Bankowość i finanse | TECHNOLOGIE – DEBATA REDAKCYJNA | Cyberbezpieczeństwo – kosztowna konieczność czy lokomotywa postępu?
Wojciech Ciesielski
MAJOR ACCOUNTS MANAGER W FORTINET
Jolanta Malak
DYREKTOR POLSKIEGO ODDZIAŁU FORTINET
Paweł Minkina
REDAKTOR NACZELNY, „MIESIĘCZNIK FINANSOWY BANK”
Karol Mórawski
REDAKTOR PROWADZĄCY, „MIESIĘCZNIK FINANSOWY BANK”
Marcin Schubert
DYREKTOR DEPARTAMENTU TECHNOLOGII CYBERBEZPIECZEŃSTWA
W SANTANDER BANKU POLSKA
Krzysztof Spirzewski
DYREKTOR ZARZĄDZAJĄCY DEPARTAMENTEM BANKOWOŚCI
KORESPONDENCYJNEJ W POLSKIM ODDZIALE BANKU SOCIETE GENERALE
Krzysztof Szczepański
DYREKTOR DEPARTAMENTU BEZPIECZEŃSTWA I RYZYKA
W KRAJOWEJ IZBIE ROZLICZENIOWEJ SA
Jakub Teska
DYREKTOR BIURA ARCHITEKTURY I USŁUG CYBERBEZPIECZEŃSTWA
W PKO BANKU POLSKIM
Maciej Waliszek
DYREKTOR DEPARTAMENTU BEZPIECZEŃSTWA W BANKU POLSKIEJ
SPÓŁDZIELCZOŚCI SA
Pandemia COVID-19 przyspieszyła wykorzystanie kanałów elektronicznych, tak w relacjach pomiędzy dostawcami usług a ich klientami, jak i w samym funkcjonowaniu organizacji. Większość użytkowników, preferujących tradycyjną obsługę stacjonarną, doceniła wygodę, jaką zapewnia bankowość elektroniczna czy mobilna, podobnie wśród samych bankowców nie brakuje tych, którzy deklarują chęć kontynuowania pracy online. Wszystkie te trwałe zmiany generują nowe wyzwania odnośnie zapewnienia bezpieczeństwa zarówno samym podmiotom sektora finansowego, jak i ich klientom. Na taką potrzebę wskazują chociażby wyniki badania „Accelerating Transformation Through Cybersecurity in Financial Services”, przeprowadzonego w 2021 r. przez IDC na zlecenie Fortinet wśród instytucji europejskich. Respondenci wskazali trzy strategiczne obszary dla zachowania konkurencyjności w sektorze finansowym. Należy do nich przede wszystkim zaufanie i bezpieczeństwo cyfrowe (48% wskazań), dostępność i niezawodność infrastruktury cyfrowej (42%) oraz ciągłość operacji biznesowych (35%).
Jakie działania będą podejmować instytucje finansowe w obszarze cyberbezpieczeństwa, żeby utrzymać konkurencyjność na dynamicznie zmieniającym się rynku? Czy należy traktować je jako niezbędną, acz problematyczną konieczność, czy też może ono stać się szansą dla realizacji nowych strategii biznesowych banków? Na ile regulacje i regulatorzy wspierają sektor w budowie skutecznie funkcjonującej architektury bezpieczeństwa? Wyzwaniom tym poświęcona była debata ekspercka „Miesięcznika Finansowego BANK”, odbywająca się w ramach konferencji Horyzonty Bankowości 2022, pod hasłem „Cyberbezpieczeństwo motorem transformacji cyfrowej w sektorze finansowym”. Panel moderowali Paweł Minkina, redaktor naczelny czasopisma, oraz Karol Mórawski, jego redaktor prowadzący. Partnerem debaty była firma Fortinet, którą reprezentowali Wojciech Ciesielski, Major Accounts Manager oraz Jolanta Malak, dyrektor polskiego oddziału.
