Szef KNF o cyberbezpieczeństwie elektronicznych kanałów dostępu do usług bankowych

Szef  KNF o cyberbezpieczeństwie elektronicznych kanałów dostępu do usług bankowych
Przewodniczący KNF Jacek Jastrzębski. Źródło: gov.pl
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Dzisiaj, 15 lutego 2021, na stronach Komisji Nadzoru Finansowego ukazał się list Przewodniczącego KNF do sektora bankowego zatytułowany: "Cyberbezpieczeństwo elektronicznych kanałów dostępu do usług bankowych."

„Komisja Nadzoru Finansowego (dalej również: Komisja, KNF lub organ nadzoru) obserwuje dynamiczny rozwój elektronicznych kanałów dostępu do usług bankowych, w znaczący sposób determinowany obecną sytuacją epidemiczną, w której nieprofesjonalni uczestnicy rynku przenoszą swoją aktywność z tradycyjnych form kontaktu i współpracy z dostawcami tych usług na rzecz kontaktu drogą elektroniczną. „

Niska świadomość cyberzagrożeń klientów sektora finansowego

„Oprócz oczywistych korzyści dla klienta związanych z możliwością efektywnego zarządzania finansami poprzez m.in. redukcję czasu i kosztów związanych z kontaktami z bankiem, taka praktyka niesie za sobą również szereg ryzyk mających wpływ na bezpieczeństwo środków finansowych klientów” ‒ czytamy w liście Przewodniczącego KNF, Jacka Jastrzębskiego.

Przewodniczący KNF wyraża przekonanie na podstawie docierających do niego sygnałów o:

„utrzymującej się niskiej świadomości klientów w obszarze zagrożeń i ryzyk związanych z korzystaniem z nowoczesnych technologii oraz niedostatecznej znajomości podstawowych zasad bezpieczeństwa korzystania ze zdalnych kanałów dostępu do usług finansowych związanych z powierzonymi środkami pieniężnymi.”

Zaniepokojenie Komisji budzą obserwowane w ostatnim czasie działania dostawców mogące negatywnie wpływać na profil i poziom ryzyka związanego z bezpieczeństwem danych oraz środków finansowych klientów

Autor listu zwraca uwagę na rosnącą liczbę oszustw, których ofiarami padają konsumenci, niejednokrotnie tracący oszczędności całego życia.

Security first

W jego opinii w obszarze usług wykorzystujących elektroniczne kanały dostępu, dostawcy usług bankowych powinni konsekwentnie stosować paradygmat określany jako „security first”, determinujący prowadzenie pogłębionych analiz ryzyka, uwzględniających nie tylko kwestie bezpieczeństwa środowiska teleinformatycznego dostawcy bezpośredniego czy dostawców outsourcingowych, ale również ryzyk związanych z korzystaniem z usług finansowych przez klientów.

Przewodniczący KNF zauważa: „Dostawcy usług bankowych powinni mieć świadomość, że podejmowane przez nich indywidualne inicjatywy, które w ich ocenie nie wpływają negatywnie na poziom ryzyka w obszarze prowadzonej działalności biznesowej, w tym także na bezpieczeństwo środków finansowych klientów, w kontekście całego rynku finansowego i w konsekwencji wszystkich klientów tego rynku, mogą już takie ryzyko generować i stanowić czynnik ryzyka systemowego w obszarze cyberbezpieczeństwa.”

I dalej pisze: „W kontekście powyższego, zaniepokojenie Komisji budzą obserwowane w ostatnim czasie działania dostawców mogące negatywnie wpływać na profil i poziom ryzyka związanego z bezpieczeństwem danych oraz środków finansowych klientów.”

Czytaj także: Dzień Ochrony Danych Osobowych: dobre praktyki, o których trzeba pamiętać

Klient ma prawo do silnego uwierzytelniania każdej transakcji

KNF oczekuje, że „rozwiązania wpływające na bezpieczeństwo środków finansowych klientów, a w oczywisty sposób za takie należy uznać decyzję o możliwości niestosowania silnego uwierzytelnienia w odniesieniu do zdalnych elektronicznych transakcji płatniczych, które dostawca uznaje za charakteryzujące się niskim poziomem ryzyka zgodnie z mechanizmami monitorowania transakcji, będą wdrażane jedynie w sposób pozostawiający klientom celową i świadomą decyzję, podjętą z wykorzystaniem elektronicznego kanału dostępu lub innej zdefiniowanej w umowie z klientem formy komunikacji, o generalnym wyłączeniu silnego uwierzytelniania dla wszystkich transakcji niskokwotowych w proponowanym przez dostawcę zakresie.”

