Technologie: Bezpieczeństwo klientów bankowości internetowej

NBS 2016/10

Technologie: Bezpieczeństwo klientów bankowości internetowej

Dynamiczny rozwój usług w kanałach elektronicznych w ostatnim dziesięcioleciu zmienił formę obsługi klientów. Dzisiaj trudno sobie wyobrazić bank, który nie oferuje przynajmniej podstawowych usług tego typu. Wdrożenie nowego modelu obsługi klienta zmieniło również rolę typowej placówki bankowej.

Andrzej Kawiński

nbs.2016.10.foto.049.a.267xAndrzej Kawiński

Założyciel Instytutu Analiz i Prognoz Rynkowych, firmy rekomendowanej przez oba zrzeszenia banków spółdzielczych do wykonywania audytów końcowych Rekomendacji D. Zawodowo związany z branżą nowoczesnych technologii i systemów bankowych zapewniających sprawne świadczenie usług i bezpieczeństwo obrotu gotówki. Od 1 marca 2014 r. na stanowisku Regional Manager Banknote Processing firmy Giesecke & Devrient GmbH. Wcześniej związany z firmami: Wincor Nixdorf, Siemens Nixdorf oraz IMPAQ. W latach 2007-2013 przewodniczący Forum Technologii Bankowych w Związku Banków Polskich. Absolwent Politechniki Warszawskiej. W 2005 r. ukończył studia Executive MBA w Gdańskiej Fundacji Kształcenia Menedżerów we współpracy z Rotterdam School of Management i Uniwersytetem Gdańskim.

W miejsce dużych oddziałów, wyposażonych w kasy z pancernymi szybami i sejfami na zapleczu, pojawiły się niewielkie placówki, często oferujące jedynie usługi doradcze. Nowa forma obsługi klientów wpłynęła na ograniczenie kosztów ich funkcjonowania. Zmniejszenie liczby oddziałów, ich powierzchni, liczby personelu przełożyło się na konkretne oszczędności w sektorze banków komercyjnych. Z punktu widzenia banku zaoferowano klientowi lepszą usługę tańszym kosztem. Czy tak jest w rzeczywistości?

Dwa światy

Przy wdrażaniu elektronicznych kanałów obsługi klientów mało kto przewidywał skalę ataków, która obecnie spotyka banki. Skala oszustw w polskim sektorze bankowym sięga setek tysięcy spraw rocznie. Dodajmy wszakże od razu – banki od wielu lat inwestują w technologie związane z bezpieczeństwem. Duże budżety instytucji komercyjnych umożliwiają skuteczną ochronę przed atakami. Inaczej sytuacja wygląda w sektorze banków spółdzielczych. Wydawać by się mogło, że małe, często lokalne instytucje finansowe, nie będą przedmiotem ataku. Sądzono, że przestępcom nie będzie się opłacało stworzenie narzędzia, aby zaatakować bank posiadający małą liczbę klientów. Rzeczywistość zweryfikowała te założenia. Również w sektorze banków spółdzielczych coraz częściej słyszymy o skutecznych atakach. Przestępcy jako cel wybrali sobie najsłabsze ogniwo, którym jest klient

Sumy, które banki komercyjne wydają na walkę z przestępcami i wiedza, jaką dysponują, a budżety i wiedza pojedynczych banków spółdzielczych to dwa światy. Niewielkie banki spółdzielcze ze względu na nikłą strukturę organizacyjną, posiadaną wiedzę oraz nieduże budżety inwestycyjne są o wiele bardziej zagrożone atakami. Zdecydowanie lepiej sytuacja wygląda w dużych bankach spółdzielczych. Mają one świadomość zagrożeń, jak również wiedzę o działaniach niezbędnych do podjęcia. Jednak koszty zakupu najnowszych rozwiązań także dla największych z nich są dużym wyzwaniem

Nowe kanały elektronicznie, czemu nie da się zaprzeczyć, oferują klientom lepszy standard usług. Koszty, ze względu na potrzeby inwestycyjne, stale rosną. Coraz częściej pojawia się zatem pytanie, czy banki spółdzielcze stać na informatykę. Jak sfinansować nowe wersje interfejsów do klientów? Jak zabezpieczyć klientów przed atakami? Jak dogonić banki komercyjne w rozwiązaniach, które oferują swoim klientom?