Wspólny interes całego sektora
Kluczową sprawą dla wizerunku banku jest zaufanie, zaś jego naruszenie mogłoby fatalnie odbić się na reputacji organizacji. Chcąc zachować konkurencyjność w obliczu cyfrowej transformacji, instytucje finansowe podejmują dwojakiego rodzaju działania w sferze cyberbezpieczeństwa, zauważył Krzysztof Spirzewski. Do pierwszej grupy zaliczył zwiększanie poziomu ochrony zasobów banku, by były one skutecznie zabezpieczone przed wyrafinowanymi technikami cybergangów. Strona aktywna to wzajemne mobilizowanie się instytucji finansowych, by, wprowadzając innowacyjne usługi, nie pozostały w tyle za konkurencją. Przedstawiciel Societe Generale przypomniał, jak na przestrzeni ostatnich dekad ewoluowało postrzeganie banku, od oddziału do aplikacji mobilnej, dodając, iż aby zapewnić bezpieczeństwo, należy podążać za rozwojem możliwości technologicznych, niezależnie od kanału świadczenia usług. Również Maciej Waliszek zwrócił uwagę, że sektor bankowy jest motorem rozwoju niejako sam dla siebie – innowacje wdrażane przez jeden z podmiotów szybko stają się standardem na całym polskim rynku finansowym. W przypadku banków lokalnych punkt zwrotny stanowi zdalne otwieranie rachunków i wideoweryfikacji klienta, co jest konsekwencją pocovidowej zmiany preferencji konsumentów odnośnie kanałów obsługi.
Ciekawe spojrzenie spoza ścisłego sektora bankowego zaprezentował Krzysztof Szczepański. Podkreślił, że konkurencyjność w branży zdeterminowana jest tym, co klient chce osiągnąć w relacji z bankiem. Z reguły celem jest zdeponowanie środków lub uzyskanie kredytu, i w obu tych obszarach można konkurować jedynie poprzez oferowanie dodatkowych udogodnień. Coraz powszechniejsze jest wychodzenie poza core business, żeby wspomnieć dystrybucję ubezpieczeń czy innych produktów niefinansowych. Przedstawiciel KIR podkreślił, że nie wyobraża sobie rywalizacji banków w zakresie cyberbezpieczeństwa. – Doszłoby wówczas do zachwiania równowagi, dzięki której społeczeństwo ufa całemu sektorowi. Jeżeli któryś z banków by to zaufanie podważył, klienci mogliby uznać, że banki w Polsce generalnie mają z tym problem – dodał. Wspomniał także, iż współpraca w zakresie cyberbezpieczeństwa jest odseparowana od perspektywy ryzyka finansowego czy wizerunkowego, a informując się nawzajem o zidentyfikowanych zagrożeniach, banki troszczą się, żeby inni byli w stanie zareagować na podobne problemy.
Świeży przykład współpracy sektorowej przywołał Krzysztof Spirzewski. 7 czerwca br. przedstawiciele Związku Banków Polskich, Narodowego Banku Polskiego i Krajowej Izby Rozliczeniowej podjęli, zgodnie z sugestiami organu nadzorczego, decyzję o uruchomieniu projektu ELIXIR ISO 20022. Z kolei przedstawiciel KIR zwrócił uwagę, że jednym z kluczowych wyzwań w obecnym świecie jest obsługa dużej ilości danych z dochowaniem standardów bezpieczeństwa. Stąd szczególna rola izby rozliczeniowej, która pod względem stricte technologiczny, musi być partnerem sektora i zapewnić nowoczesny model rozliczeń. – Okazuje się, że regulacyjnie warto mieć podmiot, który takie rozliczenia prowadzi, sprawuje nadzór i może ewentualnie reagować w momencie, kiedy są prowadzone działania niezgodne z prawem – deklarował Krzysztof Szczepański. Także przedstawiciel Fortinet podkreślał szczególne znaczenie sektorowej wymiany danych pomiędzy instytucjami finansowymi, zwłaszcza w czasach, gdy instytucje te muszą przejmować część odpowiedzialności za działania swoich klientów. – Użytkownik usług finansowych chętnie korzysta z nowości, to jest duża wygoda. Równocześnie chciałby, żeby to było bezpieczne – stwierdził Wojciech Ciesielski.
Za większość fraudów odpowiada socjotechnika
Instytucje finansowe dysponują olbrzymimi zasobami danych, Jakub Teska sugerował, że dzięki nim banki są w stanie dostrzec nadchodzące zmiany na rynku wcześniej niż urzędy statystyczne – niemniej może to nie wystarczyć do skutecznej ochrony współczesnego konsumenta. – Ludzie cały czas są niedoedukowani. W związku z tym te wysublimowane techniki na razie nie mają zastosowania, bo socjotechniki są prostym obejściem wszystkich tych zabezpieczeń, które w tej chwili mamy – stwierdziła Jolanta Malak. Również przedstawiciel PKO Banku Polskiego zaznaczył, że zdecydowana większość ataków wykorzystuje socjotechnikę. – Dochodzimy do pewnej granicy, kiedy klient sam oddaje pieniądze przestępcom. Trudno cokolwiek zrobić w takiej sytuacji – stwierdził Jakub Teska.
