Raport BankTech | Forum Bezpieczeństwa Banków | Fraud w ułamku sekundy – jak uchronić przed nim klienta?

O tym, jak w ostatnim czasie zmieniała się mapa cyberzagrożeń, o technicznych i prawnych możliwościach zabezpieczania konsumenta przed cyberatakami, gdy nie chce on ponosić odpowiedzialności za własne bezpieczeństwo, a także o konieczności znalezienia balansu pomiędzy silnymi zabezpieczeniami a płynnym i pozytywnym doświadczeniem klienta dyskutowali uczestnicy debaty eksperckiej „Miesięcznika Finansowego BANK”, zorganizowanej podczas tegorocznej edycji Forum Bezpieczeństwa Banków. Partnerem dyskusji, moderowanej przez Pawła Minkinę, wiceprezesa Centrum Procesów Bankowych i Informacji oraz redaktora naczelnego „Miesięcznika Finansowego BANK”, była firma PREBYTES.

W trakcie debaty głos zabierali: Jarosław Biegański, dyrektor Zespołu Bezpieczeństwa Banków w Związku Banków Polskich; Jacek Cisło, kierownik Zespołu Analiz i Raportowania w Departamencie Bezpieczeństwa Banku Millennium; Jarosław Górski, dyrektor Departamentu Bezpieczeństwa mBanku; Bartosz Kwitkowski, CEO & Founder PREBYTES; Julia Lisowska-Wenta, senior security analyst, Zespół ds. Operacji i Przeciwdziałania Cyberprzestępczości w Kanałach Elektronicznych Banku BNP Paribas; Rafał Okoń, menedżer w Departamencie Wykrywania Cyberzagrożeń i Fraudów Transakcyjnych, Santander Banku Polska; Damian Puton, kierownik Zespołu Rozwoju i Modelowania Danych VeloBanku; Michał Pyszyński, dyrektor Departamentu Bezpieczeństwa Banku Polskiej Spółdzielczości oraz Mariusz Sudoł, dyrektor Departamentu Compliance Nest Banku.

Sami udostępniamy dane cenne dla oszustów

W potocznym języku pojęciem „cyberataku” określamy wszystkie działania przestępcze, których sprawcy korzystają z nowoczesnych technologii. Jarosław Górski przypomniał, iż należy rozgraniczać incydenty wymierzone w same instytucje finansowe, które wobec wysokiego poziomu zaawansowania systemów bezpieczeństwa w polskim sektorze bankowym należą do rzadkości, od manipulowania klientami sektora finansowego. W tym drugim obszarze pojawienie się AI stwarza oszustom całkiem nowe możliwości – i to do tego stopnia, iż możliwe jest zautomatyzowane przygotowanie i przeprowadzenie całego fraudu, łącznie z komunikacją z ofiarą. Przestępcom sprzyja też powszechna dostępność informacji na temat przeciętnego Kowalskiego, pochodzących zarówno z wycieków danych np. ze skrzynek mailowych, jak i bezrefleksyjnie zamieszczanych przez samych użytkowników. Bartosz Kwitkowski przypomniał, że mimo wcześniejszych zapowiedzi, powszechne regulacje nakładające obowiązek dwuskładnikowego uwierzytelniania skrzynek mailowych wciąż nie zostały wprowadzone, a dostęp do informacji o kliencie bywa w praktyce łatwy do uzyskania. – Ludzie lubią pisać o tym, co robią, gdzie wyjeżdżają, w jakiej restauracji jedzą, a to wszystko to cenna wiedza dla przestępców – dodał przedstawiciel mBanku.

Takie dane, pozyskane przez oszustów, bywają wykorzystywane wielokrotnie, przestrzegał przedstawiciel PREBYTES, przytaczając statystyki danych osobowych, wykrytych przez tę firmę w Darknecie i przekazanych bankom. Od pięciu lat liczba ta oscyluje wokół kilkudziesięciu tysięcy rekordów rocznie, co wobec łatwości, z jaką przestępcy posługują się danymi w celu manipulacji, może budzić niepokój. Jest to tym większy problem, że najlepszymi, choć nieświadomymi wspólnikami oszustów okazują się być… ich ofiary. – Generalnie skupiamy się nie na tym, żeby wykryć nieautoryzowany dostęp czy aktywność oszustów, tylko na ochronie klientów przed nimi samymi – akcentował Jacek Cisło, na potwierdzenie przytaczając dane NBP. Wynika z nich, że tylko w IV kw. ub.r. wartość fraudowych przelewów, będących efektem manipulacji płatnikiem stanowiła aż 76% wszystkich zgłoszonych oszustw. – Klient w pewnym momencie staje się marionetką sterowaną całkowicie przez przestępców – zaznaczył Jarosław Górski. Taka osoba bywa z reguły całkowicie oporna na wszelkie próby ostrzeżenia, podejmowane przez bank.

Kłopotliwe przetwarzanie danych behawioralnych

Rzecz w tym, że kiedy konsument uświadomi sobie poniesioną szkodę, wówczas oskarża bank o niepodjęcie działań, mających powstrzymać oszustów. – Klienci oczekują od banków paternalistycznego podejścia, w szczególności w sferze antyfraudowej – nadmienił Mariusz Sudoł. Taka postawa jest po części budowana przez regulatorów, wychodzących z założenia, że to instytucja finansowa winna zabezpieczać klienta. Przedstawiciel Nest Banku podkreślił, że ta reguła powinna mieć zastosowanie w przypadku, gdy do utraty środków doszło wskutek luk w zabezpieczeniach. – Jeżeli klient sobie sam zaszkodził, mimo wszelkich prób podejmowanych przez banki, to odpowiedzialność powinna być bardziej po stronie klienta – stwierdził.

Paweł Minkina zwrócił uwagę na pewien paradoks: zainwestowanie kilku tysięcy złotych wiąże się z wypełnieniem skomplikowanej ankiety MiFID, podczas gdy zakładając konto w banku nie trzeba weryfikować wiedzy o cyberbezpieczeństwie. To drugie, jak wskazywał Mariusz Sudoł, mogłoby być awykonalne, nie oznacza to jednak, iż fraud powinien być ex definitione traktowany jak operacja nieautoryzowana. – Niesamowicie trudno byłoby kodyfikować kwestie zwią...