Bezpieczeństwo klientów ma dla banków znaczenie strategiczne. Dlatego nie tylko inwestują w coraz lepsze zabezpieczenia, ale też stawiają na edukację, by klienci stali się bardziej wyczuleni na pojawiające się zagrożenia – mówi Radosław Janusz, dyrektor biura architektury i usług cyberbezpieczeństwa w PKO Banku Polskim
Ostatnio mieliśmy do czynienia z wyciekiem danych w laboratorium diagnostycznym. Czy to może mieć wpływ na bezpieczeństwo klientów w innych obszarach, np. w bankowości? Czy może banki są cyberodporne?
Kiedyś napadano na banki i na konwoje przewożące pieniądze. To, że dziś nie ma takich sytuacji, nie oznacza, że banki przestały być podmiotem podobnych działań. Nadal są, tyle że ze świata fizycznego próby rabunkowe przeniosły się do sieci. Przestępcy są coraz bardziej profesjonalnie przygotowani, by dokonywać ataków przez internet. My natomiast robimy wszystko, by dawać temu odpór. Coraz lepiej się zabezpieczamy i inwestujemy w cyberbezpieczeństwo, aby było na coraz wyższym poziomie.
Jeśli chodzi o podany przykład, to mowa o spółce, która przetwarza dane wrażliwe o ogromnym znaczeniu – dane medyczne. Ten wyciek to sygnał, by takie firmy zaczęły przywiązywać większą niż dotychczas wagę do zabezpieczania danych. Banki mają chwilę refleksji na ten temat dawno za sobą.
Co to znaczy?
Zanim weszliśmy do internetu, a zrobiliśmy to już dawno temu, wiedzieliśmy, dlaczego decyzja w tym zakresie jest trudna i stanowi wyzwanie. Zdawaliśmy sobie bowiem sprawę z ryzyka, z jakim przyjdzie nam się zmierzyć w sieci. Banki żyją od dawna z dobrego szacowania ryzyka, to ich główna kompetencja. Jeśli mogą to robić w świecie fizycznym, to mogą też w cyfrowym. I to nasza przewaga. Biznes w sieci jest ryzykowny – kluczem jest jednak, by to ryzyko znać, rozumieć i umieć je ocenić – oraz jemu przeciwdziałać.
Rozumiem oczywiście niepokoje, które wzbudził ostatni atak w laboratorium diagnostycznym. Ale banki są na innym poziomie dojrzałości w kwestiach cyberbezpieczeństwa, pracują nad tym od wielu lat. I mimo że są również instytucjami prywatnymi, to ich poziom dojrzałości, jeśli chodzi o kwestie związane z bezpieczeństwem danych, jest na najwyższym poziomie.
Czy można powiedzieć, że to dziś najbezpieczniejsze instytucje?
Na pewno mają mocno rozwinięty poziom systemów i procedur dbających o bezpieczeństwo, bo przykładają do tego ogromną wagę. Dla banków, podobnie jak dla firm takich jak Google czy Microsoft, wyciek danych może mieć poważne konsekwencje, poważniejsze niż w przypadku firm robiących biznes w sieci, ale w innej branży niż bankowość. Dlatego banków nie stać na to, by ktoś je zaatakował. Inwestujemy czas i pieniądze, zatrudniamy najlepszych specjalistów po to, by wyeliminować lub ograniczyć wszelkie ryzyka. W Polsce jak dotąd nie było słychać, by któryś z banków padł ofiarą cyberprzestępców, których łupem były pieniądze klientów.
Czy cyberzagrożenia to wciąż największe ryzyko dla banków? Większe niż kredytowe?
