Jak zabezpieczyć klienta przez hakerem i własną łatwowiernością? Forum Bezpieczeństwa Banków 2021
Webinarium rozpoczęło wystąpienie wiceprezesa Związku Banków Polskich, dr. Tadeusza Białka. Podkreślił on, że sektor bankowy reagował na bieżąco na wszelkie ryzyka, jakie zmaterializowały się na przestrzeni ostatnich kilkunastu pandemicznych miesięcy.
Do takich działań należy zaliczyć m.in. rekomendację ZBP, wydaną niezwłocznie po wybuchu epidemii, a dotyczącą utrzymania ciągłości funkcjonowania systemu bankowego w nowych realiach.
Sektor bankowy reagował na bieżąco na wszelkie ryzyka
Wiceszef ZBP stwierdził też, że niektóre kwestie, jak choćby zapewnienie bezpieczeństwa danych w przypadku korzystania z dostawców usług chmurowych, będą miały istotne znaczenie także po ustąpieniu pandemii.
Niepokój najlepszym sojusznikiem oszustów
Pierwszą sesję Forum, poświęconą problematyce uwierzytelniania, otworzył Piotr Balcerzak, dyrektor Zespołu Bezpieczeństwa Banków ZBP. Wspomniał on, że migracja klientów do zdalnych kanałów transakcyjnych oznacza nowe możliwości także dla przestępców, którzy doskonale odnajdują się w wirtualnej rzeczywistości.
Musimy kształtować nie tylko świadomość zagrożenia, ale również odpowiednie nawyki w zakresie bezpiecznego zachowania
Jedną z ulubionych metod działania sprawców jest socjotechnika, za pośrednictwem której cyberoszuści próbują skłonić swe ofiary do nieprzemyślanych zachowań, których efektem jest uzyskanie dostępu do rachunku bankowego, wyłudzenie środków lub danych osobowych. Tylko w minionym roku Bankowe Centrum Cyberbezpieczeństwa przekazało instytucjom finansowym informację o 1003 zidentyfikowanych stronach phishingowych.
‒ Musimy kształtować nie tylko świadomość zagrożenia, ale również odpowiednie nawyki w zakresie bezpiecznego zachowania, które są niezbędnym elementem cyberbezpieczeństwa – dodał reprezentant ZBP.
Owa świadomość społeczna jest tym bardziej istotna w okresie kryzysowym, kiedy lęk i emocje skłaniają ludzi do poszukiwania „cudownych rozwiązań”, a które w istocie okazują się być pułapką, zastawianą przez złodziei. Piotr Balcerzak wspomniał tu o pojawiających się w okresie pandemii propozycjach inwestowania w platformy Forex i kryptowalutowe, które rzekomo stanowić miały alternatywę dla mało efektywnego oszczędzania na lokatach.
Przedstawiciel ZBP odniósł się też do pisma, wystosowanego w lutym 2021 roku przez przewodniczącego KNF, a dotyczącego edukowania klientów w zakresie zagrożeń pojawiających się w cyberprzestrzeni oraz należytego zabezpieczenia kanałów zdalnych.
‒ Pismo to traktujemy jako źródło inspiracji do dyskusji na temat aspektów bezpieczeństwa w elektronicznych kanałach dostępu do usług bankowych – podkreślił Piotr Balcerzak.
Czytaj także: Połowa bankowców zauważa wzrost zagrożeń cyberprzestępczością
Więcej praktyki, mniej ogólników
Problematyka edukacji klientów banków w zakresie cyberbezpieczeństwa, jak również należytego uwierzytelniania i potwierdzania tożsamości zdalnego użytkownika, kontynuowana była w panelu prowadzonym przez dr. Jarosława Biegańskiego, Doradcę Zarządu w Zespole Bezpieczeństwa Banków, ZBP.
Dr hab. Jerzy Kosiński, prof. Akademii Marynarki Wojennej i dyrektor Morskiego Centrum Cyberbezpieczeństwa, odnosząc się do kwestii właściwego uświadamiania Polaków w zakresie cyberzagrożeń podkreślił, że obecna forma edukacji jest mało wydajna, koncentruje się wszak na przekazywaniu uniwersalnej wiedzy, którą nie każdy potrafi przełożyć na praktykę.
‒ Użytkownicy werbalnie wszystko wiedzą, póki nie dojdą do etapu, który stanowi próbę oszustwa – dodał prof. Kosiński. W tym kontekście zaapelował, by zamiast przekazywania ogólnej wiedzy na temat bezpieczeństwa w sieci skoncentrować się na użytkownikach konkretnych usług bankowych, by wskazywać im właściwe reguły postępowania w tych kanałach, z których oni korzystają.
‒ Znacznie lepiej, jak człowiek wie, co ma robić z praktyki, a nie tylko teoretycznie – zauważył dyrektor Morskiego Centrum Cyberbezpieczeństwa.
Zamiast przekazywania ogólnej wiedzy na temat bezpieczeństwa w sieci warto skoncentrować się na użytkownikach konkretnych usług bankowych
Wskazał też na ważną kwestię, jaką jest adresowanie programu dydaktycznego do różnych grup użytkowników, również przedstawicieli organów ścigania, którzy też nierzadko nie potrafią odnaleźć się w cyberprzestrzeni.
Uczmy członków rodziny bezpiecznych e-płatności
W jaki sposób połączyć rozwój elektronicznych instrumentów płatniczych z ochroną osób z nich korzystających? Dużą praktykę w tej dziedzinie ma Fundacja Polska Bezgotówkowa, której wiceprezes, dr Paweł Widawski, uczestniczył w dyskusji. Wskazał on, iż świadomy wybór instrumentu płatniczego, o co zabiega Fundacja, oznacza także wiedzę, jak korzystać z tych narzędzi w sposób bezpieczny.
