Bankowość i Finanse | Debata Redakcyjna – Delinea | Skuteczne zarządzanie bezpieczeństwem konsumenta wymaga technologii i edukacji
W ślad za tak dynamicznie rozwijającymi się zagrożeniami wzrasta presja ze strony regulatorów na podmioty sektora finansowego, by zapewniały one nie tylko maksymalną ochronę własnych zasobów, ale w równym stopniu zabezpieczały klientów, jako najsłabsze ogniwo systemu bezpieczeństwa. Dla banków oznacza to przede wszystkim konieczność inwestycji w systemy zabezpieczeń nowej generacji, nierzadko wykorzystujące rozwiązania z zakresu sztucznej inteligencji. Nie mniej istotne jest zapewnienie należytej odporności od strony instytucji, gdzie najbardziej podatnym na manipulacje elementem jest również człowiek, dlatego priorytetem jest dziś zapewnienie adekwatnej kontroli w środowisku IT – zarówno na poziomie administratorów, jak i poszczególnych użytkowników. Chodzi o to, by sprawcy nie mieli dostępu do zasobów całej instytucji, nawet gdyby doszło do przełamania zabezpieczeń na określonym odcinku.
Na ile instytucje finansowe są przygotowane pod względem organizacyjnym, ludzkim, jak i technologicznym, by stawiać czoła tak poważnym wyzwaniom? W jaki sposób przestępcy przejmują kontrolę nad kontami użytkowników, i które z tych scenariuszy stanowią największe ryzyko dla banków, tak od strony czysto finansowej, jak wizerunkowej i regulacyjnej? Kwestie te omawiano podczas debaty eksperckiej „Miesięcznika Finansowego BANK”, poświęconej mechanizmom kontroli dostępu do zasobów instytucji finansowych, ze szczególnym uwzględnieniem zarządzania dostępem uprzywilejowanym. W dyskusji, moderowanej przez Pawła Minkinę, redaktora naczelnego „Miesięcznika Finansowego BANK” i wiceprezesa Centrum Prawa Bankowego i Informacji, uczestniczyli: Piotr Balcerzak, dyrektor Zespołu Bezpieczeństwa Banków Związku Banków Polskich; Adam Capała, dyrektor Biura Infrastruktury i Bezpieczeństwa / LSO w Banku BPH; Paweł Gula, prezes zarządu Centrum Rozwoju Usług Zrzeszeniowych; Wojciech Kordas, dyrektor Centrum Eksperckiego Przeciwdziałania Oszustwom w ING Banku Śląskim; Maciej Pyśka, Menedżer Bezpieczeństwa w Zespole Architektury Cyberbezpieczeństwa Departamentu Bezpieczeństwa mBanku oraz Artur Rudziński, dyrektor Działu Ryzyka i Ciągłości Działania IT w Alior Banku. Partnerem panelu była firma Delinea, którą w dyskusji reprezentowali Paweł Franka, Regional Manager i Tomasz Joniak, Sales Engineer.
Banki zrobiły wiele, by zapewnić ochronę swych klientów
Cyberbezpieczeństwo nie powinno być problemem klientów instytucji finansowych, a zapewnienie im należytego poziomu ochrony stanowi obowiązek banków – taki pogląd podziela spora część konsumentów, co potwierdziło chociażby badanie opinii społecznej, realizowane przez Związek Banków Polskich. Pogląd ten zaczyna dominować również w praktyce organów, odpowiedzialnych za ochronę praw konsumenta, podkreślił Paweł Minkina. I nie jest to tylko trend polski – Wojciech Kordas zaznaczył, iż jednym z kierunków prac nad nową dyrektywą PSD3 będzie najpewniej zwiększenie odpowiedzialności instytucji finansowych w porównaniu z aktualnym stanem prawnym. To z kolei oznacza, iż tradycyjne metody uwierzytelniania, w rodzaju credentiali, przestają być adekwatnym zabezpieczeniem, skoro bank powinien poddawać analizie nie tylko prawidłowość dokonanej autentykacji klienta, ale również to, czy daną operację przeprowadza w pełni świadomie, co – jak słusznie zauważył Piotr Balcerzak, jest awykonalne.