Jest na pewno wysokie, ale trudno ze sobą porównać te dwa zagrożenia, wskazać, które jest większe, bo jedno z drugim nie ma nic wspólnego. Każde żyje swoim życiem. Ryzyko kredytowe rządzi się swoimi prawami ze względu na dużą zmienność rynków, stopy procentowe, kursy walut itp. Cyberzagrożenia nie mają z nim nic wspólnego. Cały czas analizujemy ryzyko, z jakim mamy do czynienia w aspektach świata cyfrowego. Każda nowa aplikacja, jaką bank wdraża, każdy system czy jego komponent podlega takiej ocenie. Jeśli ryzyko w zakresie bezpieczeństwa jest zbyt duże, zastanawiamy się, co zrobić, jak jeszcze zabezpieczyć nową aplikację czy system, jak ją zmienić, a może w ogóle z niej zrezygnować i zastąpić alternatywą. Wszystko po to, by kontrolować i optymalizować ryzyko.
Jakie są dziś największe cyberzagrożenia? Czy się zmieniają?
Zdecydowanie się zmieniają, żyją w czasie. Kiedyś popularny był phishing, czyli oszustwo stosowane przez internetowych przestępców w celu uzyskania cennych informacji, takich jak: loginy, hasła, numery kart kredytowych czy PESEL. My jako banki nauczyliśmy się z nimi walczyć i robimy to coraz lepiej. Przestępcy zaczęli więc szukać innych metod. Dziś znaczenia nabierają ataki, które w tle mają kod jednorazowy, pozwalający na transakcję finansową – płatność lub przelew.
Na czym polega taki atak?
Podam jeden ze scenariuszy. Na platformie handlu internetowego pojawia się jakiś produkt w bardzo atrakcyjnej cenie. Klient chce go kupić, skuszony ofertą. Sprzedawca pyta, czy transakcja może być zrealizowana za pomocą płatności przy użyciu kodu. Ktoś, kto się na to zdecyduje i potwierdzi transakcję kodem z aplikacji, może stracić pieniądze. W przypadku tak kuszących ofert zawsze należy zachować wzmożoną ostrożność – jeśli coś jest zbyt piękne, by było prawdziwe, może w rzeczywistości takie nie jest…
Z jakimi jeszcze atakami dziś można się spotkać?
Przestępcy podszywają się pod pracowników banków, oferując inwestycje np. w popularne kryptowaluty. Wykorzystując renomę banków i zaufanie do nich, proponują produkt finansowy, podszywając się w rozmowie pod pracownika banku, a w rzeczywistości kradną pieniądze, które klient chce zainwestować, myśląc, że ma kontakt z bankiem. Dzisiejsze ataki odwołują się do pozytywnych lub negatywnych emocji. Gdy one dochodzą do głosu, to wyłączają się mechanizmy kontrolne, przez co inaczej oceniamy ryzyko, stajemy się bardziej podatni na manipulacje i to wykorzystują przestępcy. Stają się też coraz bardziej wyrachowani w swoim postępowaniu. Opowiem o ataku z ostatnich dni, w którym do danej osoby zadzwoniła rzekoma córka. Wyświetlał się jej numer, a komunikat przekazany w czasie rozmowy brzmiał jak ten wypowiadany przez córkę. W rzeczywistości komunikat był spreparowany przy użyciu dostępnych dziś technologii. Na szczęście klient zachował czujność i nie doszło do przestępstwa. W innym wypadku konsekwencje mogły być bolesne. Ten przykład potwierdza, jak przeróżne i wyrafinowane mogą być oszustwa. Dlatego trzeba wykazywać się czujnością, którą jako bank zalecamy naszym klientom.
Jak banki mogą w związku z tym zabezpieczyć swoich klientów? Czy możliwości w tym zakresie rosną?
Stosujemy kilka grup zabezpieczeń. Pierwsze dotyczą narzędzi, jakie udostępniamy naszym klientom. Wykonując transakcję, klient musi ją wcześniej potwierdzić. Przy tej okazji staramy się zwrócić jego uwagę na to, komu i za co płaci oraz ile. Mamy też szereg mechanizmów, które przeciwdziałają atakom. Mówimy o narzędziach systemowych, niewidocznych dla klienta, które pozwalają reagować na nietypowe kwoty przelewu. Wybrane transakcje, których ryzyko jest uznane za podwyższone, są potwierdzane dodatkowo, np. poprzez rozmowę z klientem. Badamy też profil zachowania naszych klientów, aby reagować w razie jakiegoś odstępstwa. Wreszcie, prowadzimy wiele działań edukacyjnych.