System Ochrony Instytucjonalnej

Odpowiedni poziom bezpieczeństwa banku jest również jednym z zagadnień Systemu Ochrony Instytucjonalnej IPS. Oprócz ryzyka płynnościowego, standardów związanych z udzielaniem kredytów, wzajemnych mechanizmów ochrony przed upadłością banku, pojawia się zagadnienie bezpieczeństwa teleinformatycznego. Łatwo sobie wyobrazić sytuację, gdy w wyniku ataku teleinformatycznego jeden z banków należących do IPS utraci płynność. Pozostali członkowie będą zmuszeni do pokrycia strat wynikających z niskiego poziomu zabezpieczeń w zaatakowanej instytucji. Wyzwaniem w obszarze bezpieczeństwa będzie audyt aktualnych poziomów zabezpieczeń, wypracowanie rekomendowanych rozwiązań oraz ich wdrożenie

Regularna analiza bezpieczeństwa teleinformatycznego jest jednym z wymagań Rekomendacji D. Jeśli chodzi o analizę ryzyka płynnościowego, to sektor bankowy od wielu lat wypracował metody i standardy oceny. Analiza ryzyka teleinformatycznego jest nowym wymaganiem i wiele banków ma problemy z odpowiednim jej oszacowaniem. A powinna ona być regularnie prezentowana radzie nadzorczej, która ponosi odpowiedzialność za działania zarządu w tym zakresie. Brak prawidłowego oszacowania ryzyka teleinformatycznego – zarówno na poziomie osób przygotowujących analizę, zarządu banku oraz rady nadzorczej – powoduje niski poziom świadomości zagrożeń. Planowane działania związane z podniesieniem poziomu bezpieczeństwa będą w takim przypadku nieskuteczne i nie zabezpieczą instytucji przed działalnością przestępczą.

Koszt nowoczesnych rozwiązań z obszaru bezpieczeństwa jest bardzo wysoki. Często są to wydatki rzędu setek tysięcy, a czasami i milionów złotych. Czy banki spółdzielcze stać na takie inwestycje. Tak, ale pod warunkiem podjęcia wspólnych działań. Odpowiednie rozwiązania można wdrożyć na poziomie zrzeszenia. Korzystając z jego infrastruktury, nawet mały bank spółdzielczy może mieć zabezpieczenia porównywalne z największymi instytucjami komercyjnymi.

Projekt budowy wspólnego systemu bezpieczeństwa powinien rozpocząć się od wnikliwego rozpatrzenia wspólnej koncepcji, którą powinna przygotować grupa robocza składająca się z przedstawicieli banków spółdzielczych, zrzeszenia oraz fachowców zajmujących się tematyką bezpieczeństwa. Wypracowany model, po wdrożeniu, pozwoli przy niskich nakładach zdecydowanie zmniejszyć ryzyko związane z atakiem teleinformatycznym.

Należy podkreślić, że walka z przestępcami to proces permanentny, wymagający ciągłych inwestycji. Tylko budżet na poziomie zrzeszenia daje możliwość stałego wdrażania kolejnych zabezpieczeń, tak aby odpowiadały one najnowszym światowym standardom. Inwestycje w kolejne rozwiązania powinny wynikać z analizy ryzyka teleinformatycznego, wykonanego przez osoby posiadające wiedzę i kompetencje. Zrzeszenie jest w stanie zapewnić odpowiedni poziom wiedzy niezbędny do wykonania takiej analizy.

Podsumowując – wyzwaniem będzie zjednoczenie działań. Obecna różnorodność modeli biznesowych banków spółdzielczych przekłada się na rozdrobnienie rozwiązań. Takie działania powodują, że lokalne wdrożenia są drogie i często jakościowo niedostosowane do aktualnej sytuacji. A w obszarze bezpieczeństwa należy być na bieżąco i szybko reagować na powstające zagrożenia. Lokalne banki spółdzielcze na takie działania nie stać i często żyją nieświadome zagrożeń. Tylko wspólne działania dają szansę na zbudowanie wiedzy i wdrożenie wspólnych mechanizmów ochrony przed oszustwami