Przedstawiciel ZBP zwrócił też uwagę na niewspółmierność poziomów ochrony konsumenta w kanale tradycyjnym i cyfrowym – w tym pierwszym przypadku nikt nie obciąży banku odpowiedzialnością za działania klienta poddanego manipulacji typu na wnuczka, który dokona wypłaty środków w oddziale, by następnie przekazać te pieniądze oszustom. – Pojawia się pytanie, na ile banki, dostarczając nawet najdoskonalsze rozwiązania techniczne, mogą stawić czoła działaniom socjotechnicznym – nadmienił Wojciech Kordas. To zaś oznacza, iż od klienta należałoby wymagać przynajmniej minimalnego poziomu świadomości zagrożeń, inaczej nikt nie jest w stanie zapewnić mu bezpieczeństwa. Zwłaszcza że polski sektor bankowy i tak zrobił bardzo wiele na rzecz zwiększenia ochrony klienta, dostarczając coraz bardziej zaawansowanych mechanizmów uwierzytelniania, poczynając od popularnych dwie dekady temu loginów i haseł, poprzez autoryzację kodem SMS, aż po uwierzytelnianie wieloskładnikowe i wykorzystanie bezpiecznych, mobilnych aplikacji banków.
W toku dyskusji zwracano uwagę, iż poziom zabezpieczeń, jaki oferowały klientom polskie banki, wyprzedzał i w dalszym ciągu wyprzedza rozwiązania stosowane w innych krajach. Wszystkie te zabiegi pochłaniały rzecz jasna nie tylko niemało pieniędzy, ale i czasu na coraz doskonalsze wdrożenia, tymczasem wielu incydentów można by uniknąć znacznie mniejszym nakładem sił i kosztów, gdyby tylko klienci nie korzystali bezrefleksyjnie z dobrodziejstw e-gospodarki. I nie chodzi tu wyłącznie o sam proces autoryzacji transakcji, ale i inne działania, podejmowane pod wpływem emocji. Mowa tu oczywiście o żerowaniu przestępców na inflacji i podsyłaniu rzekomo rewelacyjnych ofert inwestowania w Forex lub kryptowaluty, ale nie tylko. Zdarza się, że konsument wysyła pieniądze pod przesłany SMS-em link tytułem dopłaty do przesyłki, której nie zamawiał. – Przestępcy wymyślają co chwila nowe modus operandi, które wplatają w odpowiednią agendę i sprzedają klientom – zauważył Piotr Balcerzak. Dotyczy to nie tylko konsumentów, ale i mniejszych firm, które otrzymują od sprawców sfingowane faktury i rachunki za nigdy niewykonane usługi. W takich realiach niezbędne jest identyfikowanie sprawców na poziomie sektorowym, a nie indywidualnie przez każdy bank z osobna. Do tego potrzeba rzecz jasna sprawnej wymiany informacji o zagrożeniach, tak by pozostałe instytucje mogły ustawicznie zwiększać swą cyberodporność, sugerował reprezentant ZBP.
Wspólnie na rzecz bezpieczeństwa
Podejmując działania na rzecz zwiększenia ochrony klientów indywidualnych, banki muszą tymczasem liczyć się z oczekiwaniami konsumentów, kształtowanymi w duchu idei one-click. Zwłaszcza przedstawiciele młodego pokolenia nie byliby skłonni do zwiększenia liczby czynności, wykonywanych w aplikacji celem przeprowadzenie transakcji, nawet gdyby od tych dodatkowych kroków zależało ich bezpieczeństwo. W tym kontekście cieszą inicjatywy, podjęte przez największe instytucje finansowe w Polsce, które w dialogu z regulatorami chcą wypracować standard zabezpieczeń klienta w bankowości elektronicznej, przypomniał Paweł Minkina. Ma to szczególne znaczenie w przypadku sektora bankowości lokalnej, gdzie poszczególne banki nierzadko próbują podejmować samodzielne inicjatywy, tymczasem stworzenie zunifikowanych i przejrzystych reguł zwiększyłoby znacząco pewność obrotu elektronicznego. Ta zaś odgrywa we współczesnej gospodarce rolę pierwszoplanową, biorąc pod uwagę, iż ok. 90% operacji finansowych dokonywanych jest przez internet.
