Bank i Klient: Informacja ważniejsza od technologii

Jerzy Trzaska

Na zakończenie IV Forum Bezpieczeństwa Banków 2015 odbyła się publiczna debata z udziałem dr. Mieczysława Groszka, wiceprezesa ZBP (moderator); Andrzeja Barcikowskiego, dyrektora Departamentu Bezpieczeństwa NBP; Jarosława Bartniczuka z firmy Niemczyk i Wspólnicy Interguard; Tomasza Chlebowskiego, prezesa zarządu ComCERT; Artura Józefiaka, managera z Accenture IT Strategy, Infrastructure and Security (ISIS); Dariusza Kozłowskiego, wiceprezesa zarządu CPBiI; Joanny Świątkowskiej, dyrektora Programu Cyberbezpieczeństwa Instytutu Kościuszki oraz Adama Marciniaka, dyrektora Pionu Rozwoju i Utrzymania Aplikacji PKO BP.

Systemy bezpieczeństwa nie nadążają

Moderator panelu dyskusyjnego, dr Mieczysław Groszek, powołując się na wyniki błyskawicznej sondy zrobionej wśród gości konferencji, która wykazała, że systemy bezpieczeństwa są w tyle do inwencji cyberprzestępców, poprosił panelistów o skomentowanie tego zaskakującego werdyktu.

Adam Marciniak:

Każda złotówka wydana przez mój bank na ochronę powoduje, że mniej tracimy, a zasady systemu bezpieczeństwa są tak zorganizowane, że działamy w wielu obszarach – od firewalli, IPS-y, po narzędzia antyspamowe i antyfraudowe – czyli dziedzinach odpowiedzialnych za bezpieczeństwo realizacji operacji klienta w różnych kanałach elektronicznych oraz naziemnych. Staramy się korzystać z wielu wewnętrznych usług oferowanych nam przez macierzysty CERT. Wspólnie z nim reagujemy na zewnętrzne zdarzenia. Mamy bardzo skuteczny system przeciwko zmasowanym atakom na strony banku, większym problemem jest implementacja procesów bezpieczeństwa w innych instytucjach. Muszą być nastawione na wzmocnienie kultury obrony. Skupiamy się na bardzo restrykcyjnej polityce weryfikacji kodu poprzez wewnętrzne audyty. Chcemy na bieżąco reagować na zdarzenia, które mają wpływ na bezpieczeństwo naszych klientów. Dziś coraz większe znaczenie w obronie przed atakiem hakerów odgrywa czynnik ludzki. Dla przykładu: wykryliśmy malware u klienta, a my mogliśmy rozpoznać jego działanie dopiero post factum. Ponieważ nie chcieliśmy nadmiernie ingerować w komputer naszego klienta, dokonaliśmy zmiany w samych skryptach strony, które klient uruchamiał, korzystając z poczty elektronicznej. Mając te informacje, mogliśmy zdalnie, automatycznie blokować niebezpieczne dla niego strony www. Trzeba sięgać po wzory z regulacji i dobrych praktyk z całego świata. Tu chodzi głównie o Rekomendację D, mimo jej ogólności, daje wymierne efekty, takie jak różne europejskie zalecenia dotyczące e-commerce. Ważna jest wymiana informacji o zagrożeniach, dziś sama technika już nie wystarczy.

Banki powinny współpracować

Wyniki drugiej sondy – czy banki powinny ze sobą współdziałać w dziedzinie wymiany informacji o zagrożeniach – skłoniły moderatora do postawienia tego zagadnienia w centralnym planie dyskusji panelowej.

Jarosław Bartniczuk:

Kluczem do skutecznego stosowania systemów bezpieczeństwa jest świadomość zagrożeń. Jeżeli będziemy wiedzieli, jakie są, to kierując się zdrowym rozsądkiem, będziemy umieli wykorzystać narzędzia, którymi już dysponujemy. Trudno zakładać, że bez edukacji, mając jeszcze lepsze narzędzia, zachowamy się skuteczniej. Inwestycje w naukę zasad bezpieczeństwa dla pracownika korporacji są ogromnie ważne. Stale obserwujemy, że w bankach są one stanowczo zbyt małe. ...