Bankowość mobilna – bezpieczeństwo coraz bardziej ważne

Robert Lidke: Coraz więcej osób korzysta z tak zwanej bankowości mobilnej, czyli mówiąc wprost wykorzystuje smartfony do dokonywania różnego rodzaju operacji na swoich kontach bankowych. Jednocześnie rośnie liczba cyberataków na użytkowników bankowości mobilnej, co skłania banki do szukania nowych rozwiązań gwarantujących większy poziom bezpieczeństwa ich klientom. To są koszty, które stale rosną. Tak, więc czy rozwijanie bankowości mobilnej nadal się bankom opłaca?

Andrzej Banasiak: Zacznijmy od tego, że technologie, które pozwoliły na kontaktowanie się z bankiem za pomocą komputera czy smartfonu są atrakcyjne, bo redukują koszty, które ponosiliśmy do tej pory w bankowości tradycyjnej.  Każda samoobsługa w banku jest wartością dodaną, bo połowa kosztów banków to są koszty osobowe. Czyli zmniejszenie liczby pracowników, zmniejszenie liczby placówek dla bezpośredniej prostej obsługi klienta, szczególnie w obszarze obsługi transakcyjnej, przeniesienie tego do samoobsługi klientów istotnie redukuje koszty. I to jest wielka wartość dodana tworzona dzięki usługom elektronicznym. Równocześnie klienci cenią sobie samoobsługę, szczególnie w zakresie płatności, bo można to robić w domu oraz jest szybciej i taniej.

Samoobsługa przez klienta oznacza, że używa on albo komputera, albo smartfonu. Który z tych sposobów samoobsługi klienta jest dla banków bardziej kosztowny?

Banki oferując zdalny dostęp do kont klientów kierują się też ich wygodą i starają się zapewnić wszechstronność dostępu….

Ale wygoda kosztuje….

Rzeczywiście wygoda kosztuje. Są wyliczenia firmy doradczej Deloitte i symulacje firmy Oliver Wyman. Z tych opracowań wynika, że w przypadku usług elektronicznych gdzie pojawia się ryzyko związane z cyberbezpieczeństwem koszty instytucji, w tym banków,  szybko rosną.

Pierwsze koszty, które się pojawiają są związane z usunięciem ryzyka, drugie z dostosowaniem banku – poprawą oprogramowania, procesów, itp. Jednak przy pewnego rodzaju niekorzystnych zdarzeniach pojawiają się koszty, które uderzają w markę firmy, w jej reputację. Skutki tego mogą być odczuwane przez lata i mogą być bardzo dotkliwe.

Każdy kanał kontaktów banku z klientem wymaga pewnego oprzyrządowania po stronie banku. Bankowość internetowa związana ze zwykłym komputerem rozwijała się w Polsce przez ok. 20 lat, i w tym czasie zgromadzono wiele doświadczeń.

Tymczasem w przypadku bankowości mobilnej dopiero budujemy swoje doświadczenia. Wynika to z faktu, że smartfony pojawiły się stosunkowo niedawno. Oprogramowania smartfonów mają, więc siłą rzeczy, krótszą historię niż oprogramowania komputerów osobistych, które zaczęły powstawać już pod koniec lat 80-tych ubiegłego wieku.

W tej chwili najważniejszym zadaniem jest zbudowanie swojego rodzaju mapy ryzyka i zbudowania pewnej praktyki bezpieczeństwa dla urządzeń mobilnych.

Smartfon w odróżnieniu do komputera osobistego cały czas jest przy nas. Używamy go do wykonywania niezliczonych czynności. Mamy na nim wiele aplikacji, mamy geolokalizację, dostępy do różnych portali społecznościowych, dostęp do naszych kont bankowych, do kont w biurach maklerskich itd. I często ustanawiamy te same hasła dostępu do naszego konta i do naszego profilu w medium społecznościowym. Wobec tego rodzi się pytanie, jak zapewnić bezpieczeństwo klientowi, który posługuje się w swoim smartfonem w ten, a nie w inny sposób?