Oczywiście, sytuacja zmienia się in plus także po stronie klienta – w początkach bankowości elektronicznej gros indywidualnych użytkowników posługiwało się pirackimi systemami operacyjnymi, a programy antywirusowe były rzadkością, dziś zdecydowana większość urządzeń korzysta z preinstalowanego, oryginalnego oprogramowania, zwiększyła się też świadomość klientów odnośnie systemów bezpieczeństwa. W dalszym ciągu jednak świadomość użytkownika decyduje o poziomie ochrony. Nieprzypadkowo do najbezpieczniejszych urządzeń należą służbowe laptopy pracowników instytucji finansowych, które podlegają wyśrubowanym rygorom ujętym w politykach bezpieczeństwa tych instytucji. Siłą polskiego sektora finansowego jest wreszcie naturalna skłonność do współdziałania na rzecz bezpieczeństwa.
Uczestnicy debaty wielokrotnie podkreślali, iż cyberodporność i ochrona konsumenta stanowią te obszary, w których konkurujące na co dzień ze sobą instytucje mówią jednym głosem. Zestandaryzowane wymogi w zakresie weryfikacji tożsamości i uprawnień dostępu do określonych funkcjonalności wpisywałyby się w ten schemat. Jak przekonywał Paweł Gula, również i w tym przypadku beneficjentem standaryzacji byłyby w szczególności lokalne instytucje finansowe, które muszą poświęcić znacznie więcej czasu i nakładów, żeby zabezpieczać się tak, jak ma to miejsce w korporacjach. Tymczasem w dobie coraz powszechniejszej pracy zdalnej i hybrydowej równie istotnym zadaniem jest zapewnienie bezpiecznego połączenia kilkuset czy nawet kilku tysięcy pracowników z bankiem.
W tym kontekście pojawia się oczywiście kwestia dopuszczalności instalacji określonych aplikacji na urządzeniu mobilnym, co jest już powszechną praktyką w przypadku sprzętu powierzonego przez pracodawcę. Przykładem może być niedawna decyzja amerykańskiej administracji publicznej odnośnie ograniczenia dostępu do aplikacji TikTok, z uwagi na podejrzenie wykradania danych przez chińskie służby. Pojawia się oczywiście pytanie, na ile takie ograniczenia, przewidziane w regulaminach usług bankowych, byłyby skuteczne w odniesieniu do klientów tych instytucji, posługujących się wszak swoimi prywatnymi urządzeniami. Jedną z możliwości, na którą wskazywali uczestnicy debaty, mogłaby być konwersja stacji rzeczywistych na wirtualne. W takim modelu sam pulpit byłby umieszczony w bankowej stacji roboczej, natomiast urządzenie końcowe pełniłoby wyłącznie funkcję konsoli.
Technika pomoże, ale świadomość konsumentów kluczowa dla ich bezpieczeństwa
Strategie banków w zakresie weryfikacji tożsamości i nadawania uprawnień użytkownikom będą ewoluować wraz z wdrażaniem chmury obliczeniowej. Zarządzanie uprawnieniami w środowisku cloudowym różni się wszak diametralnie od doświadczeń, zdobytych w modelu on premise. Dodatkowo w pierwszej fazie migracji do chmury trzeba będzie liczyć się z koegzystencją obu tych schematów, co dodatkowo utrudni działanie, choć z drugiej strony rozciągnięcie całego procesu w czasie może paradoksalnie ułatwić wdrażanie nowych rozwiązań. I nie chodzi tu wyłącznie o aspekt technologiczny, ponieważ równie istotne będzie wypracowanie właściwych procedur i procesów odnośnie zarządzania uprawnieniami uprzywilejowanymi czy biznesowymi.
