Bezpieczeństwo cyfrowe banków i klientów
Debatę prowadził Paweł Minkina, wiceprezes zarządu Centrum Procesów Bankowych i Informacji, redaktor naczelny „Miesięcznika Finansowego BANK”, a uczestnikami byli: Małgorzata Domagała, dyrektorka ds. produktów i rozwiązań Mastercard na Polskę, Czechy i Słowację; Marcin Grabarczyk, dyrektor Pionu Transferu Technologii i Rozwoju Biznesu, NASK – Państwowy Instytut Badawczy; Agnieszka Szopa-Maziukiewicz, prezes zarządu Digital Fingerprints oraz dyrektor zarządzająca Obszarem IT w Grupie BIK i Krzysztof Szczepański, dyrektor Departamentu Bezpieczeństwa i Ryzyka w KIR.
Rozpoczynając debatę Paweł Minkina zwrócił uwagę, że w percepcji klientów cyberbezpieczeństwo jest wyróżnikiem sektora bankowego. Klienci oceniają, że polskie banki to liderzy w obszarze cyberbezpieczeństwa wśród branż, firm, administracji publicznej. 47% Polaków uważa banki za stabilne i cyberbezpieczne.
W niezwykle szybko zmieniającym się świecie, wśród wielu zagrożeń, coś co sprawdzało się nawet kilka tygodni temu – nie jest już aktualne. Czy zatem zapewnienie bezpieczeństwa jest procesem dynamicznym i czy wymaga stałego uzupełniania wiedzy oraz zmian w organizacji? – pytał Paweł Minkina.
Odpowiadając – Małgorzata Domagała podkreśliła, że w ostatnich latach obserwuje się coraz większą dynamikę zmian, jeśli chodzi o procesy dotyczące bezpieczeństwa. Mówiła np. o różnicy w ocenie ryzyka transakcji płatniczej dawniej i dziś.
Obecnie wykorzystuje się do oceny ryzyka transakcji w procesie związanym z cyberbezpieczeństwem generatywną sztuczną inteligencję (GenAI). Mastercard z użyciem AI analizuje dane transakcyjne, żeby wraz z 50 innymi parametrami ocenić czy dana transakcja powinna być jeszcze dodatkowo uwierzytelniona.
Czytaj także: Za nami druga edycja konferencji Future of Payments!
Innowacje i bezpieczeństwo
Odpowiadając na pytanie o praktyczne wyważenie wprowadzanych innowacji z obszarem bezpieczeństwa w sektorze bankowym i finansowym – Marcin Grabarczyk nawiązał do historii innowacji w bankowości np. rozwoju bankowości mobilnej.
Porównał dostarczenie innowacyjnych rozwiązań do podania leków pacjentowi. Jaką ich dawkę można jeszcze bezpiecznie podać, żeby nie narazić go na niebezpieczeństwo, a w przypadku innowacji – na cyberzagrożenia.
Jak się w praktyce okazało, wymogi bezpieczeństwa nie zahamowały pojawienia się innowacji w bankowości mobilnej, a pozostawały tylko w tle jej rozwoju. Jak stwierdził, taka jest już natura innowacji.
Mogą być dwa scenariusze związane z tworzeniem innowacji. W jednym zajmujemy się jakimś problemem, który dotyczy bezpieczeństwa i szukamy innowacji, które go rozwiążą.
Drugi dotyczy innowacji w ramach jakiegoś innego, poza bezpieczeństwem, procesu i staramy się tylko, żeby nie wchodził on w konflikt z bezpieczeństwem. Oba scenariusze są jak najbardziej realne i widać to podejście po produktach bankowych dostępnych na rynku.
Czytaj także: Prezeska Fundacji Polska Bezgotówkowa o najważniejszych trendach w płatnościach bezgotówkowych
Jakie są trendy i zagrożenia dotyczące naszego kraju np. wynikające z wojny w Ukrainie?
