Cyberbezpieczeństwo

SafeBANK 2023 o cyberochronie tożsamości klientów banków

Bohdan Szafrański | BANK.pl
SafeBANK 2023 o cyberochronie tożsamości klientów banków
SafeBANK 2023. Fot. Michał Wagner
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Dr Tadeusz Białek, prezes Związku Banków Polskich otwierając konferencję SafeBANK 2023 podkreślił znaczenie bezpieczeństwa dla sektora bankowego. Jest to jeden z pięciu obszarów, na którym szczególnie skupia się ZBP.

Przygotowano już zagadnienia, o których sektor bankowy chce rozmawiać z nowym rządem. Chodzi tu między innymi o bariery w zakresie dzielenia się informacjami, dotyczącymi bezpieczeństwa zarówno wewnątrz sektora, jak i z innymi branżami. Potrzebne są regulacje, które umożliwiłyby to w szerszym zakresie np. w zakresie współpracy z telekomami. Jak stwierdził prezes ZBP – banki nie konkurują w zakresie bezpieczeństwa pomiędzy sobą.

Dr Tadeusz Białek przypomniał również, że 2024 rok został ogłoszony „Rokiem Edukacji Ekonomicznej” przez Senat RP.

Czytaj także: SafeBANK 2023 o fundamentach bezpieczeństwa banków

Cyberbezpieczeństwo transakcji a odpowiedzialność banków

Paweł Minkina, wiceprezes zarządu Centrum Procesów Bankowych i Informacji zwrócił uwagę, że 94% firm na świecie padło ofiarą cyberataku.

Jednak jak pokazują badania, społeczeństwo ufa bankom w zakresie zapewnienia przez nie bezpieczeństwa. Bank ma tworzyć infrastrukturę i w pełni odpowiada też za niefrasobliwość klientów.

Wiceprezes CPBiI podkreślił znaczenie rozwoju obszaru generatywnej AI, co zwielokrotnia skalę cyberzagrożeń. Obserwujemy też w bankach zwiększenie zatrudnienia w sektorze cyberbezpieczeństwa. Wspomniał o nowej regulacji związanej z bezpieczeństwem, jaką jest DORA, która właśnie wchodzi w życie.

Cyberedukacja klientów banków

Bartosz Kublik, wiceprezes ZBP odpowiedzialny za obszar bezpieczeństwa i cyberbezpieczeństwa mówił między innymi o obecnym podejściu sądów w razie niefrasobliwych zachowań klientów i przekonania, że za wszystkie związane z tym problemy odpowiada głównie bank. Dlatego tak duża jest dziś rola edukacji klientów w zakresie bezpieczeństwa przy korzystaniu przez nich z różnych kanałów kontaktu z bankami, bo ma to wpływ na bezpieczeństwo całego sektora.

Bartosz Kublik podkreślił także znaczenie standaryzacji i wymiany informacji, w tym pomiędzy różnymi sektorami np. z telekomami. Wspomniał o Grupie V8 krajów z naszego regionu, z którymi od 10 lat współpracujemy również w zakresie bezpieczeństwa banków.

Jak się okazuje, z danych podanych przez banki w Czechach – w drugim i trzecim kwartale tego roku było w tym kraju znacznie więcej incydentów bezpieczeństwa niż w Polsce ze znacznie większym rynkiem bankowym. Jak stwierdził wiceprezes ZBP, pokazuje to, że podejmowane u nas wspólne działania sektora dotyczące bezpieczeństwa mają znaczenie.

Sesja I: Wyzwania banków w zakresie ochrony tożsamości klientów

W trakcie Sesji poruszono takie zagadnienia, jak: problemy związane z identyfikacją i uwierzytelnieniem klienta; procesy KYC, w tym z wykorzystaniem aplikacji mObywatel; rażące niedbalstwo – przykłady, gdy klient samoujawnia informacje o swojej tożsamości i danych uwierzytelniających oraz przedstawiono przykłady spraw, w których mamy do czynienia z ujawnieniem informacji dotyczących tożsamości.

Panel dyskusyjny moderował dr Jarosław Biegański, zastępca dyrektora Zespołu Bezpieczeństwa Banków w ZBP, a uczestnikami byli: Konrad Krupiński, Financial Crime Prevention Manager w AION Bank; Andrzej Otto, menedżer Zespołu Kontroli i Nadzoru w Santander Bank Polska; Łukasz Gracki, kierownik Wydziału Zarządzania Ryzykiem Nadużyć w Banku Millennium oraz Marcin Bizoń, Partner, Dział Zarządzania Ryzykiem Nadużyć w EY Polska.

Dr Jarosław Biegański zwrócił uwagę, że 95% domen zgłaszanych do zamknięcia to te z fałszywymi ofertami inwestycji. To pokazuje, gdzie dziś jest problem, jeśli chodzi o oszustwa dotykające klientów banków.

Jak stwierdził Łukasz Gracki, to właśnie scamy związane z inwestycjami są największym wyzwaniem dla banków, bo sami klienci autoryzują takie transakcje. To często „chciwość” powoduje, że wiele osób nie chce uwierzyć, że proponowana inwestycja to zwykły scam, oszustwo.

Ważna jest edukacja klientów. Jednak, jeśli bank nie wykona zleconej przez klienta transakcji przelewu, bo z analizy ryzyka wynika, że jest to oszustwo, to spotyka się z reklamacją ze strony klienta. Jeśli wykona, to też spotyka się z reklamacją, bo klient czuje się oszukany.