„Elementem poprzedzającym podjęcie tej decyzji powinna być akceptacja przez klientów informacji o potencjalnym ryzyku utraty środków finansowych, w tym przypadku związanym z wyłączeniem silnej autoryzacji dla transakcji niskokwotowych.”

W tej sytuacji, „nadzór oczekuje wdrożenia w systemie transakcyjnym funkcjonalności dającej klientowi możliwość ustawienia potwierdzenia silnym uwierzytelnieniem każdej płatności.”

Aktywne linki i słabe zabezpieczenia

W dalszej części listu Przewodniczący zwraca uwagę na rosnącą liczbę ataków przestępców na klientów bankowych z wykorzystaniem działań socjotechnicznych. Przypomina, że:

„Od wielu lat zarówno instytucje finansowe, jak i organizacje działające na rzecz edukacji w zakresie cyberbezpieczeństwa, ostrzegają przed nierozważnym uruchamianiem linków otrzymywanych w wiadomościach SMS lub wiadomościach mailowych, zwracając uwagę na wysokie ryzyko poniesienia strat finansowych oraz ujawnienia i w konsekwencji przestępczego wykorzystania danych osobowych.”

I dalej szef KNF stwierdza:

„W związku z powyższym, organ nadzoru stoi na stanowisku, że wysyłanie aktywnych linków do stron internetowych w wiadomościach mailowych (włącznie z osadzaniem takich linków w grafikach) oraz wiadomościach SMS adresowanych do klientów, stoi w sprzeczności z tworzonym i od lat komunikowanym klientom przekazem związanym z ryzykiem utraty danych i środków finansowych i powinno zostać wyeliminowane z praktyki na rzecz informacji statycznych, nie generujących wskazanego wyżej ryzyka oszustwa lub na rzecz przekazywania klientom informacji poprzez aplikacje mobilne oraz portale bankowości elektronicznej.”

Niepokój Przewodniczącego budzą także inne praktyki stosowane przez instytucje rynku finansowego.

„Stosowane przez dostawców praktyki polegające na zabezpieczaniu załączników przekazywanych w korespondencji mailowej prostymi hasłami, składającymi się np. z fragmentów numeru PESEL klienta, kombinacji elementów numeru PESEL z datą urodzenia, numerem telefonu lub innymi hasłami, które są możliwe do odgadnięcia przy pomocy ogólnodostępnych narzędzi informatycznych w skończonym czasie, organ nadzoru uznaje za nieakceptowalne ze względu na fakt, że informacje te noszą znamiona informacji chronionych bądź też zawierają dane osobowe, a budowanie prostych haseł jest sprzeczne z dobrymi praktykami w zakresie bezpieczeństwa.”

Czytaj także: Jakie wyzwania przed sektorem bankowym w 2021 roku?

Potrzebne wspólne działania edukacyjne nie tylko w internecie

W końcowej części swojego listu Przewodniczący KNF stwierdza:

„Kwestie edukacji i świadomość w obszarze cyberbezpieczeństwa są jednym z gwarantów bezpieczeństwa środków finansowych klientów i powinny być nadal adresowane przez dostawców usług bankowych. Jednakże dotychczasowe działania w tym obszarze są w ocenie nadzoru niewystarczające i nie przynoszą spodziewanych efektów, o czym świadczy skala skutecznych ataków na użytkowników usług bankowych i związany z tym poziom fraudów.”

W jego ocenie potrzebne są wspólne działania edukacyjne sektora finansowego, które nie powinny obecnie skupiać się tylko i wyłącznie na bezpieczeństwie bankowości elektronicznej i być prowadzone w formie ograniczonej do publikowania informacji na stronie internetowej dostawcy.

Działania te powinny wykorzystywać jako nośnik medialny nie tylko internet:

„bowiem koncentrowanie się tylko na tym medium prowadzi do ograniczenia lub pomijania pewnych grup konsumentów, co w konsekwencji skutkuje luką kompetencyjną w zakresie cyberbezpieczeństwa.”

Komunikat w całości jest dostępny na stronach KNF.

Źródło: aleBank.pl