Na czym polegają działania edukacyjne?
To całe spektrum działań. Ostrzegamy klientów poprzez naszą stronę i aplikację IKO o bezpośrednich zagrożeniach. Angażujemy się w kampanie w mediach społecznościowych z udziałem twórców internetowych, którzy mają pozytywny wpływ na jakość przekazu i dotarcie do klientów. Poza tym edukujemy naszych pracowników, by oni potem w oddziałach edukowali klientów. Bywają bowiem sytuacje, w których do oddziałów przychodzą klienci zmanipulowani wcześniej przez przestępców, którzy namówili ich do wypłaty gotówki. Nasi pracownicy z przebiegu rozmowy są w stanie wyczuć, czy nie dzieje się coś złego, i w efekcie nie dopuścić do przestępstwa. Działamy też w naszych social mediach, gdzie podejmujemy różne inicjatywy. Organizujemy kampanie informacyjne, w których ostrzegamy, że jeśli jakaś transakcja budzi duże emocje, warto się zastanowić, czy na pewno jest to okazja życia. Edukujemy też klientów z konkretnych scenariuszy ataków.
Czy rośnie w związku z tym świadomość klientów?
Instytucji, które prowadzą działania edukacyjne z zakresu świata wirtualnego, jest wiele. Można tu wymienić Ministerstwo Cyfryzacji, operatorów sieci komórkowych, NASK, ale i banki. Przekłada się to oczywiście na świadomość klientów w zakresie ryzyka, z którym mogą się spotkać w internecie. Uważam, że przez pryzmat tej świadomości podejmują też decyzje o wyborze banku. A informacji na temat tego, czy dana instytucja jest bezpieczna, czy nie, szukają na stronach internetowych i w porównywarkach. Wyznacznikiem są też dla nich nagrody, jakie uzyskują produkty oferowane przez bank. Nasza mobilna aplikacja została na przykład oceniona jako najlepsza na świecie aplikacja bankowa, jeśli chodzi o oceny jej użytkowników w sklepach Apple App Store i Google Play. I to mogło przekonać wiele osób do skorzystania z niej. Co my robimy, by to bezpieczeństwo było dla naszych klientów argumentem? Mówimy na przykład, czego mogą oczekiwać po naszej aplikacji, jakie ma funkcje, jakie stosuje zabezpieczenia, jakie ma funkcje limitowe, czy klient może skorzystać z biometrii i kiedy oraz pod jakimi warunkami. Staramy się więc być transparentni, na ile jest to możliwe.
Na koniec chcę podkreślić, że oczywiście świat cyberprzestępczości rośnie, ryzyk w związku z tym przybywa. Nie oznacza to jednak, że klienci są na nie skazani. Banki przykładają coraz większą wagę do tego, by mogli oni czuć się bezpiecznie nie tylko w świecie fizycznym, lecz także wirtualnym, w którym wykonywane jest coraz więcej transakcji. Jeśli po stronie klienta zbudujemy wrażliwość na pewne zachowania oraz świadomość ryzyka, które jest obecne w otaczającym nas – także wirtualnym – świecie, to w przyszłość możemy patrzeć ze spokojem.
Rozumiem niepokoje, które wzbudził ostatni atak w laboratorium diagnostycznym. Ale banki są na innym poziomie dojrzałości w kwestiach cyberbezpieczeństwa, pracują nad tym od wielu lat. I mimo że są również instytucjami prywatnymi, to ich poziom dojrzałości, jeśli chodzi o kwestie związane z bezpieczeństwem danych, jest na najwyższym poziomie – mówi Radosław Janusz
Rozmawiała PO
Materiał z serwisu partnerskiego Cyfrowa Gospodarka