Bezpieczeństwo instytucji finansowej: Bezpieczne narzędzie transakcji?

Krzysztof Radziwon, partner, Firma Doradcza KPMG
Paweł Skowroński, menedżer, Firma Doradcza KPMG
Michał Wiśniewski, Firma Doradcza KPMG

Rozwój sektora bankowości elektronicznej, oprócz ułatwień i nowych możliwości, jakie nam daje, stawia również nowe, poważne wyzwania. Jednym z tego rodzaju zagrożeń jest tzw. kradzież tożsamości. Procederem tym określamy bezprawne działania, w wyniku których internetowy złodziej wchodzi w posiadanie danych pozwalających mu na podszycie się pod inną osobę. Złodziej może np. włamać się do naszego komputer i ukraść numery kart kredytowych lub nazwę użytkownika oraz hasło do konta internetowego banku. Na kradzież tożsamości podatne są usługi realizowane przy wykorzystaniu publicznych sieci komputerowych.

Wydawać by się mogło, że jeżeli elementy systemu transakcyjnego (terminal dla użytkownika, łącze pomiędzy terminalem i systemem bankowym itd.) umieścimy w dobrze chronionej wydzielonej sieci, przez którą realizowane mogą być tylko transakcje bankowe, to typowe problemy nękające użytkowników bankowości elektronicznej znikną jak za dotknięciem czarodziejskiej różdżki. W pewnym sensie tak jest. Typowym przykładem systemu bankowego działającego poprzez bezpośrednie dedykowane łącze danych jest powszechnie znany od wielu lat bankomat. Wbrew potocznym opiniom przedstawianym w prasie, bankomaty są bardzo bezpiecznym środkiem przeprowadzania transakcji bankowych. Za każdym razem, kiedy chcemy pobrać gotówkę z bankomatu, maszyna łączy się z systemem transakcyjnym w trybie on-line, weryfikuje naszą kartę płatniczą, sprawdza także, czy nasza karta nie jest na liście kart zastrzeżonych lub zablokowanych i dopiero po serii procedur bezpieczeństwa przeprowadza transakcję i pozwala nam pobrać banknoty. Nie bez znaczenia jest także fakt, że przestępcy próbujący wykorzystać słabości bankomatów, koncentrują się na tzw. atakach fizycznych na tego rodzaju urządzenia. Przymocowują do terminali specjalne nakładki, które zapisują informacje z karty użytkownika. Te ataki dają większą szansę na powodzenie niż próba przełamania logicznych systemów bezpieczeństwa zaimplementowanych w bankomatach.

Karta z mikroprocesorem – nową nadzieją?

Wydawać by się mogło, że wszelkie aspekty związane z korzystaniem z kart płatniczych (debetowych, kredytowych czy obciążeniowych) podlegają restrykcyjnym rygorom bezpieczeństwa, które są stawiane przez podmioty współuczestniczące w obrocie plastikową gotówką, tj. producentów kart płatniczych, producentów terminali płatniczych, banki czy lobby sprzedawców. Sytuacja do tej pory wydawała się być klarowna. Rynek kart jest podzielony na dwa obszary: karty płatnicze z paskiem magnetycznym oraz karty mikroprocesorowe (tzw. karty EMV). W przypadku tych pierwszych informacje na temat właściciela karty są zapisane na pasku magnetycznym. Proces weryfikacji tożsamości użytkownika karty polega często na złożeniu podpisu przez właściciela na wydrukowanym paragonie (oczywiście możliwa jest także weryfikacja poprzez PIN). Jednak rozwiązanie z użyciem podpisu nigdy nie należało do najbezpieczniejszych. Przez wiele lat, od kiedy karty płatnicze rozpowszechniły się na polskim rynku, niewielki procent transakcji z ich użyciem ...