiceprezesa ZBP (moderator); Andrzeja Barcikowskiego, dyrektora Departamentu Bezpieczeństwa NBP; Jarosława Bartniczuka z firmy Niemczyk i Wspólnicy Interguard; Tomasza Chlebowskiego, prezesa zarządu ComCERT; Artura Józefiaka, managera z Accenture IT Strategy, Infrastructure and Security (ISIS); Dariusza Kozłowskiego, wiceprezesa zarządu CPBiI; Joanny Świątkowskiej, dyrektora Programu Cyberbezpieczeństwa Instytutu Kościuszki oraz Adama Marciniaka, dyrektora Pionu Rozwoju i Utrzymania Aplikacji PKO BP.

Systemy bezpieczeństwa nie nadążają

Moderator panelu dyskusyjnego, dr Mieczysław Groszek, powołując się na wyniki błyskawicznej sondy zrobionej wśród gości konferencji, która wykazała, że systemy bezpieczeństwa są w tyle do inwencji cyberprzestępców, poprosił panelistów o skomentowanie tego zaskakującego werdyktu.

 

Adam Marciniak:

Każda złotówka wydana przez mój bank na ochronę powoduje, że mniej tracimy, a zasady systemu bezpieczeństwa są tak zorganizowane, że działamy w wielu obszarach – od firewalli, IPS-y, po narzędzia antyspamowe i antyfraudowe – czyli dziedzinach odpowiedzialnych za bezpieczeństwo realizacji operacji klienta w różnych kanałach elektronicznych oraz naziemnych. Staramy się korzystać z wielu wewnętrznych usług oferowanych nam przez macierzysty CERT. Wspólnie z nim reagujemy na zewnętrzne zdarzenia. Mamy bardzo skuteczny system przeciwko zmasowanym atakom na strony banku, większym problemem jest implementacja procesów bezpieczeństwa w innych instytucjach. Muszą być nastawione na wzmocnienie kultury obrony. Skupiamy się na bardzo restrykcyjnej polityce weryfikacji kodu poprzez wewnętrzne audyty. Chcemy na bieżąco reagować na zdarzenia, które mają wpływ na bezpieczeństwo naszych klientów. Dziś coraz większe znaczenie w obronie przed atakiem hakerów odgrywa czynnik ludzki. Dla przykładu: wykryliśmy malware u klienta, a my mogliśmy rozpoznać jego działanie dopiero post factum. Ponieważ nie chcieliśmy nadmiernie ingerować w komputer naszego klienta, dokonaliśmy zmiany w samych skryptach strony, które klient uruchamiał, korzystając z poczty elektronicznej. Mając te informacje, mogliśmy zdalnie, automatycznie blokować niebezpieczne dla niego strony www. Trzeba sięgać po wzory z regulacji i dobrych praktyk z całego świata. Tu chodzi głównie o Rekomendację D, mimo jej ogólności, daje wymierne efekty, takie jak różne europejskie zalecenia dotyczące e-commerce. Ważna jest wymiana informacji o zagrożeniach, dziś sama technika już nie wystarczy.

 

Banki powinny współpracować

Wyniki drugiej sondy – czy banki powinny ze sobą współdziałać w dziedzinie wymiany informacji o zagrożeniach – skłoniły moderatora do postawienia tego zagadnienia w centralnym planie dyskusji panelowej.

 

Jarosław Bartniczuk:

Kluczem do skutecznego stosowania systemów bezpieczeństwa jest świadomość zagrożeń. Jeżeli będziemy wiedzieli, jakie są, to kierując się zdrowym rozsądkiem, będziemy umieli wykorzystać narzędzia, którymi już dysponujemy. Trudno zakładać, że bez edukacji, mając jeszcze lepsze narzędzia, zachowamy się skuteczniej. Inwestycje w naukę zasad bezpieczeństwa dla pracownika korporacji są ogromnie ważne. Stale obserwujemy, że w bankach są one stanowczo zbyt małe. ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI