XXVI Ranking Banków Miesięcznika Finansowego BANK 2021 | KIR S.A. | Bezpieczne e-usługi gwarancją zrównoważonego rozwoju cyfrowej gospodarki
Tomasz Roszak
Dyrektor Departamentu Zarządzania Danymi, KIR
Pod względem doświadczenia sektora bankowego w sprawnym i relatywnie szybkim przeprowadzaniu procesów związanych z digitalizacją, Polska jest wyjątkowym krajem – jesteśmy rynkiem zaawansowanym zarówno jeśli chodzi o model funkcjonowania banków, jak i przygotowanie klientów do szybkiego adaptowania innowacyjnych rozwiązań. Nasza bankowość od lat plasuje się na pozycji europejskiego lidera w zakresie usług internetowych i mobilnych. Banki w Polsce oferują bezpieczne i wysokowydajne rozwiązania, konsekwentnie na tle innych sektorów gospodarki są technologicznymi innowatorami. Jednocześnie podlegają ścisłej kontroli i nadzorowi instytucji państwowych, mają zaawansowane procedury i są regularnie poddawane audytom. To wszystko decyduje o wysokim poziomie zaufania do sektora bankowego i stabilnej bazie klientów.
W ostatnich latach, wraz z rozwojem i popularyzacją nowych technologii, zmienił się krajobraz cyberzagrożeń. Znaczący wpływ na tę przestrzeń miały także ostatnie miesiące naznaczone pandemią i jej konsekwencje, zarówno dla firm, jak i konsumentów. W warunkach wymuszonego funkcjonowania w izolacji społecznej i pracy zdalnej, pojawiła się niespotykana presja na korzystanie z dotąd mało rozpowszechnionych rozwiązań teleinformatycznych. To, co było planowane w kontekście cyfryzacji na dekadę, zostało zrealizowane często w kilkanaście miesięcy.
Pojawienie się nowych rozwiązań przyniosło ze sobą nowe zagrożenia w cyberprzestrzeni. Liczba różnego rodzaju cyberataków na początku pandemii była nawet 4 razy wyższa niż przed jej wybuchem. Ich celem stały się nie tylko firmy, ale również obywatele. W 2020 r. dwukrotnie częściej byliśmy narażeni na próby wyłudzeń w formie ataków phishingowych – w porównaniu z rokiem 2019 liczba odnotowanych takich incydentów w Polsce wzrosła w 2020 r. o 117%. Jednocześnie aż 78% średnich i dużych firm w Polsce jest w trakcie transformacji cyfrowej, a blisko 36% firm deklaruje, że jest na zaawansowanym etapie wdrożeń.
Wdrażanie nowych technologii to duże wyzwanie. Krytycznego znaczenia nabiera odpowiedzialność firm za dane klientów oraz cyberbezpieczeństwo. Odpowiedzialność ta wzrasta wraz z rozwojem ekosystemu cyfrowego i nie dotyczy tylko podmiotów, które te kwestie od dawna umieszczały w centrum swojej uwagi – takich jak podmioty sektora bankowego – ale również innych uczestników rynku. KIR zajmuje kluczową rolę w efektywnym i bezpiecznym funkcjonowaniu polskiego systemu płatniczego i od lat jest technologicznym partnerem całego sektora bankowego, dostarczającym rozwiązania na najwyższym poziomie bezpieczeństwa.
Cyberbezpieczeństwo w KIR
W KIR stosowane są najwyższe standardy związane z zabezpieczeniami i ochroną, potwierdzone certyfikatami, jak np. ISO27001 oraz ISO 22301, legitymizującymi właściwy sposób Zarządzania Ciągłością Działania. Wykorzystywane narzędzia i technologie, stosowane na poszczególnych warstwach systemu bezpieczeństwa, pozwalają na odpowiednie i adekwatne do ryzyka zabezpieczenie aktywów. Systemowe mechanizmy reakcji, powiązane z właściwymi narzędziami, są odpowiedzią na potencjalne i faktyczne cyberataki. Odporność organizacji opiera się na technologii i wewnętrznych kompetencjach. Model ten jest stale aktualizowany, testowany i doskonalony. Chroniąc swoje aktywa, uczestniczymy czynnie w sektorowych inicjatywach związanych z bezpieczeństwem, odnosząc do siebie wszelkie rekomendacje i doświadczenia rejestrowane w ramach współpracy sektorowej przy KNF, ZBP oraz NCCyber (Narodowe Centrum Cyberbezpieczeństwa).
Bezpieczna infrastruktura dla polskiego sektora bankowego
Nieprzerwanie, od blisko 30 lat, KIR zapewnia stabilność i niezawodność rozliczeń międzybankowych. Dążąc do digitalizacji transakcji, wprowadził w 1994 r. system Elixir, co rozpoczęło nową erę w polskiej bankowości. Był to pierwszy krok na drodze do rozwoju nowoczesnych usług bankowych i historyczny początek rewolucji cyfrowej w płatnościach w naszym kraju. Dziś, idąc z duchem czasu, KIR dostarcza pełną gamę usług, stanowiących fundament sprawnego funkcjonowania obrotu gospodarczego. Nowoczesne usługi przelewów natychmiastowych – system Express Elixir oraz realizowane przy współpracy z PSP przelewy na telefon (płatności mobilne typu P2P w systemie BLIK) wychodzą naprzeciw oczekiwaniom rynku odnośnie funkcjonalności, przy jednoczesnym zachowaniu najwyższych norm bezpieczeństwa i niezawodności usług cyfrowych.
Szczególnie obszar usług online, do których zaliczyć należy przelewy natychmiastowe Express Elixir, wymagał szeregu dostosowań sektora bankowego, zaczynając od zmiany podejścia do szybkości księgowania transakcji, poprzez zmianę godzin dostępności poszczególnych systemów (przechodzenie na tryb ciągły 24/7), a skończywszy na powszechnym wykorzystywaniu tej usługi w kanale mobilnym. Korzystając z wieloletnich doświadczeń, KIR planuje w najbliższym czasie uruchomienie usługi Euro Express Elixir, która pozwoli klientom banków działających na polskim rynku przelewać natychmiastowo środki w walucie unijnej na obszarze objętym standardem SEPA.
Bezpieczeństwo to kluczowy element wynikający również z unijnej dyrektywy PSD2, która wprowadziła nową kategorię dostawców usług płatniczych, tzw. podmioty trzecie (Third Party Providers, TPP). Główną zmianą jest otwarcie dla nich rynku finansowego, czyli koncepcja otwartej bankowości. Nowe możliwości, które wprowadziła dyrektywa, wiążą się z koniecznością adekwatnego zabezpieczenia danych. Komunikacja między bankiem i TPP wymaga odpowiedniego interfejsu oraz wdrożenia wielu mechanizmów bezpieczeństwa, w tym funkcjonalności skutecznie blokujących niepożądane próby dostępu przez nieuprawnionych TPP. KIR poprzez swoją usługę HUB PSD2, wspierającą zachowanie standardów jakościowych, nie tylko minimalizuje koszty integracji banków z poszczególnymi TPP, ale też sektorowo podnosi poziom bezpieczeństwa całej architektury otwartej bankowości.
Należy również wspomnieć o jedynym na polskim rynku rozwiązaniu umożliwiającym elektroniczną wymianę informacji między bankami a innymi podmiotami uprawnionymi do uzyskiwania informacji objętych tajemnicą bankową, czyli systemie Ognivo. Pozwala on m.in. na znaczne usprawnienie prowadzonego przez banki czasochłonnego procesu realizacji zapytań i reklamacji, który wcześniej odbywał się w formie papierowej. Warto podkreślić, że system Ognivo spełnia międzynarodowe normy ISO/IEC 27001:2013.
Usługi zaufania i zdalnej identyfikacji: podstawa bezpiecznych e-usług
Kwalifikowany podpis elektroniczny jest stosowany w Polsce od blisko 20 lat. W świetle prawa jest równoważny z podpisem odręcznym składanym w tradycyjny sposób. Przez lata wachlarz zastosowań, do jakich był wykorzystywany e-podpis, systematycznie się rozszerzał. Wzrost zainteresowania podpisem elektronicznym związany był z kolejnymi zmianami w prawie, które wymagały zastosowania kwalifikowanych certyfikatów. Ponadto wraz z wejściem w życie w 2016 r. unijnego rozporządzenia eIDAS, kwalifikowany e-podpis wydany w jednym z krajów Unii Europejskiej jest ważny we wszystkich państwach członkowskich, co ułatwia m.in. udział polskich podmiotów w europejskich postępowaniach przetargowych. Także dzięki temu, jak wynika z badania Kantar, od kilku lat liczba osób zainteresowanych dostępem do podpisu cyfrowego stale rośnie. Trzy ostatnie edycje badania, zrealizowane w latach 2018 – 2020 wykazały, że wśród użytkowników bankowości internetowej lub mobilnej odsetek tych, którzy chcieliby korzystać z e-podpisu wzrósł z 22% w 2018 r. do 28% w roku 2020.
Obecnie właściwie wszędzie tam, gdzie stosuje się tradycyjne pisma, można zastosować kwalifikowany podpis elektroniczny, np. w kontakcie z urzędem skarbowym w celu złożenia e-deklaracji podatkowej w formie JPK czy dokumentów do ZUS. Korzystając z e-podpisu, można złożyć wniosek o dowód osobisty, zgłosić narodziny dziecka czy uzyskać odpis aktu z urzędu stanu cywilnego. Równie szerokie zastosowanie podpisu kwalifikowanego dotyczy także kontaktów komercyjnych.
Od 20 lat klienci wykorzystują oferowane przez KIR rozwiązania kwalifikowanych certyfikatów do e-podpisu, pieczęci elektroniczne oraz znaczniki czasu do zabezpieczania swoich dokumentów. mSzafir, wprowadzony do oferty w 2020 r., dostarcza nową jakość w korzystaniu z kwalifikowanego podpisu elektronicznego, bo dzięki odejściu od konieczności stosowania karty kryptograficznej i czytnika oraz zapewnieniu dostępności z każdego urządzenia, jest usługą w pełni cyfrową. E-podpis pozwala uniknąć konieczności drukowania dokumentów, wysyłania ich kurierem czy ponoszenia kosztów archiwizacji. Umożliwia przeniesienie zarządzania dokumentacją do sfery cyfrowej, co nie tylko zwiększa szybkość przetwarzania danych, ale także podnosi poziom bezpieczeństwa.
mSzafir pozwala podpisywać dokumenty w sposób, który w świetle prawa jest równoważny z podpisem odręcznym złożonym na papierowym dokumencie. Klienci KIR mają możliwość uzyskania jednorazowego podpisu mSzafir, służącego do podpisania pojedynczego dokumentu lub też certyfikatu z długim terminem ważności do podpisania wielu dokumentów. Przed uzyskaniem certyfikatu jednorazowego użytkownik może potwierdzić swoją tożsamość, korzystając z bankowości elektronicznej. W przypadku mSzafir z długim terminem ważności użytkownicy potwierdzają tożsamość na jeden z trzech sposobów: z wykorzystaniem bankowości elektronicznej, przy użyciu standardowej wersji certyfikatu kwalifikowanego zapisanego na karcie Szafir lub w placówce KIR. Do każdego złożonego podpisu dołączany jest kwalifikowany znacznik czasu, zapewniający podpisanemu dokumentowi długotrwałą wartość dowodową.
Bezpieczne i wygodne potwierdzanie tożsamości jest dziś kwestią kluczową dla dalszego rozwoju usług cyfrowych – tak w sferze administracji publicznej, jak i po stronie komercyjnej. Z myślą o takich wyzwaniach KIR oferuje mojeID – narzędzie do zdalnego potwierdzania tożsamości. Usługa pozwala na przeniesienie do cyfrowego świata wielu procesów, które dotychczas wymagały osobistej wizyty w punkcie obsługi, urzędzie lub umawiania się z kurierem. Na wysoki stopień bezpieczeństwa mojeID wpływa wykorzystanie systemów bankowości elektronicznej – dane użytkownika służące do potwierdzenia tożsamości są każdorazowo przekazywane przez bank – dostawcę tożsamości, gwarantującego ich najwyższą jakość oraz wiarygodność. Współpraca z bankami przyczynia się również do spełniania wysokich standardów z zakresu ochrony danych wrażliwych – każda udostępniana w usłudze informacja o kliencie jest przekazywana na podstawie jego świadomej zgody. Dzięki przystąpieniu do współpracy z KIR w roli dostawców tożsamości rosnącego grona banków komercyjnych oraz banków spółdzielczych, z mojeID może korzystać już kilkanaście milionów klientów bankowości elektronicznej.
