Forum Bankowe 2018. Cybersafe to wspólna sprawa
Symbolicznym wyróżnieniem dla pionierów polskiej e-bankowości jest przyznawana od pięciu lat Nagroda im. prof. Remigiusza Kaszubskiego. Ustanowiono ją ku czci zmarłego tragicznie w roku 2012 współtwórcy wielu rozwiązań stosowanych do dziś w rodzimej bankowości internetowej. Nagrodę podczas tegorocznego Forum Bankowego wręczyli prezes ZBP Krzysztof Pietraszkiewicz, wiceprezes ZBP Włodzimierz Kiciński oraz prezes Fundacji „Polska Bezgotówkowa” dr Mieczysław Groszek. Laureatem został Robert Trętowski, wiceprezes Krajowej Izby Rozliczeniowej. Wyróżniono go za inicjowanie innowacyjnych procesów i rozwiązań sektorowych dla sektora bankowego oraz publicznego, ze szczególnym uwzględnieniem takich projektów, jak Polish API czy wdrażanie split payment.
Czytaj także: Forum Bankowe 2018. Rewolucja technologiczna zmienia modele biznesowe banków >>>
– Traktuję tę nagrodę jako uhonorowanie całego polskiego sektora bankowego – powiedział laureat. Przypomniał, iż na co dzień konkurujące ze sobą banki potrafią w wielu obszarach porzucić rywalizację na rzecz efektywnej współpracy, pozwalającej na realizację projektów o charakterze infrastrukturalnym. Ważnym partnerem w tego rodzaju działalności są również dostawcy rozwiązań IT. – Bez firm technologicznych nasze projekty by się nie udały. Chciałbym podkreślić, że od pewnego czasu przestaliśmy kształtować nasze relacje na zasadach dostawca/odbiorca i funkcjonujemy jak partnerzy – tak scharakteryzował współpracę między obydwoma branżami. Robert Trętowski wspomniał także prof. Remigiusza Kaszubskiego. – Był on dla nas motywatorem i inspiracją. Profesor nigdy nie dzielił, zawsze łączył, prowadzone przez niego rozmowy merytoryczne zawsze kończyły się wypracowaniem odpowiedniego rozwiązania – zauważył wiceprezes KIR.
Oprócz nagrody głównej w tym roku przyznano również dwa wyróżnienia, otrzymali je: Andrzej Kawiński, członek prezydium Forum Technologii Bankowych reprezentujący firmę Giesecke & Devrient oraz dr Marcin Kotarba, wykładowca Politechniki Warszawskiej i przedstawiciel Deutsche Banku Polska.
Nowe technologie to nowe możliwości
Nowoczesne technologie oznaczają nowe możliwości nie tylko dla samych banków i ich klientów. Również i cyberprzestępcy dysponują dziś kapitałem ludzkim oraz możliwościami technologicznymi pozwalającymi wykorzystać dosłownie każdą słabość systemów IT. O tym, w jaki sposób zapobiegać hakerskim atakom w obecnych uwarunkowaniach regulacyjnych dyskutowano podczas finałowej sesji forum, prowadzonej przez prezesa ZBP Krzysztofa Pietraszkiewicza. W debacie udział wzięli: Rafał Bednarek, wiceprezes zarządu Biura Informacji Kredytowej; Piotr Durbajło z Instytutu Systemów Informatycznych Wojskowej Akademii Technicznej; prof. dr hab. Mirosław Kutyłowski z Politechniki Wrocławskiej, Adam Marciniak, wiceprezes zarządu PKO Banku Polskiego oraz prof. dr hab. Włodzimierz Szpringer reprezentujący Szkołę Główną Handlową w Warszawie.
W 2016 r. hakerska aktywność kosztowała biznes 450 mld dolarów
Czy działania banków w zakresie cybersafe nadążają za zmianami prawa, oczekiwaniami klientów i aktywnością ze strony przestępców? Nawiązując do pytania postawionego przez prezesa ZBP, reprezentant KIR wskazał wysokość strat wygenerowanych przez sieciowych złodziei w skali globalnej. W roku 2016 hakerska aktywność kosztowała światowy biznes aż 450 mld dolarów, w okresie tym wyciekło też ponad 2 mld rekordów zawierających dane osobowe. Ubiegły rok przyniósł kolejny rekord – straty spowodowane przez sieciowych włamywaczy i oszustów oszacowano na ponad 500 mld dolarów. – To mniej więcej tyle, ile wynosi PKB Polski – dodał Rafał Bednarek.