To jest pewien nowy świat, który musi być okiełznany.  Sukces smartfonów polega na tym, że rozwój tych urządzeń i rynku na którym funkcjonują nie podlegał istotnym ograniczeniom. O sukcesie urządzeń decyduje fakt, że są małe, można je łatwo obsługiwać jedną ręką, i można ich używać praktycznie do wszystkiego.

Ludzie używają tych urządzeń do kontaktów z portalami społecznościowymi, robią za ich pomocą zakupy, ściągają różne aplikacje. Pojawia się wymiar świata Internetu rzeczy, gdzie użytkownicy mogą poprzez smartfon sterować telewizorem, pralką, itp.

Powszechność użycia smartfonów, która jest ich atutem, z drugiej strony tworzy zagrożenia. Częstość używania urządzenia i komunikowanie się z licznymi społecznościami powoduje, że takie urządzenia są łatwym celem cyberprzestępców.

Ochronie klienta służy technika, służą pewne procedury. Urządzenia pochodzą od różnych firm, ale już części do smartfonów od kilku dostawców. Natomiast software opanowały w większości dwa systemy operacyjne Android i IOS. Fakt, że mamy miliony podobnych do siebie smartfonów i praktycznie dwa systemy operacyjne powoduje, że pewne niekorzystne wydarzenia mogą mieć charakter światowej epidemii, i mogą dotknąć nie jeden, ale wiele banków.

W związku z tym banki ponoszą coraz wyższe koszty chcąc zapewnić swoim klientom odpowiedni poziom bezpieczeństwa i jednocześnie rozwijają bankowość mobilną, bo tego oczekują od nich użytkownicy.

Atlantic Council zauważa, że koszty związane z rozwijaniem usług cyfrowych, w tym wykorzystujących urządzenia mobilne, będą systematycznie rosły w odniesieniu do korzyści uzyskiwanych z oferowania tych usług.

http://publications.atlanticcouncil.org/cyberrisks//

Im bardziej technologia mobilna jest powszechna, im bardziej jest otwarta na wszelkiego typu usługi i wszelkiego typu komunikację, tym bardziej koszty związane z utrzymaniem tych kanałów stają się znaczące. Z tego opracowania wynika, że w państwach rozwiniętych koszty zaczynają przewyższać korzyści, natomiast w takich krajach jak Polska po roku 2030, te koszty będą tak duże, że zaczną być porównywalne do osiąganych korzyści.

Czy to oznacza, że banki nie będą rozwijały bankowości mobilnej?

Obecne korzyści związane z odejściem od bankowości tradycyjnej są tak duże, że banki od bankowości mobilnej się nie odwrócą. Muszą jednak myśleć  o racjonalnym zarządzaniu kosztami, tak wewnątrz własnych instytucji jak również przez budowę bezpieczeństwa systemowego.

Rozumiem, że budowa bezpieczeństwa systemowego oznacza także ściślejszą współpracę sektora finansowego z telekomami, bo to one dostarczają infrastrukturę techniczną, dzięki której rozwija się między innymi bankowość mobilna?

Międzynarodowy Fundusz Walutowy twierdzi, że nie jest możliwe stworzenie optymalnego systemu bezpieczeństwa w cyberprzestrzeni, jeżeli każda instytucja finansowa będzie działała w pojedynkę. Pierwszą barierę, którą trzeba pokonać to jest bariera informacji.

To są informacje o kosztach ponoszonych przez instytucje finansowe na budowę systemów bezpieczeństwa i koszty ryzyka w zakresie cyberbezpieczeństwa. Każdy bank zna swoje koszty, ale luka informacyjna może odnosić się do braku możliwości pozycjonowania własnej instytucji na rynku.

Żeby działania były skuteczne i spójne potrzebne jest pewne spektrum wiedzy.

