Otwierasz lodówkę, a tam… haker
Swoistym znakiem czasów jest rosnące zagrożenie dla obrotu gospodarczego, zwłaszcza dla instytucji finansowych, ze strony coraz silniejszych i lepiej zorganizowanych gangów cyberprzestępców, działających w skali globalnej. Wystarczy przypomnieć, iż roczne przychody z internetowych fraudów i innych przestępstw popełnianych za pośrednictwem internetu były się w ostatnim czasie wyższe o przeszło 100 mld dolarów aniżeli obroty światowego handlu narkotykami. O tym, jak hakerski proceder wpływa na poziom ryzyka w instytucjach finansowych, i w jaki sposób skutecznie ograniczać to ryzyko, dyskutowano podczas drugiej sesji tegorocznego Kongresu Ryzyka Bankowego.
Panel dyskusyjny poprzedził swym wystąpieniem Pieter van Tienen, Director Business Development Fraud & ID EMEA w firmie Experian. Nie pozostawił najmniejszych wątpliwości co do jednego: wraz z upowszechnianiem się nowoczesnych rozwiązań zwiększać się będzie liczba cyberataków. Elektronicznym złodziejom sprzyjać będzie również upowszechnienie futurystycznych, zautomatyzowanych rozwiązań w rodzaju internetu rzeczy; zdaniem ekspertów, w roku 2020 na świecie funkcjonować będą 33 miliardy inteligentnych urządzeń podłączonych do sieci. Innym kierunkiem aktywności przestępczej jest szeroko rozumiana kradzież danych – od wyłudzania loginów i haseł do rachunków bankowych, kont mailowych i serwisów społecznościowych aż po kradzieże dokumentów tożsamości i samej tożsamości. – Dane stają się walutą przestępców – zaznaczył Pieter van Tienen. Tymczasem konsumenci bardzo słabo chronią tak cenne informacje. Powszechnym zjawiskiem jest używanie zaledwie pięciu haseł do dwudziestu różnych portali społecznościowych, kont mailowych czy rachunków bankowych. Co to oznacza? – Dzięki shakowaniu zaledwie jednego konta można dostać się do innych zasobów danej osoby – podkreślił przedstawiciel Experian.
Cyberprzestępczość generuje olbrzymie straty również w biznesie bankowym. I nie chodzi tylko o niemałe kwoty wyłudzone przez oszustów od instytucji finansowych, ale również – a może przede wszystkim – o dodatkowe wydatki przeznaczone na walkę z cyberatakami, obsługę prawną czy wreszcie straty wizerunkowe. Prelegent podał wymowny przykład: każde 10 mln dolarów utracone w wyniku działalności hakerów generuje 35 mln łącznych strat dla banku. Dlatego właśnie w zapobieganie cyberprzestępczości muszą być włączone wszystkie jego komórki. Konieczna jest również sprawna wymiana informacji o klientach, obejmująca co najmniej wszystkie przedsiębiorstwa funkcjonujące w danej branży, chociaż wskazane jest również międzysektorowe udostępnianie danych o konsumentach. – Takie systemy stają się skuteczniejsze wraz ze wzrostem liczby uczestniczących w nich banków – podkreślił Pieter van Tienen.
O tym, jak skutecznie stawiać czoło internetowym mafiom, dyskutowali w dalszej części tej sesji Kongresu Rafał Bednarek – wiceprezes zarządu BIK SA, Katarzyna Majewska – członek zarządu Banku Handlowego w Warszawie S.A., Tomasz Piwowarski, reprezentujący Departament Inspekcji Bankowych, Instytucji Płatniczych i Spółdzielczych Kas Oszczędnościowo-Kredytowych Urzędu Komisji Nadzoru Finansowego, Dariusz Polaczyk – dyrektor Departamentu Bezpieczeństwa Alior Banku S.A. oraz Pieter van Tienen. W roli moderatora wystąpił dziennikarz TVN24, Robert Stanilewicz. Dane przytoczone przez uczestników debaty ostatecznie pogrzebały mit, jakoby „polskie piekiełko” było obszarem mało atrakcyjnym dla globalnych oszustów. Przedstawiciel BIK przypomniał, iż tylko w ostatnim okresie liczba cyberataków w Polsce wzrosła o 46%, coraz częściej mamy też do czynienia z działaniami skierowanymi przeciwko konkretnym instytucjom. Ciągle jednak najpowszechniejszą formą oszustwa pozostaje standardowy phishing. Dariusz Polaczyk zaryzykował twierdzenie, iż przestępstw tego rodzaju nie sposób w pełni klasyfikować do kategorii cybercrime – mamy tu bowiem do czynienia z socjotechniką, analogiczną jak znane w świecie realnym wyłudzenia metodą „na wnuczka”. – Phishing jest najpopularniejszy, bo klienta łatwo zaatakować. Banki coraz rzadziej padają ofiarą – podkreślił przedstawiciel UKNF. Przedstawicielka Banku Handlowego wskazała na jeszcze jeden problem: elektroniczne płatności dokonywane są już nie tylko na urządzeniu konsumenta, które pozostaje w znacznym stopniu poza kontrolą banku. Coraz częściej bowiem klienci wykonują szybkie przelewy przy użyciu zewnętrznych aplikacji i platform płatnościowych, za które bank nie może ponosić odpowiedzialności. A to dopiero początek nowej generacji zagrożeń. Pieter van Tienen przywołał prawdziwe zdarzenie, które do niedawna uchodziłoby za objaw wybujałej fantazji pisarza powieści science-fiction; jeden z banków dalekowschodnich całkiem niedawno przeżył próbę cyberataku, w której posłużono się… shakowanymi inteligentnymi lodówkami, funkcjonującymi w internecie rzeczy. W tak dynamicznie zmieniającym się świecie kwestią dyskusyjną pozostaje, czy i jak banki powinny zabezpieczać klienta przed skutkami własnej nieświadomości i ignorancji. Zdaniem Tomasza Piwowarskiego, kluczem jest właściwe uświadamianie klientów; postulował on nawet wprowadzenie czegoś w rodzaju „MiFID dla bankowości elektronicznej”. – Trzeba klientom pokazać prawa, ale też obowiązki i ryzyka wiążące się ze zdalnym dostępem do sieci – stwierdził reprezentant nadzorcy.
Szczegółowa relacja z panelu w listopadowym numerze „Miesięcznika Finansowego BANK”
Karol Jerzy Mórawski