Tymczasem spora część globalnego biznesu, nawet w krajach najlepiej rozwiniętych, pozostaje w tyle za przestępcami. Ponad połowa firm, w takich krajach jak Niemcy, Wielka Brytania czy USA jest nieprzygotowanych na niebezpieczeństwa czające się w sieci. Również i w Polsce zagrożenie atakiem hakerskim jest realne, czego dowodzą takie przypadki, jak kampania DDOS skierowana przeciwko PLL LOT, ubiegłoroczne przestępcze działania wymierzone w KNF czy wreszcie atak na Plus Bank, przeprowadzony przez „samotnego wilka” o pseudonimie Polsilver. Najczęstszym obiektem zainteresowania cyberzłodziei są jednak klienci instytucji finansowych, których świadomość w zakresie bezpiecznego korzystania z sieciowych rozwiązań pozostawia wiele do życzenia. Jak ograniczać tego rodzaju ryzyka? Należy sobie uświadomić jedną kwestię: żadna instytucja nie jest w stanie samodzielnie stawić czoła współczesnym przestępcom.
„Coś takiego jak cyberbezpieczeństwo nie istnieje”
– Coś takiego jak cyberbezpieczeństwo nie istnieje, istnieje bezpieczeństwo informacji i systemów – wskazał Piotr Durbajło. Skoro tak, to należy dążyć do mechanizmów nie tylko wewnątrz-, ale i między sektorowych. Konieczne jest również przewidywanie kierunków, w jakich zmieniać się będą poszczególne obszary bankowości w nadchodzących latach i tworzenie odpowiednich zabezpieczeń już w fazie przygotowywania nowych procedur i produktów. – Nie myślmy o tym jak zwalczyć ewentualny atak, tylko jak go uniknąć. Zdarza się, że niekiedy sami mimowolnie budujemy furtki dla złodzieja – dodał przedstawiciel WAT. Podobną opinię wyraził Mirosław Kutyłowski. – Dotychczas konstruowaliśmy lokalne rozwiązania, każdy budował bezpieczny system odgradzający go od świata. Dziś to podejście jest trudne do utrzymania – po stronie przestępców mamy cały przemysł – potwierdził reprezentant Politechniki Wrocławskiej. Dlatego konieczne są takie mechanizmy, jak przewidziana w RODO zasada protected by design. – Dziś bezpieczeństwo systemu musi wynikać z samej jego budowy. To dobre wyjście, bo inaczej sami tworzymy luki w systemie – wskazał prof. Kutyłowski. Banki znajdują się w czołówce instytucji, które z powodzeniem nadążają za aktualnymi wyzwaniami z dziedziny bezpieczeństwa, również tego w sieci.
Czytaj także: Forum Bankowe 2018. Regulacyjne tsunami wyhamuje?
Adam Marciniak przypomniał, iż obserwowane około roku 2015 zmasowane ataki hakerskie i phishingowe na systemy banków przyniosły efekt w postaci spójnych działań nadzoru i samego sektora. W wyniku takich inicjatyw, jak nowelizacja Rekomendacji D czy też powołanie Bankowego Centrum Cyberbezpieczeństwa aktywność przestępców obniżyła się kilkukrotnie. Prawdziwym wyzwaniem mogą być jednak najnowsze akty prawa wspólnotowego, przewidujące tzw. credential sharing, czyli możliwość wykorzystania danych autoryzujących przez podmioty trzecie. Wśród licznych temat ów poruszonych w przeszło godzinnej debacie przewijała się również kwestia blockchain oraz odpowiedniego zabezpieczenia klientów banków. – Ze statystyk wynika, że prawie 2/3 ataków ma wątek socjotechniczny – jeśli czynnik ludzki będzie słaby na nic się nie zdadzą najwymyślniejsze zabezpieczenia – podkreślił Rafał Bednarek. Sesję i całe forum zakończyło wystąpienie podsumowujące prezesa ZBP. Odniósł się on do najistotniejszych problemów poruszanych podczas Forum, wskazując również na możliwe kierunki ich rozwiązania w nadchodzących latach.