Wobec niewyedukowanego lub niefrasobliwego klienta nawet zaawansowane systemy autentykacji mogą okazać się mało skuteczne. Krzysztof Szczepański wspomniał o przypadkach, kiedy uważany za bezpieczny certyfikat kwalifikowany bywa udostępniany przez posiadacza osobom trzecim, zazwyczaj rodzinie lub znajomym. Jest to oczywiście niezgodne z regulaminem takiej usługi i mogłoby stanowić przesłankę do unieważnienia certyfikatu. Problem w tym, że bank najczęściej dysponuje tylko poważnymi podejrzeniami, iż do takiej sytuacji doszło. Ich potwierdzenie jest niezmiernie trudne, a na przyznanie się samego winowajcy nie sposób liczyć. Ten sam mechanizm spotykany jest w przypadku tzw. słupów, którzy z własnej woli udostępniają swe dane osobowe do celów przestępczych i konsekwentnie deklarują, że wszystkie operacje wykonują samodzielnie. W tym kontekście przedstawiciel PKO Banku Polskiego wspomniał o biometrii behawioralnej, jako skuteczniejszym sposobie, umożliwiającym podczas całej sesji monitorowanie zachowania klienta, wykrywanie anomalii i skuteczne na nie reagowanie.
Krzysztof Szczepański sugerował z kolei współdzielenie bankowych danych o kliencie. W takim modelu informacje byłyby gromadzone na serwerze zewnętrznego dostawcy i zaciągane na potrzeby sprzedaży lub obsługi konkretnego produktu. Zwrócił uwagę, że jeśli dana osoba dysponuje rachunkiem bankowym u kilku dostawców, wówczas każdy z nich musi przechowywać i przetwarzać zbliżony zasób informacji, podczas gdy mogłyby one być tylko w jednej lokalizacji. Taki model mógłby jednak spotkać się ze sprzeciwem nadzorcy. Dodatkowym problemem są trendy regulacyjne, idące w kierunku sukcesywnego zdejmowania odpowiedzialności z konsumenta i przenoszenia jej na dostawcę usługi finansowej. Reprezentant KIR wspomniał w tym kontekście o przepisach odnośnie uznawania reklamacji w przypadku nieautoryzowanej operacji płatniczej. Do tej kwestii odniósł się Krzysztof Spirzewski, przypominając, iż ruch ten miał na celu upowszechnienie elektronicznych instrumentów płatniczych, które jeszcze przed dekadą były rzadko używane. Przedstawiciel Societe Generale dodał również, że dziś, w obliczu masowego korzystania z kart i płatności mobilnych, być może należałoby zrewidować politykę regulacyjną w tej dziedzinie. Problemem są również podatności technologii stosowanych w innych segmentach rynku. Krzysztof Szczepański zwrócił uwagę na problem spoofingu. Powstał on wskutek łatwej możliwości podszycia się pod instytucję finansową, czego odbierający połączenie nie jest w stanie zweryfikować. Maciej Waliszek zadeklarował, że banki zgłosiły operatorom telekomunikacyjnym potrzebę pilnego rozwiązania problemu.
Dobra logistyka to podstawa
Dyskusja na temat przyszłości bankowej architektury bezpieczeństwa jest tym trudniejsza, że w obliczu tak szybkich przemian nie do końca wiemy, w jakim kierunku zmierza ewolucja usług finansowych. Marcin Schubert sugerował wręcz, że bankowość stanie się elementem globalnych, wielofunkcyjnych platform finansowo-usługowych, budujących user experience. W tym kontekście cyberbezpieczeństwo będzie dostosowaniem się do potrzeby zaufania klienta. – Tak naprawdę nie sprzedajemy kredytów ani innych produktów bankowych, tylko zaufanie – dodał przedstawiciel Santander Banku Polska. Według Krzysztofa Szczepańskiego może dojść do sytuacji, kiedy banki zaczną odpowiadać na zapotrzebowanie klienta w systemie aukcyjnym. Jakub Teska i Maciej Waliszek zauważyli, że w takim futurystycznym środowisku kwestia bezpieczeństwa nie będzie czynnikiem decydującym dla klientów, głównie z uwagi na komodytyzację całej branży. – Wszędzie będzie bezpiecznie – stwierdził reprezentant BPS.
