Technologie: Bezpieczna bankowość elektronicza

OPRAC. JAN OSIECKI

Partnerem debaty była firma: Trend Micro. W dyskusji moderowanej przez dyrektora w ZBP, prof. Remigiusza Kaszubskiego udział wzięli: Robert Ładziak – BRE Bank – audytor IT, w Wydziale IT, Bezpieczeństwa i Informatycznej Analizy Danych w Departamencie Audytu Wewnętrznego, Łukasz Geldner – Bank Citi Handlowy, Marcin Wiecha – Bank Citi Handlowy, Jarosław Samonek – Trend Micro – Regional Manager Enterprise w regionie Europy Środkowo-Wschodniej, Bogdan Kowalczyk – BOŚ – dyrektor Departamentu Informatyki, Jan Osiecki – redaktor naczelny „Miesięcznika Finansowego BANK”

Remigiusz Kaszubski

Chciałbym zapytać panów o to, jak należy pojmować systemy zabezpieczeń w transakcjach biznesowych. Chodzi mi także o komunikację z klientem. Co jest dla banku najistotniejsze w takim kontakcie ?

Robert Ładziak

Najtrudniejszą, ale i jednocześnie najważniejszą sprawą jest uświadomienie klientowi zagrożeń związanych z usługami bankowymi za pośrednictwem internetu. Niebawem będzie to najpopularniejszy sposób korzystania z ich oferty. Tymczasem z własnego doświadczenia wiem, że czasem klienci w ogóle nie mają pojęcia o problemach związanych z bezpieczeństwem transakcji wykonywanych w sieci. Czasem w swoich prywatnych komputerach nie mają nawet podstawowych zabezpieczeń. A gdy coś złego się wydarzy, oskarżają bank. Były przypadki, że swe pretensje przedkładali Komisji Nadzoru Finansowego i twierdzili, że stało się tak z winy banku.

Próby przekazania informacji klientom przez stronę internetową banku nie zawsze są skuteczne. Nawet wtedy, gdy logując się, czytają informacje do nich wysyłane.

Remigiusz Kaszubski

Czyli, pańskim zdaniem, najsłabszym ogniwem systemu bezpieczeństwa jest klient. Jednak bank jest tak bezpieczny jak jego najsłabsze ogniwo.

Fakt, to my bankowcy dostarczamy różnego rodzaju instrumenty służące temu, żeby klient mógł się poczuć bezpiecznie. Mówimy mu, że powinien mieć właściwe oprogramowanie i korzystać z niego. Ale czy on to robi?

Marcin Wiecha

Jedna rzecz gwoli uzupełnienia. Czym jest bank? Bank to zaufanie i wiarygodność. A to zbudować możemy przez prostą i klarowną komunikację. Z klientem możemy komunikować się na kilka sposobów, m.in. przez notatkę prasową czy komunikację werbalną. I tu rodzi się pytanie, jak prowadzimy tę komunikację? Czy informacja jest przedstawiona dokładnie? Czy jest zawarta tylko w umowie, czy też powtarzana np. w ogłoszeniach prasowych? Czy jest zgodna ze strategią banku? A przede wszystkim, czy jest czytelna i zrozumiała dla klienta? Działy PR i komunikacji społecznej powinny takie rzeczy bardzo uważnie monitorować.

Bogdan Kowalczyk

Chciałbym podkreślić pewien aspekt związany z tą sprawą. Mamy do czynienia z bardzo zróżnicowanymi klientami. Są osoby młode, wyedukowane i przygotowane do posługiwania się technologiami informatycznymi. I to są bardzo świadomi klienci: wiedzą, czego chcą, znają zagrożenia i potrafią im przeciwdziałać.

Druga grupa to osoby mające słabe przygotowanie do kontaktów z technologiami informatycznymi, albo takiego przygotowania niemające w ogóle. Ci „nietechniczni” nie rozumieją komunikatów, które się do niech wysyła. Na przykład, na stronie logowania do systemu transakcyjnego jest informacja, że należy zainstalować oprogramowanie antywirusowe, ale taka osoba nie wie, co to jest wirus komputerowy. Nam wydaje się, że docieramy do klienta i informujemy go w sposób zrozumiały. I dla nas jest on zrozumiały, bo jesteśmy fachowcami. Ale nie wiemy, jak klient odbiera nasze komunikaty. Tymczasem jeśli ich nie zrozumie, to nie zastosuje się do nich. To kwestia mentalności i pewnego poziomu edukacji. Z istnienia tego problemu trzeba sobie zdawać sprawę.

Łukasz Geldner

Otwarta pozostaje kwestia, czy takie osoby będą korzystały z bankowości elektronicznej, czy też będą wolały pójść do oddziału.

Jan Osiecki

Aż tak źle nie jest. Z własnego doświadczenia wiem, że da się takie osoby nauczyć choćby wykonywania przelewów. Natomiast ktoś musi zadbać o bezpieczeństwo komputera tego typu użytkownika.

Łukasz Geldner

Potrzebne jest wsparcie. Nauczyłem moją mamę korzystać z bankowości elektronicznej, ale to ja zarządzam aktualizacjami systemu czy oprogramowaniem antywirusowym. Dzięki temu mama nie boi się bankowości elektronicznej i nie musi chodzić do oddziału banku. Natomiast osobom, które nie mają takiego wsparcia, wystarczyłaby pomoc banku.

Remigiusz Kaszubski

Mamy jednak jeszcze jeden problem. Sprawa może nie ma charakteru transakcyjnego, ale jest związana z komunikacją z klientem. Mówię o komunikacji przez call center. Zdarzyło się, że jeden z banków dzwonił i prosił klienta o dane, które umożliwiłyby mu zweryfikowanie tej osoby w swoich systemach.

Łukasz Geldner

Bezpieczeństwo powinno być zachowywane na każdym etapie komunikacji. To, o czym pan opowiedział, jest niedopuszczalne. Wygląda na wyciąganie informacji przez phishing czy zwykły podsłuch. W ten sposób psujemy całe bezpieczeństwo komunikacji. Ludzie muszą wiedzieć, że bank nie ma prawa dzwonić do nich i żądać informacji potrzebnych do weryfikacji klienta w systemie.

Jarosław Samonek

Zainteresowało mnie to, co powiedział pan Robert Ładziak, że to banki powinny być odpowiedzialne za bezpieczeństwo klientów. ...