Tylko banki mają środki, kompetencje i wiedzę, żeby stawić czoła cyberprzestępcom
Robert Lidke: Banki wprowadzają nowe technologie i modyfikują sposób dostępu do swoich usług, pozostałe instytucje finansowe także, ale czy klienci są do tego przygotowani?
Adam Haertle: Trudno powiedzieć, że ktoś może być przygotowany do tak nowoczesnych technologii jakie dzisiaj mamy choćby w polskim sektorze finansowym. Większość użytkowników nie jest nawet przygotowana do posiadania smartfona, bo ma z nim doświadczenie zaledwie od paru lat. Nie jest to technologia naturalna, znana większości użytkowników systemu.
A kiedy usługi finansowe stają się coraz bardziej skomplikowane, dostępne w różnych kanałach ‒ to jest postęp, to jest rozwój, natomiast użytkownicy zostają trochę z tyłu. I często nie są nawet świadomi, jak te usługi działają.
To nie jest zaskoczenie, bo dla użytkownika bank ma być bankiem, ma udzielić kredytu, przyjąć lokatę obsłużyć jego potrzeby. A cała ta warstwa technologiczna powinna być dla użytkownika przeźroczysta.
Jeśli klient nie wie, jak się posługiwać nową technologią, to jest mały problem. Większy jest wtedy, gdy okazuje się, że to, iż korzysta on z nowych urządzeń, technologii, sposobów komunikowania się z instytucjami finansowymi wystawia go na ryzyko. Ryzyko utraty pieniędzy, swoich danych.
‒ Niestety, złodzieje funkcjonujący na polskim rynku są bardzo sprawni zarówno od strony technologicznej, jak i psychologicznej. Świetnie rozpracowali mechanizmy, które umożliwiają wprowadzenie użytkownika w błąd.
A łatwo jest wprowadzić użytkownika w błąd przez Internet, kiedy nie ma on pojęcia, jak zweryfikować czy dana strona faktycznie należy do banku. Albo gdy myśli, że jeśli jest na stronie kuriera, to tam strona logowania do banku jest zupełnie normalna.
Zwykły użytkownik Internetu bankowości elektronicznej w Polsce nie wie o tym, że zalogować się do banku może dopiero po sprawdzeniu czy faktycznie znajduje się na stronie banku. Przeważnie myśli, że jest to jakiś pośrednik, że tutaj się zaloguje, bo to nie musi być adresu banku. A jednak musi.
W ten sposób przestępcy są w stanie wyłudzić poświadczenia do logowania do banków od użytkowników, którzy nie są nauczeni pewnych zasad bezpieczeństwa, bo nigdy nikt ich tego nie uczył. I nigdy tego nie potrzebowali. Oni chcą po prostu skorzystać z usługi, więc korzystają. Tylko, że z usługi złodzieja, który im podstawił ją w miejsce prawdziwej.
Czy to oznacza, że banki nie powinny oferować nowych technologii, nowych usług? Czy powinniśmy dalej chodzić do oddziału banku i tam stać w kolejce, żeby regulować różne należności? Bo tak jest bezpiecznie?
‒ Tak byłoby bezpieczniej, choć mniej wygodnie. A społeczeństwo dąży do tego, by było wygodniej. Wydaje mi się, że problemem i jego rozwiązaniem jest to, że nie powinniśmy liczyć na to, że użytkownik nie da się oszukać.
Użytkownik jest tylko użytkownikiem, i nie można od niego oczekiwać profesjonalizmu takiego, jaki mamy po stronie dostawców usług. I jedyną uniwersalną odpowiedzią na coraz groźniejsze ataki przestępców jest coraz lepsza obrona użytkownika przez jego usługodawcę.
I choć nie jest to przyjemne i jest bardziej kosztowne ‒ jednak to banki będą musiały w przyszłości, a nawet już teraz, wziąć na siebie ciężar odpowiedzialności za uchronienie swoich użytkowników przed oszustami.
Tylko banki mają środki, kompetencje i wiedzę, żeby stawić czoła wyrafinowanym i wyspecjalizowanym przestępcom.
