Raport Specjalny | Cyberbezpieczeństwo – Deloitte | Co słychać w cyberbezpieczeństwie sektora bankowego?
Michał Sosinka
Partner Associate
Cyber Deloitte
Rozważania na temat każdego typu zagrożeń należy rozpocząć od przeglądu globalnych trendów i incydentów dotyczących naruszenia cyberbezpieczeństwa w różnych branżach i regionach geograficznych. W ostatnich latach konflikty geopolityczne stały się bowiem kluczowym czynnikiem wzmagającym napięcia w cyberprzestrzeni, obecnie jeszcze bardziej istotnym w kontekście inwazji Rosji na Ukrainę oraz pogarszającej się relacji między Chinami kontynentalnymi a Hongkongiem i Tajwanem. Coraz częstszym zjawiskiem jest również to, że cyberprzestępcy sprzedają swoje specjalistyczne umiejętności jako usługi. W miarę wzrostu specjalizacji i współpracy między cyberprzestępcami wpływ ich działań staje się bardziej odczuwalny. Ponadto ekosystem cyberprzestępczy jawi się jako coraz bardziej rozdrobniony, a granice pomiędzy działalnością państwową i niepaństwową stają się mniej widoczne.
Istotnym czynnikiem znacząco przyspieszającym transformację cyfrową był wybuch pandemii COVID-19, co w połączeniu z rozległym ekosystemem biznesowym poszerzyło obszar ataków. Organizacje nie mogą jedynie polegać na obronie swoich dotychczasowych obszarów, muszą rozszerzyć zabezpieczenia tak, aby obejmowały również technologie pracy zdalnej, strony trzecie, a także inne istotne usługi, takiej jak np. rozwiązania chmurowe.
Sztuczna inteligencja między dobrem a złem
Rozwój sztucznej inteligencji w obszarze cyberbezpieczeństwa jest wykorzystywany przez obie strony wojny cybernetycznej. Atakujący mogą dzięki niej wykonywać bardziej obszerne, zaawansowane, ale też bardziej precyzyjne ataki na konkretne cele; tj. banki czy klientów. Łatwiej też tworzyć i przeprowadzać kampanie skierowane do klientów konkretnych banków, przez dostosowywanie scenariuszy ataków do określonych zabezpieczeń stosowanych przez dane organizacje. Coraz częściej stosuje się również technologie deepfake, aby podszywać się pod konkretne osoby, choćby zlecając przelewy czy uwierzytelniając transakcje.
Sztuczna inteligencja zaczyna odgrywać kluczową rolę we wzmacnianiu cyberbezpieczeństwa sektora bankowego. Wdrażanie przezeń AI coraz częściej przynosi realne korzyści: pomaga w wykrywaniu oszustw poprzez identyfikacje wzorców nietypowych wydatków, niecodziennych lokalizacji transakcji lub działań w nietypowych porach. Biometria behawioralna poprzez badanie wzorców pisania, ruchów myszką czy sposobu interakcji z urządzeniami jest w stanie wesprzeć proces identyfikacji użytkownika oraz może zapobiec nieautoryzowanemu dostępowi, nawet jeśli zostaną użyte poprawne dane logowania. Dodatkowo procesy uwierzytelniania mogą być wspierane technologią rozpoznawania twarzy oraz głosu, zapewniając kolejną warstwę bezpieczeństwa. Taki rozwój AI wymaga ciągłego ulepszania narzędzi. Przestępcy, nieograniczeni budżetami, decydentami czy regulacjami mogą swobodnie inwestować w rozwój nowych narzędzi i wektorów ataku.
Tożsamość i uwierzytelnianie
Kradzież tożsamości jest jednym z najczęstszych rodzajów ataku cybernetycznego na klientów banku. Jednym z głównych celów przestępców jest pozyskanie środków pieniężnych za pomocą bankowości elektronicznej. Przestępca identyfikuje ofiarę, pozyskuje jej dane, następnie, posiadając niezbędne informacje, dokonuje logowania do systemu bankowego i wydaje dyspozycję przelewu środków. Taka sytuacja sugeruje, iż poszkodowaną jest osoba, z której konta zostały przelane środki, jednak w rzeczywistości to bank jest podmiotem poszkodowanym, jednocześnie zobowiązanym wobec swojego klienta. Jest to atak o tyle uciążliwy dla instytucji finansowych, że w efekcie za środki skradzione z rachunku bankowego klienta odpowiada bank (zgodnie z konstrukcją prawną rachunku bankowego). W sytuacji, w której klient twierdzi, że to nie on wydał dyspozycję, na banku ciąży obowiązek wykazania sposobu autoryzacji spornej transakcji. W tym przypadku w interesie banku jest dostosowanie środków ochrony do aktualnych wyzwań i zagrożeń cybernetycznych.