Również i po ciemnej stronie mocy postępuje specjalizacja. Cyberprzestępczość stała się jednym z najbardziej lukratywnych segmentów działalności kryminalnej, mamy do czynienia z wysoką specjalizacją w tej dziedzinie, funkcjonują usługi typu crime as a service – zauważył Jakub Teska. Równolegle do wyrafinowanych technik stosowanych przez cybergangi w dalszym ciągu olbrzymią popularnością cieszą się wciąż proste mechanizmy phishingowe, gdyż – jak wspomniał Wojciech Ciesielski – przynoszą one satysfakcjonujący rezultat przy relatywnie niskich nakładach, a do tego działalność kryminalna w internecie jest obarczona mniejszym ryzykiem wykrycia niż kradzieże czy oszustwa w świecie realnym, aczkolwiek organy ścigania też działają coraz sprawniej. Oczywiście, sprawcy inwestują w zaawansowane rozwiązania choćby z obszaru sztucznej inteligencji (AI), ale obecnie nakłady na te technologie są wysokie, a uzyskiwane korzyści są mniejsze niż dla niezaawansowanych metod ataku, zaznaczył przedstawiciel Fortinet.
Marcin Schubert zwrócił uwagę na nieco inny problem niż zwykłe wyłudzenia, a mianowicie na profesjonalizację działań przestępców, w tym bardzo popularnych i wielowektorowych ataków DDoS, które w ostatnim czasie stały się praktycznie codziennością. W ich kontekście szczególnego znaczenia nabiera umiejętność trafnego zarządzania ryzykiem np. wywoływania sterowanej paniki wśród klientów. Krzysztof Spirzewski zwrócił uwagę, iż nastroje takie mogą być rozniecane przez oszustów, którzy następnie będą podsyłać spanikowanym klientom danej instytucji finansowej sfingowane strony do logowania. Jak reagować wobec takiej kreatywności środowisk kryminalnych? – Kiedy pojawia się czarny łabędź, kluczowa jest dobra logistyka – te słowa byłego dowódcy Jednostki Wojskowej GROM, gen. Romana Polko, przywołał Marcin Schubert, jako potwierdzenie tej tezy wskazując skuteczny opór ukraińskiej armii w starciu z liczebnie silniejszym wrogiem. Krzysztof Szczepański przestrzegł przed zbytnim upraszczaniem postrzegania zagrożeń, wskazując, że problem leży nie tylko po stronie użytkowników. – Rzecz w tym, żeby w pogoni za bezpieczeństwem klienta nie zapomnieć o tym, że musimy chronić własne wewnętrzne zasoby – zaznaczył ekspert KIR.
Czy bank może być atrakcyjnym pracodawcą?
Aby budować odporność instytucji na cyberataki, trzeba dysponować kadrą doskonale wykwalifikowanych specjalistów z obszaru cyberbezpieczeństwa. Rzecz w tym, że banki generalnie przegrywają wojnę o talenty informatyczne. Zwracali na to uwagę eksperci Europejskiego Kongresu Finansowego rok temu, również i w tegorocznych rekomendacjach odnotowano problem z pozyskiwaniem talentów, także tych z obszaru zabezpieczeń. Pojawia się pytanie, jak instytucje finansowe mogą odwrócić ten trend, zwłaszcza biorąc pod uwagę gruntowne zmiany na rynku pracy po pandemii, wskutek których polski informatyk może być zatrudniony zdalnie przez dowolną, globalną korporację. – Pieniądze to nie wszystko – podkreślił Krzysztof Spirzewski, wskazując na istotną rolę takich kwestii, jak odpowiednia atmosfera pracy czy możliwość wykonywania obowiązków online. W tym kontekście wyzwaniem pozostaje jednak kwestia zapewnienia pracy zdalnej dla informatyków.