Jak stwierdziła Agnieszka Szopa-Maziukiewicz – geopolityka ma duże znaczenie i przekłada się na skalę incydentów oraz zagrożeń. Masowe przejście transakcji do świata cyfrowego już od początku pandemii wiele tu zmieniło.
Transakcji w świecie cyfrowym mamy coraz więcej i niestety również rośnie skala związanych z tym zagrożeń. NBP cyklicznie publikuje dane, z których wynika, że od 2020 r. liczba i wartość transakcji oszukańczych z roku na rok rośnie, czyli właśnie od początku pandemii.
Liczba wszystkich ataków w sektorze finansowym zwiększa się o około 50% rocznie. KNF podał statystyki, z których wynika, że obsłużonych przez CERT Polska incydentów w 2023 r. było 80 tysięcy. To jest dwa razy więcej niż w 2022 roku. Samych wykrytych domen fishingowych w 2023 roku było 30 tys. w porównaniu do 17 tys. w 2022 roku.
Według danych zebranych przez KNF transakcji oszukańczych w 2023 r. mieliśmy na łączną kwotę 400 mln zł. W ponad 90% przypadków incydentów obsłużonych przez CERT Polska były to ataki fishingowe, co oznacza, że człowiek jest najsłabszym elementem systemu bezpieczeństwa.
Przestępcy nie próbują już przełamywać zabezpieczeń instytucji, bo to dużo kosztuje, a kierują się na klienta, na użytkownika końcowego.
Próg wejścia do świata przestępczego też bardzo się obniża, poprzez możliwości związane z zastosowaniem nowych technologii. Dlatego konieczne jest wdrażanie mechanizmów uwierzytelniających klienta i jego transakcji w trakcie całej sesji bankowości elektronicznej lub mobilnej. Chodzi tu np. o sprawdzanie parametrów urządzenia, z którego korzysta i weryfikację behawioralną.
Jak stwierdził Krzysztof Szczepański, chronimy nasz biznes przed atakami, ale te ataki nadal się budują. Dlaczego? Bo są wykonalne.
Powinniśmy nie dopuszczać do sytuacji, w której taki atak jest wykonalny. Jak podkreślił – przestępców nie możemy namierzyć w Internecie, bo są w nim anonimowi. Dlatego bezpieczeństwo tkwi w technologii, organizacji i w ludziach. Należy nie tylko używać narzędzi, ale sprawdzać wszystko, co dostajemy i widzimy na ekranie.
Tak naprawdę nie należy ufać nawet bankowi, który się z nami kontaktuje, dopóki nie jesteśmy absolutnie pewni, że to jest bank i rozmawiamy z bankiem.
W trakcie dyskusji zwrócono uwagę na potrzebę wymiany informacji dotyczących bezpieczeństwa pomiędzy różnymi sektorami i dokonywanie jej w czasie rzeczywistym. Wspomniano o platformie BIK, w której uczestniczy już 40 podmiotów z sektorów takich jak: banki komercyjne, banki spółdzielcze, firmy leasingowe i faktoringowe, a po niedawnej zmianie prawa dołączyły do niej też firmy pożyczkowe.
Mówiono o zabezpieczeniach behawioralnych i współpracy banków w tym obszarze. Taki system zbiera informacje dotyczące sposobu korzystania z urządzeń, poprzez które klient łączy się z bankiem. Są to unikalne zachowania.
W przypadku klienta korzystającego z różnych banków, można zbudować jego profil i zabezpieczyć konto, w każdym banku, nawet w tym, w którym rzadko bankuje. Zbudowanie osobistego profilu klienta tylko na podstawie jego zdalnych kontaktów z odwiedzanym okazjonalnie bankiem byłoby utrudnione. Większość banków z TOP 10 używa rozwiązania firmy Digital Fingerprints z Grupy BIK.
Uczestnicy debaty zgodzili się, że dobra edukacja klientów w zakresie cyberbezpieczeństwa utrudni działalność cyberprzestępcom.
Wskazywali na konieczność dołączenia firm telekomunikacyjnych do systemu wymiany informacji o cyberzagrożeniach.