IT@BANK. Technologie – Dell Technologies: Cyberbezpieczeństwo w branży finansowej – przyszłość każdego z nas
Wojciech Wolas
dyrektor Sektora Bankowość-Finanse,
dział Large Commercial, Dell Technologies
Firmy technologiczne i banki doskonale wiedzą, że dziś cyberzagrożenia nie dotyczą wyłącznie konkretnego odcinka ich działalności, ale płynnie się przenikają. Wynika to bezpośrednio z modelu biznesowego, jaki aktualnie przyjęły instytucje finansowe, powstałej symbiozy pomiędzy dostawcą usług technologicznych, ich użytkownikiem i beneficjentem oraz klientami. Nierzadko też same banki stają się producentami i dostawcami takich usług. Nowe możliwości to jednak też nowe zagrożenia i wyzwania zarówno dla branży finansowej, jak i firm z obszaru IT.
Cyberzagrożenia nie znikną
Cyberbezpieczeństwo to jeden z najważniejszych trendów, które będą wpływały na nasze otoczenie w najbliższych latach. Wynika to z setek raportów największych firm technologicznych na świecie, z dziesiątek konferencji bankowych, technologicznych i cybersec z ostatnich lat. Nie inaczej charakteryzują to zjawisko managerowie polskich firm skupieni wokół programu Future Thinkers. Jest to przedsięwzięcie zorganizowane przez Dell Technologies wspólnie z partnerami, takimi jak Digital Excellence, CIONET, infuture.institute i SAP przy współpracy z dyrektorami IT, innowacji i marketingu. Premiera raportu miała miejsce 10 października 2019 r. podczas Dell Technologies Forum.
Instytucje finansowe, niezależnie od tego czy zdecydują się na wprowadzenie już dziś radykalnych technologicznych zmian w funkcjonowaniu swojego biznesu, będą w przyszłości zmuszone do odpowiedzi na nowe zagrożenia pojawiające się na rynku. Od odpowiedniego przygotowania na te wyzwania może zależeć ich być lub nie być w sektorze. Choć tradycyjna rola banków z czasem będzie zanikać, usługi bankowe nadal będą potrzebne. A zatem będą też cyberprzestępcy, których celem pozostanie kradzież danych, a w rezultacie pieniędzy od klientów banków. Cybersecurity Awareness to trend, który został wskazany jako jeden z najważniejszych dla biznesu przez uczestników inicjatywy Future Thinkers i nie można go bagatelizować. Nie da się ukryć, że nasze życie w dużej mierze jest uzależnione od stabilności systemów komputerowych. A te oczywiście odpowiedzialne są za nasze finanse zgromadzone na kontach bankowych lub w innych instytucjach za to odpowiedzialnych w przyszłości.
Bezpieczna bankowość vs. UX i wyścig zbrojeń
Wprowadzanie dodatkowych mechanizmów bezpieczeństwa najczęściej wpływa negatywnie na prostotę korzystania z bankowości internetowej. Klienci oczekują natomiast rozwiązań przyjaznych i łatwych w użyciu, zapominając o tym, że przede wszystkim muszą być one bezpieczne. Przykładem może być niedawna zmiana w procesie logowania do systemu transakcyjnego banków wynikająca z dyrektywy PSD2.
Banki jak mantrę powtarzają też od lat zdanie, że bez zachowania bezpieczeństwa przez klientów nawet najlepsze systemy są zagrożone. Co prawda, każdy klient powinien dbać o bezpieczeństwo swoich pieniędzy zdeponowanych w banku i bardzo rozważnie posługiwać się oferowanymi przez bank instrumentami płatniczymi. Nawet najlepsze zabezpieczenia wprowadzone przez bank będą bowiem nieskuteczne, jeśli klient ujawni poufne dane przestępcom. Nie jest też tajemnicą, że ataki na użytkowników bankowości wynikają z faktu, że są oni najsłabszym ogniwem w procesie zabezpieczenia dostępu do banku. Łatwiej zaatakować klienta niż wysoce zaawansowane systemy ochrony w instytucji finansowej.
Nie oznacza to jednak, że banki umywają ręce. Przeciwnie, straty wizerunkowe wynikające z takich informacji bezpośrednio uderzają w instytucję, a koszty ataków mogą przewyższać straty klientów w tym obszarze. Stąd odpowiednie działy zajmujące się w bankach wyłącznie ochroną przed cyberatakami. Warto też zaznaczyć, że banki w obszarze bezpieczeństwa ze sobą nie konkurują i wypracowują rozwiązania, aby wspólnie chronić klientów. Bez tej współpracy nie byłoby możliwe np. blokowanie pieniędzy w przypadku transakcji oszukańczych. Taka współpraca jest realizowana w ramach Związku Banków Polskich, w którym istnieje jednostka operacyjna – FinCERT.pl – Bankowe Centrum Cyberbezpieczeństwa ZBP, które m.in. koordynuje obsługę incydentów, których skutki są odczuwalne dla banków lub ich klientów.
Nie należy jednak zapominać o swoistym wyścigu zbrojeń pomiędzy bankowcami a cyberprzestępcami. Takim przykładem jest niedawna próba wyłudzania poufnych informacji przy okazji wspomnianych już zmian funkcjonowania bankowości elektronicznej. 14 września 2019 r. weszły nowe zasady w zakresie tzw. silnego uwierzytelnienia klienta. Celem wprowadzenia nowych zasad było… zwiększenie bezpieczeństwa klientów, ale idealnie w ten trend wpisali się cyberprzestępcy. Dostosowali niemal natychmiast swoje fałszywe strony internetowe, wzbogacając je o dodatkowe elementy wynikające ze wspomnianych zmian.
Bankowość pozostanie, ale czy bezpieczna?
Taki stan rzeczy dobitnie pokazuje, że tak banki, jak i pozostałe instytucje finansowe nie mogą zaprzestać działań, mających na celu zniwelowanie zagrożeń. Zwłaszcza tych skierowanych bezpośrednio w bank, jak i w klienta. Podczas zakończonego kilka tygodni temu Europejskiego Forum Nowych Idei w Sopocie, w trakcie jednego z paneli eksperci świata finansów debatowali o przyszłości bankowości na świecie. Postępujące wykorzystanie nowych technologii w tym automatyki, RPA czy sztucznej inteligencji stawia pod znakiem zapytania zarówno tradycyjny model pracy w banku, jak i potrzebę pewnych przypisanych do tej instytucji usług. Jako ostatni bastion, który pozostanie najdłużej, eksperci wskazywali depozyty. Przez nie de facto można rozumieć zarówno posiadanie pieniędzy na lokacie, jak i na koncie czy rachunku oszczędnościowym. A zatem dzisiejszy główny cel cyberprzestępców pozostanie niezmienny i w przyszłości. Nawet jeśli banki znikną z rynku, to pozostanie bankowość i odpowiednie regulacje prawne z nią związane. Pozostaną również potrzeby klientów i odpowiedź na te potrzeby. Pozostaną też zagrożenia związane z bezpieczeństwem pieniędzy, a co za tym idzie, generalna potrzeba zabezpieczenia tych środków przez instytucje do tego powołane przy współpracy z dostawcami usług.