Przy bieżącym tempie rozwoju technologii, a w szczególności narzędzi AI, dotychczasowe środki ochrony przed atakami stają się niewystarczające. Kluczowym zadaniem jest poprawne i niezawodne identyfikowanie klientów internetowych systemów bankowych, poprzez udostępnienie im odpowiednich narzędzi weryfikacji wieloetapowej. W przypadku aplikacji mobilnych wstępna weryfikacja użytkownika przy instalacji aplikacji często wymaga autentykacji nawet trzyetapowej, wliczając w to między innymi: login, hasło, PESEL, SMS, a nawet połączenie telefoniczne z bankiem. To instytucje finansowe muszą zapewnić odpowiednie narzędzia certyfikacji i weryfikacji na odległość. Jeżeli bank korzysta z nieadekwatnych w stosunku do ryzyka środków bezpieczeństwa, tym bardziej to on odpowiada za transakcje fraudowe.
Zmiany regulacyjne: PSD3
W połowie 2023 r. Komisja Europejska przedstawiła projekt dyrektywy PSD3, która ma na celu pogłębienie oraz dalszą regulację usług płatniczych w krajach członkowskich UE. Dotychczasowo obowiązująca dyrektywa PSD2, czyli Revised Payment Services Directive (Zrewidowana Dyrektywa w sprawie Usług Płatniczych), zrewolucjonizowała sektor usług płatniczych, zmieniając sposób, w jaki dokonujemy płatności online, zwiększając bezpieczeństwo przez narzucenie rygorystycznych standardów bezpieczeństwa, w tym między innymi autoryzację dwuetapową, czy zachęcając do rozwoju nowych technologii płatniczych (otwarcie rynku na nowych uczestników, czyli tak zwanych Third-Party Providers – TPPs). Innowacyjnym aspektem dyrektywy było przyznanie konsumentom szerszych praw, w tym prawa do zwrotu nieautoryzowanych transakcji.
Dyrektywa PSD3 kontynuuje dążenia do zwiększenia bezpieczeństwa transakcji online przez wprowadzenie bardziej rygorystycznych standardów bezpieczeństwa, które mają na celu ochronę klientów, jak i dostawców usług płatniczych przed oszustwami i nieautoryzowanym dostępem. Promowane będą płatności mobilne, biometryczne oraz rozwiązania oparte na technologii blockchain. W kontekście globalizacji i coraz większej liczby transakcji międzynarodowych PSD3 wspiera inne międzynarodowe regulacje oraz współpracę z innymi jurysdykcjami.
Sektor finansowy jest jednym z najbardziej regulowanych sektorów na rynku. Ma to na celu odpowiednie zabezpieczenie środków finansowych oraz zabezpieczenie klientów banków przed działaniami nieupoważnionymi. Rozwój technologiczny wymaga ciągłej aktualizacji zabezpieczeń oraz stosowania coraz nowszych rozwiązań, w tym sztucznej inteligencji. Odpowiedzialność za to spoczywa na barkach banków, dzięki czemu inwestycje, które mają miejsce, są odpowiednio adresowane i wspomagają ogólny poziom bezpieczeństwa sektora. PSD2 oraz PSD3 są o tyle istotne, że bezpośrednio przekładają się na bezpieczeństwo tego, w jaki sposób klienci współpracują z bankami, przez wprowadzanie dodatkowych sposobów uwierzytelniania, jak i korzyści w postaci ochrony środków na rachunkach bankowych.
Branża finansowa, choć budząca ogromne zainteresowanie i liczne aktywności cyberprzestępców, jest wspierana przez szereg aktywności regulatorów na poziomie kraju i świata, dbających o ciągłość biznesową i bezpieczeństwo naszych pieniędzy. Nowe technologie wplecione w tę rozgrywkę wspierają zarówno dobrą, jak i złą stronę. Wyścig trwa.