Banki są ze sobą silnie połączone systemami przepływu informacji i pieniędzy. Istnieją instytucje, które współpracują z bankami, np. w Polsce są to m.in. Krajowa Izba Rozliczeniowa, Biuro Informacji Kredytowej. Transakcje międzynarodowe są wykonywane przy wykorzystaniu SWIFT-u.

Wiele zdarzeń pokazuje, że zabezpieczany musi być cały system, a nie odrębnie fragmenty wspólnej infrastruktury oddzielnie w każdym banku. Dlatego podejście systemowe do problemu cyberbezpieczeństwa  jest tak istotne.

Konieczne jest też włączenie do tego podejścia systemowego instytucji i firm ważnych dla sektora bankowego, takich jak telekomy. Co leży również w interesie firm telekomunikacyjnych, bo wcześniej czy później mogą się pojawić sporne problemy prawne z klientami lub bankami. Klienci mają świadomość, że dostawcą szeregu usług dla niego jest nie tylko bank, ale i firma telekomunikacyjna. Dlaczego? Bo banki i telekomy łączy smartfon.

Można wydzielić 3 obszary. Jeden to jest aplikacja bankowa. I za to bank odpowiada. Bank może prowadzić działania edukacyjne, działania dobezpieczające klienta.

Drugi obszar to klient, który odpowiada za stan swojego urządzenia, jak jest zabezpieczone, w jakim stopniu jest zainfekowane, jak jest używane. Ale klient nie jest w tych kwestiach profesjonalistą.

I trzeci obszar, to firma profesjonalna, czyli firma telekomunikacyjna, która dostarcza swoje usługi bankom i ich klientom.

Te trzy obszary muszą ze sobą współpracować. Jeśli banki czy telekomy mają wiedzę o jakiś niepokojących zjawiskach czy o incydentach to powinny się nawzajem o tym informować.

Każdy uczestnik rynku widzi tylko pewien fragment rzeczywistości, ale nie wie, co się dzieje w całej przestrzeni. Jeśli bank jest duży i ma do czynienia z dużą liczbą klientów i dużą liczbą zdarzeń to jego wiedza jest większa. Ale jeżeli tę wiedzę poszerzy się o doświadczenia innych banków i do tego dołoży się telekomy, które mają wiedzę na temat urządzeń, pewnych połączeń, pewnych zdarzeń, zachowania pewnych numerów i ich użytkowników – wtedy obraz zaczyna być bardzo pełny.

Świat cyfrowy ma pewną cechę, której nie ma świat tradycyjnej bankowości. Jeśli dawnej zdarzył się napad na bank, to było to zdarzenie lokalne, które miało miejsce w jakimś oddziale banku, i miało charakter jednostkowy.

Natomiast przy bankowości elektronicznej i mobilnej wszystkie zdarzenia dzieją się bardzo szybko i w wielu miejscach jednocześnie. Dlatego jest potrzebne działanie systemowe, aby wymiana informacji był natychmiastowa i stała. To pozwoli budować rozwiązania o charakterze prewencyjnym, działające odstraszająco na potencjalnych przestępców. Jednocześnie taki prewencyjny system jest korzystny dla klienta, bo pozwala identyfikować szybko zagrożenia oraz weryfikować je.

I wreszcie, jeżeli zaistniało konkretne zdarzenie to system pozwala na natychmiastową lokalizację miejsca incydentu i identyfikację sprawcy.

Mówiliśmy o bankach, klientach i telekomach, ale jest jeszcze czwarty uczestnik globalnego rynku internetowego, tak wielkie korporacje jak Google i Facebook. Czy one też są ważne z punktu widzenia bezpieczeństwa klientów bankowości mobilnej?

Są to instytucje, które posiadają ogromną wiedzę o zachowaniach milionów ludzi. Należy z nimi rozmawiać, ale jakie będą tego skutki na globalnym i  krajowym rynku trudno jest powiedzieć.