Bezpieczna wymiana danych sektora bankowego z administracją publiczną
Strategiczną pozycję KIR w obszarze współpracy z administracją publiczną widać w obszarze narzędzi służących uszczelnianiu systemu VAT. Nowelizacja Ordynacji podatkowej, która weszła w życie w styczniu 2018 r., nałożyła na KIR, jako izbę rozliczeniową spełniającą ustawowe kryteria, obowiązek prowadzenia systemu teleinformatycznego izby rozliczeniowej (STIR). Podstawowym zadaniem STIR jest wspieranie Szefa Krajowej Administracji Skarbowej w procesie analizy stopnia ryzyka wykorzystywania działalności banków i spółdzielczych kas oszczędnościowo-kredytowych do celów mających związek z wyłudzeniami skarbowymi. STIR umożliwia analizę przepływów finansowych firm i pozwala z większą skutecznością walczyć z przestępstwami podatkowymi, takimi jak wyłudzenia VAT czy pranie brudnych pieniędzy.
Posiadanie przez KIR bezpiecznej i niezawodnej infrastruktury było także jednym z głównych elementów sukcesu wdrożonego wiosną ub.r. systemu informatycznego do procesowania wniosków i udzielania subwencji finansowych w ramach obydwu programów Tarczy Finansowej PFR dla MŚP. Bezpieczeństwo całego procesu, począwszy od mechanizmów zaimplementowanych w bankowościach elektronicznych poszczególnych banków, poprzez infrastrukturę KIR, aż po systemy scoringowe w PFR, przełożyło się na wysoką jakość doświadczeń beneficjentów tych programów.
Bezpiecznie budujemy nowe obszary e-usług
Kolejnym krokiem jest przeniesienie zaufania do e-usług świadczonych przez szeroko pojęty sektor bankowy na inne sfery i branże polskiej gospodarki. Stajemy przed wyzwaniem upowszechnienia rozwiązań cyfrowych w administracji i gospodarce na poziomie analogicznym do tego, który już się dokonał w sektorze bankowym. W tym kontekście rozwiązania proponowane przez KIR odpowiadają na zapotrzebowanie zarówno administracji, jak i sektora komercyjnego. Obecnie w firmie prowadzone są nowe projekty – takie jak Sektorowe Centrum Usług AML – tworzone wraz z szeroką grupą banków oraz ZBP, projekt bezpiecznej wymiany danych pomiędzy NFOŚiGW a bankami, które będą oferować kredyty z dotacją w tzw. ścieżce bankowej priorytetowego programu „Czyste Powietrze”, a także rozbudowy działających już usług o funkcjonalności identyfikacji fraudów. Te inicjatywy z pewnością pozwolą dołożyć kolejną cegiełkę do transformacji cyfrowej naszej gospodarki. Odpowiedzialnie podchodząc do realizacji zadań, KIR konsekwentnie będzie wykorzystywać swoje zasoby w budowaniu bezpiecznych usług, efektywnie wspierających cyfryzację procesów w gospodarce i administracji.
- https://www.accenture.com/_acnmedia/PDF-137/Accenture-2020-Cyber-Threatscape-Report.pdf#zoom=50
- https://www.nask.pl/pl/aktualnosci/4151,CSIRT-NASK-w-2020-roku-coraz-wiecej-wyludzen-danych-i-oszustw-w-sieci.html
- https://chmurakrajowa.pl/dziennik-chmurowy/transformacja-technologiczna-firm-w-Polsce/