Konrad Krupiński mówił o specyfice działania AION Bank i problemów z jakimi spotyka się przy obsłudze zleceń związanych z obsługą firmy Revolut (prowadzenia usługi wirtualnego rachunku rozliczeniowego).

Największy problem Bank ma ze scamami. Środki uzyskane przez przestępców są utylizowane natychmiast, a takich spraw jest 300 – 400 miesięcznie, co też generuje duże koszty operacyjne.

Jak stwierdził, ostatnim etapem oszustwa jest przelew środków na elektroniczną portmonetkę należącą do scamerów. Środki z niej wykorzystuje się np. do kupna kryptowalut. Tu systemy informatyczne niewiele mogą pomóc. Jak stwierdził, obecnie osoby w wieku 55+ są najczęściej oszukiwane.

Łukasz Gracki zwrócił uwagę, że często ten sam klient ma rachunek wykorzystywany do prania pieniędzy przez przestępców i jest równocześnie ofiarą oszustwa.

Andrzej Otto przypomniał zasadę przyjętą już w prawie rzymskim, że chciwemu nie dzieje się krzywda i tak powinno się patrzeć na część oszukanych osób. Przypomniał, że w ustawie o dokumencie elektronicznym, jakim jest mDowód zakłada się, że weryfikacja osoby przy jego wykorzystaniu wymaga bezpośredniego kontaktu. Konieczna jest tu wzajemna bezpośrednia obecności stron. Mobilnie nie jest jednoznaczne ze zdalnym.

Jak stwierdził mDowód dostępny w aplikacji mObywatel przynajmniej zamyka możliwość wykorzystania tzw. dowodu kolekcjonerskiego, bo można na bieżąco weryfikować prawdziwość dokumentu. To największa zaleta tego rozwiązania. Zalecał robienie zrzutów dowodu klientów i potwierdzania ich podpisem elektronicznym.

Marcin Bizoń zwrócił uwagę, że dziś za ważny problem ankietowani przedstawiciele banków wskazali nieautoryzowane transakcje (ponad 60% respondentów). Obecnie oszuści korzystają ze schematów podobnych do tych znanych już od lat. Przestępcy wykorzystują socjotechnikę. Już wcześniej klienci powierzali instrumenty uwierzytelniające skamerom. Ważne jest budowanie świadomości klientów, którzy polegają na bankach, a sami są najsłabszym elementem w systemie.

W trakcie dyskusji podkreślono, że klienci uważają, że to bank jest profesjonalnym podmiotem odpowiedzialnym za bezpieczeństwo. Nieautoryzowane transakcje to te wykonane przez oszusta. Trzeba udowodnić, że daną transakcję wykonał klient. Oszuści dziś są nawet gotowi zwrócić klientowi małą kwotę z inwestycji, żeby zwiększyć jego wiarę w możliwe zyski. Zwrócono uwagę, że również w UE jest obecnie tendencja chronienia konsumenta zawsze, nawet nadmiernie.

ZBP na rzecz cyberochrony tożsamości

„Zastrzeganie i weryfikacja numerów PESEL poprzez System Dokumenty Zastrzeżone ZBP”, tak zatytułował prezentację Dariusz Kozłowski, wiceprezes, Centrum Procesów Bankowych i Informacji.

Ustawa z 7 lipca 2023 r. jako nowość wprowadziła rozwiązanie zastrzegania numeru PESEL. Jednak już wcześniej BIK wprowadził Bezpieczny PESEL, ale było to rozwiązanie tylko sektorowe.

Za ważne uznał zobowiązanie telekomów do blokowania możliwości podszywania się numery telefonów banków. Również wypłaty gotówkowe powyżej trzykrotnego średniego wynagrodzenia muszą być weryfikowane.

Już 17 listopada ’23 podano komunikat o działaniu Ustawy, choć nie jest to dokładna informacja. Podmioty zobowiązane dopiero od 1 czerwca 2024 r. będą musiały spełniać wymogi ustawy. Do Systemu Dokumenty Zastrzeżone ZBP wprowadzono nowe usługi np. od najbliższego poniedziałku (18.12.2023) usługę weryfikacji zastrzeżenia numeru PESEL.

Będzie można też sprawdzić, czy PESEL był zweryfikowany wcześniej. Wspomniał o zastrzeganiu mDowodu. Obecnie zastrzeżono kilkadziesiąt takich dowodów przez banki.

Dariusz Kozłowski zwrócił uwagę, że banki nie mogą usuwać zastrzeżenia numeru PESEL. Omówił także zastrzeganie mDowodu i związane z tym problemy.

Metoda analizy behawioralnej w relacji klient-bank

Analizę behawioralną i jej znaczenie dla ochrony tożsamości przedstawił w swoim wystąpieniu Bartosz Wójcicki, Product Owner w Biurze Usług Antyfraudowych BIK. Analiza behawioralna weryfikuje użytkowników na podstawie ich zachowania przy korzystaniu z urządzeń, przy pomocy których korzystają z usług bankowych. Do weryfikacji nie są potrzebne żadne dodatkowe urządzenia.

Na etapie zbierania wszystkie dane są zanonimizowane. Jak podał, pamięć mięśniowa jest najsilniejsza na początku sesji. W tym przypadku biometria działa od momentu logowania do końca trwania sesji. W systemie wykorzystuje się uczenie maszynowe.

Jak stwierdził Bartosz Wójcicki, obserwuje się wzrost liczby zagrożeń, ale więcej jest zachowań sprzyjających bezpieczeństwu.

Źródło: BANK.pl