Jak wskazywali dyskutanci, w przypadku praktycznie każdej instytucji finansowej mamy do czynienia z dziesiątkami, o ile nie setkami tysięcy różnych kont użytkowników, co w zderzeniu z coraz popularniejszą architekturą multicloud prowadzić może do skomplikowania procedury uwierzytelniania tego samego użytkownika w poszczególnych usługach. Jeśli jeszcze weźmiemy pod uwagę zróżnicowanie systemów stosowanych we współczesnych organizacjach, w tym mix rozwiązań bazujących na Windows i Linuxie, widać, jak złożone i doniosłe zadanie stoi przed branżą finansową. Rzecz w tym, że tradycyjna już zwinność polskich banków, która pozwalała nie tylko stawiać czoło wyzwaniom makroekonomicznym, ale i dynamicznie reagować na działania przestępcze, jest dziś wystawiana na próbę przez coraz bardziej restrykcyjne otoczenie regulacyjno-fiskalne. Rosnące obowiązki banków odnośnie ochrony klienta skłaniają choćby do postawienia pytania, na ile skutecznym mechanizmem zabezpieczającym byłoby wprowadzenie obligatoryjnych limitów transakcyjnych, które mogłyby być aktywnie zarządzane przez użytkownika za pośrednictwem aplikacji lub systemu bankowości elektronicznej.
Należy wszakże pamiętać, że takie rozwiązanie mogłoby nie uwzględniać sytuacji poszczególnych klientów, gdzie wyznaczony odgórnie limit w przypadku osoby uboższej miałby całkiem inną wartość realną niż dla zamożnego posiadacza konta. Dlatego uczestnicy panelu po raz kolejny podkreślali, że elementem koniecznym każdego modelu ochrony musi być budowanie świadomości klientów. Pewną zmianę paradygmatu mogą tu przynieść rozwiązania bazujące na sztucznej inteligencji, które znakomicie zwiększają możliwości tworzenia reguł i modeli zdarzeń, a w konsekwencji także wykrywania anomalii, zarówno w przypadku obsługi klientów, jak i monitorowania aktywności własnych administratorów.
Podobnie jak w przypadku wdrażania cloudu, tak i tu fundamentalną kwestią jest oczywiście integracja wszystkich działań, by możliwe było zarządzanie uprawnieniami z poziomu przysłowiowego jednego okienka. Pod tym względem największym wyzwaniem może się okazać dług technologiczny, który wymuszać będzie spory nakład pracy, by połączyć wszystkie zasoby, podczas gdy od strony proceduralnej banki wydają się być już gotowe na przyjęcie nowych reguł. Nie należy też patrzeć na automatyzację czy machine learning jako na panaceum, które pozwoli rozwiązać wszelkie problemy sektora, a już z pewnością nie stanie się tak bez uprzedniej współpracy banku z doświadczonym vendorem technologii.
Paul Franka
Regional Manager, Delinea:
Delinea w odpowiedzi na ryzyka, związane z potencjalną możliwością przejęcia tożsamości, traktuje wszystkich użytkowników jako użytkowników uprzywilejowanych z dynamiczną kontrolą dostępu dla administratorów, użytkowników biznesowych, kont usługowych i tożsamości maszyn. Oparte na zasadach „Zero Trust” oferowane przez nas rozwiązania umożliwiają to, aby każdy miał dostęp tylko do tego, czego potrzebuje do wykonywania swojej pracy, i tylko wtedy, gdy tego potrzebuje. Delinea umożliwia uwierzytelnionym i zweryfikowanym, chociażby z wykorzystaniem wieloskładnikowego uwierzytelnienia, użytkownikom płynne poruszanie się w różnych środowiskach, zarówno w on-premisowych, jak i chmurowych w oparciu o ich unikalne uprawnienia. Blokuje również dostęp do środowisk osobom bez wymaganych uprawnień.