Komplementarność systemów wymiany informacji a nowe funkcjonalności – debata ekspercka
Czy bank są w stanie na własną rękę zabezpieczyć się przed atakami współczesnych hakerów - a a raczej sieci hakerskich? Jakie wyzwania stoją przed twórcami sektorowych systemów wymiany informacji - i co stoi na przeszkodzie, aby sektor bankowy i instytucje publiczne udostępniały sobie wzajemnie informacje o zagrożeniach? Czy szybkość wykonywania współczesnych operacji bankowych jest zagrożeniem dla bezpieczeństwa - i kiedy to zagrożenie staje się na tyle duże, że nie warto przyspieszać dalej?
IT@BANK 2014:
|
To podstawowe zagadnienia, poruszane podczas debaty zatytułowanej „Komplementarność systemów wymiany informacji a nowe funkcjonalności”. W panelu, moderowanym przez Macieja Małka – Redaktora Naczelnego portalu alebank.pl oraz czasopism „Kurier Finansowy” i „Europejski Doradca Samorządowy”, udział wzięli: Wiceprezes Związku Banków Polskich Mieczysław Groszek, Wiceprezes Centrum Prawa Bankowego i Informacji Dariusz Kozłowski, Ekspert Centrum Prawa Bankowego i Informacji Krzysztof Kokot, Wiceprezes Zarządu Podkarpackiego Banku Spółdzielczego Janusz Matusz oraz Wiceprezes Banku BGŻ Andrzej Sieradz.
– Jak się ustrzec przed przestępcami w relacjach bank-klient? Czy dzisiaj w ramach systemów wymiany informacji dysponujemy czymś na kształt cybertarczy? Czy efektywnie wykorzystujemy potencjał tych wszystkich narzędzi? – Takimi pytaniami zapoczątkował debatę Maciej Małek. Odnosząc się do tego zagadnienia, Wiceprezes BGŻ zwrócił uwagę na jeden fakt: to sektor bankowy jak pierwszy w kraju zaczął budowanie nowoczesnych systemów bezpieczeństwa teleinformatycznego:
– Oprócz systemu bankowego w Polsce nie ma zorganizowanej części państwa odpowiadającej tym poziomom. Bankowość jako pierwsza zderzyła się z problemami, które obserwujemy dziś w sektorze pozabankowym i musiała sobie z tym radzić.
Wiceprezes CPBiI Dariusz Kozłowski twierdzi, że kluczem do bezpieczeństwa jest zacieśnianie międzysektorowej wymiany informacji: Skończył się okres na zabezpieczenia indywidualne – każdy buduje mury, chroni tych murów i uważa że jest zabezpieczony. Najwyższy czas tworzyć rozwiązania sektorowe. Świat współczesny wygenerował taką masę zagrożeń, cyberprzestępcy działają na tylu obszarach że indywidualne działanie ma sensu. Tezę tę potwierdził również Wiceprezes BGŻ: – Skończył się czas donkiszotów. Dziś ataki to doskonale zorganizowane działania.
Wiceprezes ZBP Mieczysław Groszek potwierdził, że sektor bankowy od dłuższego czasu oczekuje partnerskiej współpracy i organami i instytucjami Państwa w ramach wymiany informacji o zagrożeniach: My jako środowisko bankowe chcemy stworzyć partnerstwo publiczno-prywatne, na zasadach współzależności. Nie da się pewnych rzeczy państwu zrobić bez banków, a bankom bez państwa.
Moderator debaty zwrócił uwagę również na wyzwania związane z wymianą informacji pomiędzy samymi bankami – w szczególności na zaangażowanie poszczególnych placówek w realizację chociażby porozumienia pomiędzy Związkiem Banków Polskich a Komendą Główną Policji w sprawie wymiany informacji o zagrożeniach. Do kwestii jak zwiększyć efektywność kooperacji poszczególnych placówek w tym zakresie nawiązał również Dariusz Kozłowski. Z kolei Janusz Matusz zastanawiał się, czy banki mogą zrobić w tej dziedzinie jeszcze więcej: Czy musimy prowadzić tę współpracę na jeszcze większym szczeblu? Banki są podmiotami które mają sobie najmniej do zarzucenia. Jeżeli nie współpracują ze sobą to mają jakiś powód.
