IT@Bank 2015: Bezpieczeństwo może być naszą przewagą

Wojna technologiczna pomiędzy bankami i oszustami nieustająco trwa. Powstają nowe systemy zabezpieczeń, prawo i regulacje sektorowe coraz większą wagę przywiązują do bezpieczeństwa, ale hakerzy też odrabiają lekcje i ciągle stanowią zagrożenie. Czy w zakresie bezpieczeństwa systemów bankowych sytuacja poprawiła się w minionym roku?

– Jeszcze do niedawna włamania do systemów bankowych traktowane były trochę jak gra komputerowa. Hakerzy fascynowali się samym faktem obejścia zabezpieczeń. Chcieli budzić podziw swoimi umiejętnościami. Jednak w ostatnich latach sytuacja ta się zmienia, hakerzy coraz częściej wykorzystują swoje umiejętności nie dla sportu, ale popełniania przestępstw. W ubiegłym roku liczba ataków na systemy bankowe po raz kolejny zwiększyła się. Mierzy się je wielkimi liczbami statystycznymi, ale warto podkreślić, że jeśli chodzi o tzw. fraudy kartowe, to na każde 100 tys. zł zagrożone było 6 zł, więc są to wciąż wielkości liczone w tysięcznych częściach procenta. Ta skala minimalnie wzrosła w stosunku do roku wcześniejszego, ale nadal jest statystycznie nieistotna. W ubiegłym roku pojawiły się także zdarzenia nowego typu. Po raz pierwszy mieliśmy do czynienia z włamaniem do systemu operacyjnego. Na szczęście zaatakowany bank nie odniósł żadnych szkód, w tym i reputacyjnych, nie można jednak powiedzieć, że było to zdarzenie neutralnie. Z drugiej strony jest to dla nas swoiste studium przypadku, a dzięki platformom wymiany informacji, które stworzyliśmy w Związku Banków Polskich, wiadomość ta przyczyniła się do umocnienia systemów innych banków, bo poznaliśmy i opisaliśmy nowy typ włamania i taktyki przestępczej.

Jednym z elementów bezpieczeństwa są regulacje prawne, a wśród nich opublikowana dwa lata temu Rekomendacja D Komisji Nadzoru Finansowego. Czy wszystkie banki uwzględniły to zalecenie? Czy są jeszcze instytucje, w których prace wdrożeniowe trwają?

– Z czysto formalnego punktu widzenia rekomendacja nie jest obowiązkiem, natomiast w tym przypadku nikt nie kwestionował konieczności jej wprowadzenia. Rekomendacje opierają się na zasadzie „zastosuj albo wytłumacz, dlaczego tego nie robisz”. Tę zasadę stosuje się przy wielu rekomendacjach, ale w tym przypadku nie było takiej sytuacji. Stało się tak z kilku powodów. Po pierwsze – kwestia bezpieczeństwa jest przez banki rozumiana jednoznacznie i traktowana priorytetowo. Dzisiejszy typ zagrożeń jest globalny, w starym systemie – klasycznym napadzie na dyliżans czy oddział bankowy – nie można było ukraść więcej pieniędzy niż było w kasetce, a to zawsze stanowiło niewielką część bankowego majątku. Natomiast dzisiaj włamanie do systemu umożliwia kradzież niepomiernie większych kwot ulokowanych w wielu „kasetkach”, czyli kontach bankowych. Po drugie – poprzednia Rekomendacja D była przygotowana z myślą o komórkach IT w bankach, formułowała pewne podstawowe zasady bezpieczeństwa informatycznego, a obecna wersja dokumentu mówi o bezpieczeństwie całych instytucji i stosowaniu nowoczesnych technologii na każdym etapie działalności. To kompleksowe podejście do bezpieczeństwa. Jako regulacja nadzoru jest to unikatowe rozwiązanie w skali Europy. W bankach nie ma już wydzielonych komórek odpowiedzialnych za bezpieczeństwo, gdyż cały bank jest za to odpowiedzialny, każdy pracownik w zakresie swoich obowiązków.

Wracając jednak do kalendarium wdrożeń. Okres ...