Bezpieczeństwo cyfrowe banków i klientów

Bezpieczeństwo cyfrowe banków i klientów
Fot. B. Szafrański,
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
W ramach II edycji konferencji Future of Payments, 22 października '24 w Warszawie odbyła się debata pt. „Bezpieczeństwo cyfrowe banków i klientów – jak nie tylko identyfikować nowe wyzwania i zagrożenia, ale także jak je wyprzedzać?”

Debatę prowadził Paweł Minkina, wiceprezes zarządu Centrum Procesów Bankowych i Informacji, redaktor naczelny „Miesięcznika Finansowego BANK”, a uczestnikami byli: Małgorzata Domagała, dyrektorka ds. produktów i rozwiązań Mastercard na Polskę, Czechy i Słowację; Marcin Grabarczyk, dyrektor Pionu Transferu Technologii i Rozwoju Biznesu, NASK – Państwowy Instytut Badawczy; Agnieszka Szopa-Maziukiewicz, prezes zarządu Digital Fingerprints oraz dyrektor zarządzająca Obszarem IT w Grupie BIK i Krzysztof Szczepański, dyrektor Departamentu Bezpieczeństwa i Ryzyka w KIR.

Rozpoczynając debatę Paweł Minkina zwrócił uwagę, że w percepcji klientów cyberbezpieczeństwo jest wyróżnikiem sektora bankowego. Klienci oceniają, że polskie banki to liderzy w obszarze cyberbezpieczeństwa wśród branż, firm, administracji publicznej. 47% Polaków uważa banki za stabilne i cyberbezpieczne.

W niezwykle szybko zmieniającym się świecie, wśród wielu zagrożeń, coś co sprawdzało się nawet kilka tygodni temu – nie jest już aktualne. Czy zatem zapewnienie bezpieczeństwa jest procesem dynamicznym i czy wymaga stałego uzupełniania wiedzy oraz zmian w organizacji? – pytał Paweł Minkina.

Odpowiadając – Małgorzata Domagała podkreśliła, że w ostatnich latach obserwuje się coraz większą dynamikę zmian, jeśli chodzi o procesy dotyczące bezpieczeństwa. Mówiła np. o różnicy w ocenie ryzyka transakcji płatniczej dawniej i dziś.

Obecnie wykorzystuje się do oceny ryzyka transakcji w procesie związanym z cyberbezpieczeństwem generatywną sztuczną inteligencję (GenAI). Mastercard z użyciem AI analizuje dane transakcyjne, żeby wraz z 50 innymi parametrami ocenić czy dana transakcja powinna być jeszcze dodatkowo uwierzytelniona.

Czytaj także: Za nami druga edycja konferencji Future of Payments!

Innowacje i bezpieczeństwo

Odpowiadając na pytanie o praktyczne wyważenie wprowadzanych innowacji z obszarem bezpieczeństwa w sektorze bankowym i finansowym – Marcin Grabarczyk nawiązał do historii innowacji w bankowości np. rozwoju bankowości mobilnej.

Porównał dostarczenie innowacyjnych rozwiązań do podania leków pacjentowi. Jaką ich dawkę można jeszcze bezpiecznie podać, żeby nie narazić go na niebezpieczeństwo, a w przypadku innowacji – na cyberzagrożenia.

Jak się w praktyce okazało, wymogi bezpieczeństwa nie zahamowały pojawienia się innowacji w bankowości mobilnej, a pozostawały tylko w tle jej rozwoju. Jak stwierdził, taka jest już natura innowacji.

Mogą być dwa scenariusze związane z tworzeniem innowacji. W jednym zajmujemy się jakimś problemem, który dotyczy bezpieczeństwa i szukamy innowacji, które go rozwiążą.

Drugi dotyczy innowacji w ramach jakiegoś innego, poza bezpieczeństwem, procesu i staramy się tylko, żeby nie wchodził on w konflikt z bezpieczeństwem. Oba scenariusze są jak najbardziej realne i widać to podejście po produktach bankowych dostępnych na rynku.

Czytaj także: Prezeska Fundacji Polska Bezgotówkowa o najważniejszych trendach w płatnościach bezgotówkowych

Jakie są trendy i zagrożenia dotyczące naszego kraju np. wynikające z wojny w Ukrainie?