Ożywioną dyskusję wywołała kwestia prawa banku do blokowania rachunku, na którym przeprowadzane są operacje uznane za podejrzane. Dariusz Kozłowski zaznaczył, że wykrycie potencjalnego fraudu nie rozwiązuje problemu. – Blokady ze strony prawa, problemy we współpracy z organami ścigania blokują skuteczność działania.
Co można zrobić, żeby istniejąca architektura pozwalała blokować na przykład rachunki założone „na słupa”? Czy nie należałoby rachunków zdefiniowanych przez banki jako podejrzane zaznaczyć w systemie? Takie pytanie postawił panelistom Maciej Małek. Andrzej Sieradz twierdzi, że w takiej sytuacji każda decyzja musi być podejmowana indywidualnie:
Konta na które trzeba uważać, to nie są automatycznie konta używane do celów przestępczych. Bank ma prawo blokować dostęp do konta, ale nie powinien w każdym przypadku zablokować zleceń stałych – takich jak spłata kredytu czy polecenia zapłaty. Oczywiście powinien być monitoring takich kont.
Dariusz Kozłowski zwrócił uwagę na inny aspekt tego problemu: – Wciąż działamy w ramach jednej organizacji. Jeśli uważamy że dany rachunek czy transakcja jest podejrzana to możemy to wyłapać i podjąć odpowiednie kroki. Natomiast nie mamy efektywnych rozwiązań transferujących analogiczne informacje w drugim banku. Wymiana informacji spowodowałaby, że moglibyśmy działać ex ante, a nie ex post.
Prędkość czy bezpieczeństwo? To odwieczne zagadnienie wzbudza kontrowersje nie tylko w ruchu drogowym. Również i panelistów podzieliła kwestia bezpieczeństwa w przypadku dokonywania przelewów natychmiastowych. Krzysztof Kokot postawił śmiała tezę: – Co nam dają w ostatecznym rozrachunku natychmiastowe płatności? Na to pytanie odpowiedział Wiceprezes BGŻ: Niekiedy to ma znaczenie, Jeśli startujemy w przetargu, to musimy dotrzymać terminu zapłaty. Również przy innych zobowiązaniach najczęściej ma znaczenie data wpływu (…) Myślę, że z czasem płatności natychmiastowe mogą wypchnąć z rynku tradycyjne sesje.
Maciej Małek zwrócił uwagę na aspekt ekonomiczny tego zagadnienia: – Koszty rosną, przychody spadają – z uwagi na niskie stopy, interchange rośnie – gdzie będziemy szukać oszczędności? Koszty nakręcają również staki za dostęp do zewnętrznych baz danych: – Rok temu mówiliśmy o kwestii dostępu do bazy PESEL, jak to ma być zrealizowane? Wiceprezes CPBiI odniósł się to tej ostatniej kwestii: – Dostęp do bazy PESEL na dzień dzisiejszy kosztuje 10 zł za każde zapytanie, niedługo opłata ma być obniżona do 30 groszy. Pytanie czy ten dostęp będzie działać efektywnie? Dariusz Kozłowski podkreślił również, że obawa przed pewnymi rozwiązaniami – jak choćby płatności natychmiastowe – może skutkować wpuszczeniem na ten obszar konkurencji: – Jeżeli banki nie wejdą w płatności natychmiastowe, to zrobi to ktoś inny. Musimy być liderem i budować najlepsze rozwiązania.
Dlaczego państwo nie jest zainteresowane budową systemu we współpracy z bankami? Tu dyskutanci wykazali zgodność. Przykładem mogą być tak trywialne kwestie jak pobieranie danych o zaległościach z instytucji publicznych. Z jednej strony prawo umożliwia obywatelowi złożenie indywidualne zapytania do bazy danych ZUS – równocześnie nie można uruchomić procesu dostępu do tej samej bazy via bank, nawet za zgodą wyrażoną przez klienta. Ten sam problem dotyczy również Urzędu Skarbowego czy samorządów.
– Pewne kwestie można załatwić w drodze umowy dwustronnej, ale niektóre wymagają naprawy na poziomie regulacyjnym – podkreślił Maciej Małek.
Karol Jerzy Mórawski