Aby osiągnąć ten cel, należy w pierwszej kolejności dotrzeć do osób wykluczonych cyfrowo, te bowiem w fazie migracji do cybergospodarki są najbardziej narażone na przestępcze zakusy. Dlatego Fundacja kładzie wielki nacisk na dotarcie do tzw. grup wsparcia, czyli osób bliskich dla seniorów, i innych wykluczonych cyfrowo, którzy następnie mogą uświadamiać członków swych rodzin, jak bezpiecznie odnaleźć się w nowej rzeczywistości.
Należy w pierwszej kolejności dotrzeć do osób wykluczonych cyfrowo, te bowiem w fazie migracji do cybergospodarki są najbardziej narażone na przestępcze zakusy
Inna grupa, która ma olbrzymie znaczenie jeśli chodzi o budowę właściwych postaw w dziedzinie elektronicznych płatności, to nauczyciele.
‒ Edukacja musi zaczynać się od najmłodszego wieku – podkreślił dr Widawski, wskazując, iż działania Polski Bezgotówkowej wpisują się w zalecenia KNF, podchodząc do zagadnienia cyberbezpieczeństwa w sposób holistyczny.
‒ Co chwila pojawiają się nowe zjawiska, tak ekonomiczne, jak i technologiczne, które będą wymagały wiedzy i edukacji po stronie klienta – dodał dr Widawski.
Czytaj także: Cyberprzestępcom wystarczą dane z mediów społecznościowych, nie muszą włamywać się na konta
Silne uwierzytelnienie to nie wszystko
W podobny sposób wypowiadał się Maciej Ogórkiewicz, CISO i dyrektor Departamentu Bezpieczeństwa IT w ING Banku Śląskim. Apelował on, by problematykę cyberbezpieczeństwa ujmować w jak najszerszym rozumieniu, nie ograniczając się tylko do bankowości i rynku płatniczego, ale uwzględniając też takie obszary, jak social media.
Niezwykle ważny jest też systemowy charakter edukacji, która powinna być prowadzona już od najmłodszych lat. Obok przekazania wiedzy, niezbędne wydaje się przeorientowanie podejście użytkowników Internetu, jako że wielu z nich podchodzi z pełną ufnością i brakiem sceptycyzmu do zapewnień, pojawiających się na ekranie.
Niezwykle ważny jest też systemowy charakter edukacji, która powinna być prowadzona już od najmłodszych lat
‒ Ofiarami przestępstw padają też osoby korzystające z silnych metod uwierzytelniania – dodał Maciej Ogórkiewicz. Sugerował też, iż nie należy się spodziewać szybkich rezultatów kampanii informacyjnych, a kwestię edukacji należy traktować w sposób długofalowy.
Z kolei Piotr Balcerzak odniósł się do zasygnalizowanej wcześniej problematyki cyberedukacji przedstawicieli organów ścigania. Zwrócił uwagę, iż proces kształcenia odpowiedzialności osób odpowiedzialnych za bezpieczeństwo powinien mieć charakter ustawiczny.
W ten kontekst wpisują się działania Bankowego Centrum Cyberbezpieczeństwa, które obok działań na rzecz wykrywania przestępstw i ścigania ich sprawców współdziała z organami, takimi jak Policja czy prokuratura, w dziedzinie podwyższania wiedzy w zakresie bezpieczeństwa w sieci.
‒ Bliska jest nam nam idea współpracy w ramach ISAC – podkreślił przedstawiciel ZBP.
Nie wychodźmy poza wymogi zawarte w PSD2
Jak adresować edukację w zakresie cyberbezpieczeństwa, by uzyskać oczekiwane efekty? Grzegorz Paruszewski, dyrektor Biura Bezpieczeństwa Teleinformatycznego w Banku Pekao podkreślił, że należy uwzględniać specyfikę poszczególnych środowisk, świadomość zagrożeń jest wszak całkiem inna u młodzieży, a inna u osób na granicy wykluczenia cyfrowego. Podkreślił on rolę kanału bankowości zdalnej w procesie informowania o ewentualnych zagrożeniach.
Prelegent odniósł się też do kwestii silnego uwierzytelnienia, wskazując, iż statystyki fraudów w przypadku z silnym uwierzytelnieniem i bez niego są podobne. Tymczasem wbrew powszechnemu przeświadczeniu, zarówno dyrektywa PSD2, jak i regulacyjne standardy techniczne wprowadziły szereg warunków, na podstawie których można odstąpić od silnego uwierzytelnienia.
Dodawanie kolejnych obowiązków dla dostawcy i uprawnień dla praw klienta, ponad te wynikające z dyrektywy, nie jest właściwym kierunkiem działania
Jeden z owych wyjątków dotyczy analizy ryzyka transakcji, i dostawcy korzystają z tej możliwości, niemniej w tym celu trzeba spełnić szereg kryteriów.
‒ Mamy szereg rygorystycznych obowiązków dla dostawców i większą odpowiedzialność dla transakcji z silnym uwierzytelnieniem, więc dostawca powinien mieć wybór – wskazał przedstawiciel Banku Pekao podkreślając, iż dodawanie kolejnych obowiązków dla dostawcy i uprawnień dla praw klienta, ponad te wynikające z dyrektywy, nie jest właściwym kierunkiem działania. Dochodzi bowiem do sytuacji, w której proces płatności się przedłuża, co w dzisiejszej gospodarce jest ze wszech miar niewskazane.
Czytaj także: Raport Specjalny | Forum Technologii Bankowych – Kancelaria Kochański & Partners | Najważniejsze jest cyberbezpieczeństwo