Jak stwierdziła Agnieszka Szopa-Maziukiewicz – geopolityka ma duże znaczenie i przekłada się na skalę incydentów oraz zagrożeń. Masowe przejście transakcji do świata cyfrowego już od początku pandemii wiele tu zmieniło.

Transakcji w świecie cyfrowym mamy coraz więcej i niestety również rośnie skala związanych z tym zagrożeń. NBP cyklicznie publikuje dane, z których wynika, że od 2020 r. liczba i wartość transakcji oszukańczych z roku na rok rośnie, czyli właśnie od początku pandemii.

Liczba wszystkich ataków w sektorze finansowym zwiększa się o około 50% rocznie. KNF podał statystyki, z których wynika, że obsłużonych przez CERT Polska incydentów w 2023 r. było 80 tysięcy. To jest dwa razy więcej niż w 2022 roku. Samych wykrytych domen fishingowych w 2023 roku było 30 tys. w porównaniu do 17 tys. w 2022 roku.

Według danych zebranych przez KNF transakcji oszukańczych w 2023 r. mieliśmy na łączną kwotę 400 mln zł. W ponad 90% przypadków incydentów obsłużonych przez CERT Polska były to ataki fishingowe, co oznacza, że człowiek jest najsłabszym elementem systemu bezpieczeństwa.

Przestępcy nie próbują już przełamywać zabezpieczeń instytucji, bo to dużo kosztuje, a kierują się na klienta, na użytkownika końcowego.

Próg wejścia do świata przestępczego też bardzo się obniża, poprzez możliwości związane z zastosowaniem nowych technologii. Dlatego konieczne jest wdrażanie mechanizmów uwierzytelniających klienta i jego transakcji w trakcie całej sesji bankowości elektronicznej lub mobilnej. Chodzi tu np. o sprawdzanie parametrów urządzenia, z którego korzysta i weryfikację behawioralną.

Jak stwierdził Krzysztof Szczepański, chronimy nasz biznes przed atakami, ale te ataki nadal się budują. Dlaczego? Bo są wykonalne.

Powinniśmy nie dopuszczać do sytuacji, w której taki atak jest wykonalny. Jak podkreślił – przestępców nie możemy namierzyć w Internecie, bo są w nim anonimowi. Dlatego bezpieczeństwo tkwi w technologii, organizacji i w ludziach. Należy nie tylko używać narzędzi, ale sprawdzać wszystko, co dostajemy i widzimy na ekranie.

Tak naprawdę nie należy ufać nawet bankowi, który się z nami kontaktuje, dopóki nie jesteśmy absolutnie pewni, że to jest bank i rozmawiamy z bankiem.

W trakcie dyskusji zwrócono uwagę na potrzebę wymiany informacji dotyczących bezpieczeństwa pomiędzy różnymi sektorami i dokonywanie jej w czasie rzeczywistym. Wspomniano o platformie BIK, w której uczestniczy już 40 podmiotów z sektorów takich jak: banki komercyjne, banki spółdzielcze, firmy leasingowe i faktoringowe, a po niedawnej zmianie prawa dołączyły do niej też firmy pożyczkowe.

Mówiono o zabezpieczeniach behawioralnych i współpracy banków w tym obszarze. Taki system zbiera informacje dotyczące sposobu korzystania z urządzeń, poprzez które klient łączy się z bankiem. Są to unikalne zachowania.

W przypadku klienta korzystającego z różnych banków, można zbudować jego profil i zabezpieczyć konto, w każdym banku, nawet w tym, w którym rzadko bankuje. Zbudowanie osobistego profilu klienta tylko na podstawie jego zdalnych kontaktów z odwiedzanym okazjonalnie bankiem byłoby utrudnione. Większość banków z TOP 10 używa rozwiązania firmy Digital Fingerprints z Grupy BIK.

Uczestnicy debaty zgodzili się, że dobra edukacja klientów w zakresie cyberbezpieczeństwa utrudni działalność cyberprzestępcom.

Wskazywali na konieczność dołączenia firm telekomunikacyjnych do systemu wymiany informacji o cyberzagrożeniach.

Czytaj także: Związek Banków Polskich z nagrodą za kampanię nt. cyberbezpieczeństwa

Źródło: BANK.pl