Czyli klient będzie całkowicie zwolniony z odpowiedzialności? I każda kradzież, która ewentualnie nastąpi będzie z winy banku, podmiotu trzeciego? A nie z winy klienta?
‒ Już dzisiaj orzecznictwo skłania się ku temu, że jeżeli klient jest w stanie pokazać, że dochował należytej staranności ‒ przez co niektóre sądy rozumieją np. posiadanie antywirusa i aktualizowanie Windowsa ‒ to odpowiedzialność w tym momencie spoczywa po stronie banku.
Mam wielu znajomych w sektorze bankowym, a z drugiej strony mam znajomych, którzy zostali okradzeni. I patrząc od strony szans zapobieżenia temu zjawisku, jedynym rozwiązaniem jest to, że banki wezmą na siebie tę odpowiedzialność. Bo użytkownicy nigdy się przed tymi atakami sami nie uchronią.
Więc jeśli chcemy powstrzymać przestępczość bankową w Polsce, to musi to zrobić sektor bankowy.
Od września obowiązuje dyrektywa PSD2, pojawiają się podmioty trzecie. I banki podnoszą kwestię, co się stanie, jeśli to z winy podmiotu trzeciego nastąpi wyciek danych i zostaną skradzione pieniądze klienta? Prawo wskazuje na odpowiedzialność banków, ale one czują się źle traktowane przez przepisy, które zdejmują odpowiedzialność z podmiotu trzeciego.
‒ Dopiero za rok, dwa, trzy, orzecznictwo pokaże, gdzie ta odpowiedzialność będzie spoczywać, kiedy dojdzie już do prawomocnych orzeczeń. Natomiast ja nie obawiam się za bardzo ataków za pośrednictwem podmiotów trzecich.
Pamiętajmy, że są to firmy, które powstają z pełną świadomością tego, jak dzisiaj wygląda krajobraz zagrożeń na rynku finansowym. I ich twórcom zależy na tym, aby te usługi były bezpieczne.
Natomiast banki musiały przejść tę drogę, bo zaczynały wdrażać swoje systemy, kiedy jeszcze nikt nie słyszał o oszustwach internetowych i w zasadzie reagowały dopiero na sytuację, która pojawiła się na rynku.
Pięć lat temu banki nie były przygotowane do walki z oszustami, którzy atakowali klientów. Dzisiaj są już świetnie przygotowane, ponieważ orzecznictwo sądów i wyroki na niekorzyść banków sprawiły, że koszty „nie bycia” przygotowanym na ataki wzrosły na tyle znacząco, że banki postanowiły się jednak na ataki przygotować.
Nowo powstający sektor fintechów zna te wszystkie zagrożenia. Bo często są tam ludzie, którzy spędzili wiele lat w bankowym sektorze tradycyjnym, i są w stanie dzisiaj swoje systemy, rozwiązania z góry zaprojektować, biorąc pod uwagę te zagrożenia. Dzięki temu będą one dużo bezpieczniejsze.
Jestem przekonany, że skala oszustw u pośredników, będzie dużo mniejsza niż w bankowości tradycyjnej.
Która technologia może najbardziej pomóc w ograniczeniu przestępczości? Czy np. technologia oparta o zachowanie klienta?
‒ Jedyna moja nadzieja, wobec skali oszustw na polskim rynku do jakich dochodzi, jest związana z biometrią behawioralną. Gdzie firmy dostarczają możliwości identyfikacji nie konkretnego klienta, ale identyfikacji przypadku, gdy dzisiaj przy komputerze siada kto inny niż wczoraj.
Nie jest ustalana tożsamość klienta, lecz tylko stopień rozbieżności pomiędzy wczorajszą sesją klienta a dzisiejszą sesją.
I jeżeli jest to dobrze wyskalowane w systemach bankowych, to stanowi bardzo cenny sygnał dla zespołów zwalczających nadużycia. A jeżeli widać, że klient znacząco różni się zachowaniem od tego, który logował się chwilę wcześniej i dokonuje podejrzanej serii transakcji, to jest to sygnał do interwencji i zablokowania takich prób oszustwa.
Znam skutki takich wdrożeń w niektórych podmiotach i są one dosyć obiecujące.