Kongres Bankowości Detalicznej, konieczne zniesienie barier w wymianie informacji o zagrożeniach w ramach całego sektora finansowego i firm działających w jego otoczeniu

Punktem wyjścia do dyskusji był opublikowany w październiku br. raport poświęcony cyberbezpieczeństwu w branży finansowej, przygotowany przez Narodowy Bank Polski wraz kilkunastoma innymi podmiotami, w tym również Związkiem Banków Polskich.

Powstała stała grupa robocza do spraw bezpieczeństwa płatności

Adam Tochmański, Dyrektor Departamentu Systemu Płatniczego NBP, przypomniał, iż opracowanie to zawiera 35 rekomendacji, obejmujących cztery kluczowe obszary: aspekty prawne, procesy, technologie i edukację.

– Jeden z nich został zrealizowany w ubiegły piątek, kiedy to w ramach Rady ds. Systemu Płatniczego powołano stałą grupę roboczą ds. bezpieczeństwa płatności – podkreślił Adam Tochmański, deklarując, że pozostałe postulaty będą wdrażane w życie przy wsparciu nowej komórki.

Nabiera to szczególnego znaczenia obecnie, kiedy, jak przypomniał przedstawiciel banku centralnego, wielu ludzi przeszło do kanałów cyfrowych, nie dysponując zarazem doświadczeniem w tej sferze.

To z kolei stanowi pożywkę dla cyberprzestępców, czego dowodem jest dynamicznie rosnąca liczba transakcji oszukańczych po wybuchu pandemii.

Wprawdzie Polska znajduje się na ostatnim miejscu wśród państw UE jeśli chodzi o liczbę fraudów, niemniej dynamiczny rozwój technologii i socjotechniki stosowanej przez cybergangi stanowi zagrożenie, na które trzeba ustawicznie być gotowym.

Problem z wymianą informacji z ubezpieczycielami, telekomami i dostawcami usług płatniczych

Zapewnienie bezpieczeństwa w obrocie finansowym stanowi szczególnie istotne zadanie dla sektora bankowego. Dr Tadeusz Białek przypomniał, iż w ramach ZBP od roku 2017 funkcjonuje FINCERT.pl – Bankowe Centrum Cyberbezpieczeństwa, które koordynuje działania całego sektora w tej sferze.

Jednym z ważniejszych doświadczeń, płynących z funkcjonowania Centrum jest potrzeba wzmocnienia instrumentarium w zakresie wymiany informacji, jednak aby osiągnąć ten skutek, niezbędna jest eliminacja barier w przepływie danych między różnymi segmentami rynku finansowego.

Obecna konstrukcja tajemnicy bankowej i ubezpieczeniowej nie pozwala na międzysektorowe udostępnianie informacji

Wiceszef ZBP zwrócił uwagę, iż stosowne przepisy dla banków pojawiły się już w ustawie – Prawo bankowe w roku 2008, następnie sukcesywnie poszerzano listę podmiotów, mogących udostępniać i uzyskiwać informacje o zagrożeniach miedzy innymi o SKOKi, instytucje pożyczkowe, firmy leasingowe czy faktorów.

Wciąż jednak brakuje skutecznej możliwości wymiany danych na przykład między bankami a ubezpieczycielami, co sprzyja przestępcom.

Dr Białek wskazał przykład, kiedy oszuści posługiwali się skanami dowodów osobistych, pozyskanymi w procesie likwidacji szkód, w celu zaciągania kredytów. Rzecz w tym, że obecna konstrukcja tajemnicy bankowej i ubezpieczeniowej nie pozwala na międzysektorowe udostępnianie informacji.

Z podobnym problemem mamy do czynienia na linii banki – dostawcy usług płatniczych czy banki-firmy telekomunikacyjne, przy czym w tym ostatnim przypadku skutkiem niemożności wymiany danych jest powszechne wykorzystywanie przez oszustów tzw. spoofingu, czyli usługi umożliwiającej wyświetlanie fałszywej informacji na temat osoby dzwoniącej.

Login i hasło już nie wystarczą

O tym, że sprawna wymiana danych między różnymi podmiotami oznacza większe bezpieczeństwo, wiedzą też przedstawiciele Biura Informacji Kredytowej. Agnieszka Szopa-Maziukiewicz, dyrektor zarządzająca obszarem IT Grupy BIK i wiceprezes Zarządu BIG InfoMonitor przypomniała wyniki badań, prowadzonych kilka lat temu przez BIK wspólnie z Ubezpieczeniowym Funduszem Gwarancyjnym.

Okazało się, iż istnieje poważna korelacja pomiędzy szkodowością ubezpieczeniową a ryzykiem kredytowym. Wymiana danych staje się szczególnie potrzebna dziś, kiedy wskutek pandemii cała gospodarka przechodzi do kanałów zdalnych, a przestępcy radzą sobie w nich doskonale.

Ponad 50% fraudów miało za cel kradzież tożsamości

Przedstawicielka BIK wspomniała wyniki badań, prowadzonych przez ZBP, z których wynika, że tylko w III kwartale br. udaremniono ponad 2 tysiące usiłowań wyłudzeń kredytów, co oznacza wzrost o jedną piątą w zestawieniu z analogicznym okresem roku 2020 i zarazem najwyższy poziom podejmowanych prób fraudu od roku 2013.

Warto podkreślić, iż liczba usiłowań oszustwa w kanale mobilnym zrównała się z tymi, dokonywanymi przez komputer, co tylko potwierdza, jak doskonale przestępcy odnajdują się w cyfrowej rzeczywistości.

Często dzieje się to za przyzwoleniem ofiar – Agnieszka Szopa-Maziukiewicz przywołała dane KNF, z których wynika, że ponad 50% fraudów miało za cel kradzież tożsamości, przy czym najpopularniejszą metodą wciąż pozostaje phishing.

Dlatego KIR pracuje nad wprowadzeniem zabezpieczeń dla banków bazujących na biometrii behawioralnej, gdyż, jak wspomniała reprezentantka tej instytucji, klasyczne mechanizmy typu login + hasło przestają dziś wystarczać.

Większa odpowiedzialność banków

O tym, iż banki powinny wziąć większą niż dotychczas odpowiedzialność za bezpieczeństwo cyfrowe swych klientów, wspominał też Patryk Nowakowski, członek zarządu Santander Bank Polska kierujący Pionem Transformacji Cyfrowej.

Ma to szczególne znaczenie dziś, kiedy ataki przeprowadzane są zza granicy, a ich autorami są zaawansowane cybergangi o olbrzymim potencjale.

Także i Paweł Gula, prezes zarządu Centrum Rozwoju Usług Zrzeszeniowych, wskazywał na potrzebę integracji działań na rzecz bezpieczeństwa na poziomie zrzeszeń lokalnych banków. Zwrócił on uwagę, iż na rynku coraz trudniej o ekspertów w zakresie cyberbezpieczeństwa, a dużym strukturom zrzeszeniowym znacznie łatwiej pozyskiwać talenty.

Równocześnie systemy wdrażane przez poszczególne banki są mniej skuteczne aniżeli jedno, zestandaryzowane narzędzie antyfraudowe.

Przedstawiciel Santandera wspomniał też o innym zagrożeniu, tym razem natury reputacyjnej, którego przyczyną może być wykorzystywanie instytucji finansowych do prania pieniędzy.