Mariusz Kaczmarek: odpowiedzialność za bezpieczeństwo niezmiennie spoczywa na banku

Maciej Małek: Tegoroczny IT@Bank porusza szereg kwestii. Niektóre się powtarzają, ale tym, co wbija się na plan pierwszy, co również dało się odczuć w panelu, w którym brał pan udział jest szeroko pojęta kwestia bezpieczeństwa. Dziś to w cyberprzestrzeni dokonuje się tych ataków, które powodują największe straty. Co zatem w obszarze technologii, organizacji, informacji, procedur należy dopełnić aby obszar podatny na ataki minimalizować do akceptowalnego poziomu – wiadomo, że jest trochę tak, jak w walce z dopingiem w sporcie – ci źli są z reguły krok przed nami.

Mariusz Kaczmarek: Dobrze pan to podsumował. W świecie cyberprzestępczości musimy mieć pełną świadomość tego, że jeśli nam się wydaje, że mamy coś pod kontrolą to właśnie ją straciliśmy. Panel, w którym rozmawialiśmy o cyberprzestępczości w ujęciu technologicznym, procesowym, ludzkim w zasadzie zaprowadził nas w kierunku istotnym – człowiek jest najważniejszy. Pan Santorski powiedział bardzo rozsądnie, że jeśli wydaje się nam, że poprzez uświadamianie, edukowanie, nakazywanie, rozkazywanie człowiekowi, mówienie, że ma tego nie robić, tego nie wolno oczekujemy rzeczy we współczesnym świecie w zasadzie niemożliwej. Padło więc pytanie: co mamy zrobić?

MM: Dyskusja jest zatem na poziomie percepcji, wiedzy, psychologii…

MK: Wszystkiego. Dziś człowiek jest przyzwyczajony do tego, że nie będzie niczego instalował nigdzie gdyż nie wie jakie ma to implikacje. Jeżeli dzisiaj cyberprzestępcy udają bank, piszą, że z powodu bezpieczeństwa rekomendujemy zainstalować naszą aplikację na urządzeniu…

MM: Mimo, że banki tego nie czynią.

MK: Nie czynią tego, a ile osób wyraża na to zgodę. Ile ludzi traci pieniądze. Musimy pamiętać o jednej rzeczy – edukacja jest niezbędna, ale odpowiedzialność za to, co się dzieje w bankowości, w świecie wirtualnym, w kanałach elektronicznych mimo wszystko spoczywa na nas.

MM: Czyli po stronie klienta najprostszym rozwiązaniem nie byłaby tradycyjna forma komunikacji telefonicznej z doradcą celem weryfikacji oferty, która się pojawiła, a której nie jesteśmy w stanie odpowiedzialnie rozpoznać?

PJ: Technologia pędzi. To, co w tej chwili jesteśmy w stanie dostarczać, to są najnowsze rozwiązania. Najsłabszym ogniwem jest człowiek. W atakach, które płynął z różnych stron, przy ryzykach projektowych, które najczęściej wskazujemy jest to czynnik ludzki.

MM: Czyli ryzyko operacyjne będzie się rozszerzać?

MK: Dzisiaj świat żyje zbyt dynamicznie i ludzie bezwiednie klikają w rzeczy, nawet nie wiedzą co jest w nich napisane. Dzisiaj percepcja jest kilkusekundowa: patrzę, potwierdzam, zaprzeczam, idę dalej. Świat jest za bardzo zmienny by ludzie traktowali poważnie zagrożenie cyberprzestępczości.

MM: Matrix jest faktem?

MK: Tak. Póki nie dotknie to kogoś osobiście uważamy, że ten problem nie występuje, albo jest zarządzany przez kogoś innego. Powiedzieliśmy z jednej strony, że nie możemy oczekiwać od naszych klientów, że to oni będą świadomi. Możemy ich edukować, ale musimy wziąć większą odpowiedzialność za to, aby ograniczać ilość przestępstw, które mogą się im przytrafić w rzeczywistości naszego świata. Postawiliśmy też śmiałą tezę, że skoro jesteśmy dobrze postrzegani przez naszych klientów – 80 procent Polaków, użytkowników bankowości ma zaufanie do banków – więc może powinniśmy próbować połączyć nasze siły jako bank jeden, drugi, trzeci i zbudować wspólne siły walczące z cyberprzestępczością.

MM: Mówi pan o śmiałości. Zapytam przewrotnie: kto zatem i w imię czego powinien ponosić chociażby koszty edukacji?

MK: Chcielibyśmy aby ponosił je klient, ale dzisiaj klient pewne rzeczy ma i nie zamierza za nie płacić. I to się nie zmieni. Oczekiwanie jest takie, że wszystko jest za darmo. Jeżeli działalibyśmy wspólnie to koszty wydawane przez poszczególne banki, być może też operatorów telekomunikacyjnych – wrzucenie kosztów do jednego worka i stworzenie nowej służby, jak np. BIK cy KIR w służbie określonego funkcjonowania naszego systemu prawdopodobnie przyniosłoby większy efekt.

MM: Koszty nabierają szczególnego znaczenia w kontekście niskich stop procentowych i ograniczenia innych źródeł przychodów, że wspomnę tylko o opłacie interchange. Jak się odnaleźć w tej przestrzeni?

MK: Widzę pewną prowokację, ale odpowiem tak: każdy bank musi inwestować relatywnie dużo pieniędzy w bezpieczeństwo. Czy mówimy oficjalnie ile poszczególne organizacje wydają na zakup licencji? Nie mówimy. To jest koszt ukryty. Jeżeli chcemy być bezpieczni ów koszt rok do roku rośnie, a w mentalności naszych zarządzających i klientów jest to, że to powinno być darmowe. Bezpieczeństwo musi być zagwarantowane i jeśli nie wkomponujemy jego kosztów w podstawową działalność trudno będzie mówić o tym, że utrzymamy reputację i zaufanie klientów.

MM: Czasami okazuje się, że bariera jest w obszarze psychologii, a nie w obszarze technologii czy kosztów.

MK: Tak. Podsumowując: musimy inwestować, robić to świadomie, a najlepiej łączmy siły, gdyż wspólnie możemy wydać mniejsze pieniądze albo porównywalne, a osiągnąć zdecydowanie więcej.

MM: Tu decyduje efekt skali.

MK: Niestety nie można spodziewać się tego, że przysłowiowy Kowalski będzie czytał wszystko co pojawia się w dzisiejszym świecie. Nie ma na to czasu, ochoty. I tak będzie miał do nas pretensje, że ktoś mu ukradł z jego konta bankowego określone pieniądze. I to pewnie jest wina banku, który tego nie dopilnował. W związku z tym musimy być czujni i zwarci i mieć nad tym trzymanie i pieczę. 

Zobacz rozmowę w wersji wideo: „Mariusz Kaczmarek: Odpowiedzialność za bezpieczeństwo niezmiennie spoczywa na banku”

aleBank.pl