Cyberprzestępcy wzięli na celownik sektor MŚP
– Duży zwrot z przestępczej inwestycji coraz częściej osiągany jest poprzez ataki ukierunkowane na MŚP z uwagi na relatywnie większy wolumen dokonywanych transakcji w porównaniu z klientami indywidualnymi, brak świadomości na temat zagrożeń, a także brak spójnego podejścia do ochrony na poziomie całej organizacji. – wyjaśnia Marcin Ludwiszewski, dyrektor, Lider obszaru cyberbezpieczeństwa Deloitte w Polsce.
Według Związku Banków Polskich w IV kwartale 2015 roku liczba aktywnych klientów indywidualnych bankowości internetowej w Polsce przekroczyła 14,5 mln osób. W przypadku sektora małych i średnich przedsiębiorstw aktywnych klientów jest 1,3 mln. Średnia wartość transakcji dokonywanych przez nich za pośrednictwem bankowości internetowej wynosi już około 85 tys. zł miesięcznie, podczas gdy w przypadku klientów indywidualnych jest to nieco ponad 6 tys. zł.
Z analizy ekspertów Deloitte wynika, że obecnie banki udostępniają średnio osiem kanałów umożliwiających dokonywanie transakcji (m.in. w oddziale, przez telefon, komputer czy aplikację mobilną na smartfonie i tablecie) przy dziesięciu dostępnych metodach autoryzacji. Są to m.in.: kody SMS, podpis elektroniczny, tokeny sprzętowe, tokeny programowe, kody jednorazowe, kody PIN, pytania kontrolne czy parametry biometryczne.
– W związku z wieloma kanałami dostępu i metodami autoryzacji istnieje kilkadziesiąt ścieżek, które stwarzają cyberprzestępcom możliwość ataku. Kierunki rozwoju zabezpieczeń takie jak biometryczne rozpoznawanie głosu czy odcisków palców daje nadzieję na skuteczniejszą walkę z cyberprzestępcami, ale nie należy się łudzić, że zagrożeń w cyfrowej rzeczywistości uda się uniknąć w stu procentach. Ryzyko istnieje dla wszystkich, ale najbardziej zagrożone są małe i średnie firmy z uwagi na wolumen transakcji finansowych oraz brak spójnego podejścia do strategii bezpieczeństwa i świadomości na temat zagrożeń. Warto pamiętać, że bezpieczeństwo transakcji zależy od wszystkich uczestników procesu, w związku z tym odpowiedzialność spoczywa na banku, użytkowniku indywidualnym, a także dostawcy usług telekomunikacyjnych – podsumowuje mówi Marcin Ludwiszewski.
Rekomendacje Deloitte dla banków
Prewencja
1. Uświadamiaj zagrożenia klientom, pracownikom i dostawcom.
2. Zadbaj o bezpieczeństwo całego cyklu życia oprogramowania.
3. Testuj aplikacje pod kątem bezpieczeństwa i efektywnie zarządzaj zidentyfikowanymi podatnościami.
4. Weryfikuj swoich dostawców usług i ich produkty pod kątem bezpieczeństwa.
5. Wprowadź środki bezpieczeństwa do wykrywania nadużyć w obszarze bankowości elektronicznej.
6. Dziel się informacjami o zagrożeniach ze swoimi partnerami z sektora bankowego.
Wykrywanie i reagowanie
1. Zbieraj i analizuj dane o zagrożeniach, aby móc się chronić, wykrywać oraz sprawnie odpowiadać na zagrożenia.
2. Monitoruj zagrożenia i transakcje bankowe pod kątem wpływu na klientów.
3. Pomagaj klientom reagować na zagrożenia.
Marcin Złoch