Jolanta Malak zwróciła uwagę, iż nie każdy specjalista dysponuje taką możliwością, z kolei zdaniem Jakuba Teski, praca nad projektami w modelu hybrydowym bywa znacznie bardziej efektywna, choćby z uwagi na możliwość wymiany doświadczeń na bieżąco. Innym argumentem za wyborem banku jako pracodawcy może być stabilność zatrudnienia, która w obecnych czasach odgrywa istotniejszą rolę aniżeli prestiż – przekonywał Marcin Schubert. Przedstawiciel Fortinet przyszłość postrzega w automatyzacji prostych, powtarzalnych procesów, dzięki czemu bankowcy, w tym osoby z pionów IT, będą mogły poświęcić się bardziej ambitnym zadaniom. To zaś ma olbrzymie znaczenie dla współczesnej generacji wchodzącej na rynek pracy, ceniącej ciekawe wyzwania w nie mniejszym stopniu niż odpowiednie honoraria. Sztuczna inteligencja, poza wykrywaniem aktywnych ataków i udzielaniem szybkiej, automatycznej odpowiedzi na nie, pozwala też patrzeć na organizację z zewnątrz pod kątem wyszukiwania oznak przygotowań przestępców do przeprowadzenia ataku, stając się skuteczną barierą wobec zaawansowanych działań cyberprzestępczych i wypełniając w pewnym stopniu niedobory kadrowe, zaznaczył Wojciech Ciesielski. Jolanta Malak dodała, iż deficyt ekspertów od cyberbezpieczeństwa stanowi problem nie tylko w sektorze finansowym – ostatnie badanie przeprowadzone przez Fortinet wykazało, że 60% organizacji ma problemy z rekrutacją osób w dziedzinie bezpieczeństwa cybernetycznego, a 52% z utrzymaniem ich w firmie. – To efekt tego, jak silnie cyberbezpieczeństwo wkracza w świat technologii i jak niezbędne jest oferowanie jakiejkolwiek usługi na rynku – dodała przedstawicielka Fortinet.
Alternatywą może być też korzystanie z rozwiązań typu bezpieczeństwo jako usługa, jednak opcja ta niesie ze sobą pewne ryzyko, zwłaszcza dla mniejszych instytucji finansowych. Krzysztof Szczepański przestrzegł, iż zarządca zewnętrznych źródeł wiedzy o zagrożeniach może nie być zainteresowany nieograniczoną wymianą informacji pomiędzy poszczególnymi uczestnikami rynku finansowego, z uwagi na fakt, że w ten sposób usługa kierowana do poszczególnych podmiotów przestaje być atrakcyjna. Mniejsze podmioty mogą nie dysponować odpowiednimi środkami, by wykupić tego rodzaju usługę dedykowaną. – Taki scenariusz nie musi się zmaterializować, ponieważ dostawcy rozwiązań i usług bezpieczeństwa wymieniają się pomiędzy sobą oraz z wieloma instytucjami wiedzą o wykrytych podatnościach i atakach, a zarabiają nie tyle na posiadanych informacjach, ile na sposobie implementacji efektywnej ochrony przed znanymi i nieznanymi zagrożeniami. Przykładem takiego działania jest organizacja Cyber Threat Alliance, skupiająca wielu czołowych dostawców rozwiązań i usług bezpieczeństwa, której Fortinet jest współzałożycielem – stwierdził Wojciech Ciesielski.
Niezależnie od prawno-regulacyjnych możliwości wykorzystania zewnętrznych usług bezpieczeństwa, bank nie może rezygnować z własnych specjalistów, nieocenionych w sytuacjach kryzysowych. Przedstawiciel PKO Banku Polskiego przywołał całkiem realny scenariusz, kiedy wskutek poważniejszego incydentu wiele instytucji zwraca się do jednego, wyspecjalizowanego outsourcera, powodując opóźnienia w możliwości reagowania. Jedno wydaje się pewne, przyszłością cyberbezpieczeństwa branży finansowej będzie połączenie zasobów własnych i wykwalifikowanych outsoturcerów. Podział ról pomiędzy te dwa obszary będzie decydować o poziomie zabezpieczenia samego banku, jak i ochrony klientów, te zaś czynniki przełożą się na zaufanie, tak kluczowe dla bankowości.
1. „Accelerating Transformation Through Cybersecurity in Financial Services”, IDC December 2021
2. „Fortinet Global Research Report 2022 Cybersecurity Skills Gap”, April 2022
