Banki spółdzielcze: BEZPIECZEŃSTWO to rzecz święta

NBS 2016/06

Przeniesienie obsługi klientów do internetu spowodowało pojawienie się nowych zagrożeń. Duże nakłady poniesione w ostatnich latach na zabezpieczenia systemów korowych skierowało uwagę świata przestępczego na znacznie słabiej zabezpieczone urządzenia klientów bankowości. To dziś duże wyzwanie dla sektora bankowego na całym świecie.

Przeniesienie obsługi klientów do internetu spowodowało pojawienie się nowych zagrożeń. Duże nakłady poniesione w ostatnich latach na zabezpieczenia systemów korowych skierowało uwagę świata przestępczego na znacznie słabiej zabezpieczone urządzenia klientów bankowości. To dziś duże wyzwanie dla sektora bankowego na całym świecie.

Bohdan Szafrański

nbs.2016.06.foto.013.b.267xBohdan Szafrański, absolwent SGGW w Warszawie, ukończył też studia podyplomowe z zakresu informatyki i telekomunikacji na Politechnice Warszawskiej. Zajmował się normalizacją z zakresu żywności, rolnictwa i leśnictwa w PKN. Od początku lat 90. pisze o nowych technologiach informatycznych, między innymi o tematyce związanej z informatyką, telekomunikacją i biznesem. Współpracował z takimi tytułami, jak: "Gazeta Wyborcza" (dodatek Biuro i Komputer), "PCkurier", "Informatyka", "Elektronika", "Świat Telekomunikacji", "Mobile Computing", "businessman.pl", "Inżynieria i Utrzymanie Ruchu Zakładów Przemysłowych". Od 2011 r. stały współpracownik "Miesięcznika Finansowego BANK". Redagował i współredagował publikacje z Forum Technologii Bankowości Spółdzielczej

Bankowość elektroniczna to dla klientów duża wygoda, a dla banków niższe koszty obsługi niż w oddziale. Powszechność i duża różnorodność systemów operacyjnych oraz sprzętu utrudnia systemowe zapewnienie bezpieczeństwa każdemu użytkownikowi. Ponadto w różny sposób łączą się oni z internetem, w tym przez otwarte, niezabezpieczone sieci radiowe Wi-Fi. Powszechny dostęp do urządzeń mobilnych powoduje, że znaczny procent ich użytkowników ma niewielką wiedzę o zagrożeniach, jakie mogą wiązać się z ich wykorzystaniem do kontaktów z bankiem. Jednak w powszechnym przekonaniu klientów to bank ma obowiązek dbać o bezpieczeństwo transakcji. Nie można zakładać, że ta sytuacja znacząco się zmieni w najbliższym czasie. Producenci sprzętu i oprogramowania starają się zwiększać bezpieczeństwo użytkowników, choć priorytetem zawsze pozostaje wygoda. Niestety, większa skuteczność stosowanych zabezpieczeń zazwyczaj wiąże się ze skomplikowaną i utrudnioną obsługą.

Narastający problem

Symantec Security Response (wcześniej Symantec Antivirus Research Center), jedna z największych grup zajmujących się badaniami nad wirusami i bezpieczeństwem systemów komputerowych, publikuje cyklicznie raporty "Internet Security Threat". W najnowszym wydaniu, z kwietnia br., podaje, że liczba wykrywanych w ciągu tygodnia luk związanych z bezpieczeństwem w 2015 r. w stosunku do 2014 r. więcej niż się podwoiła. To też tłumaczy lawinowy wzrost zagrożeń. W minionym roku odnotowano na świecie dziewięć dużych utrat danych i zgłoszono łącznie kradzież 429 mln rekordów, zawierających dane związane z tożsamością klientów. Jak oceniają specjaliści firmy Symantec, 85% takich zdarzeń nie jest zgłaszanych, dlatego według ostrożnych szacunków liczbę utraconych rekordów można ocenić na ponad pół miliarda. Każdego dnia w 2015 r. odnotowywano ponad milion ataków internetowych przeciwko użytkownikom. Cyberprzestępcy wykorzystują luki zawarte w oprogramowaniu stron www do infekowania użytkowników (prawie 75% wszystkich stron internetowych ma niezałatane luki związane z bezpieczeństwem - z wyłączeniem stron specjalnie w tym celu przygotowanych). Coraz częściej prowadzone są ataki typu spear phishing, czyli skierowane na grupy konkretnych użytkowników (np. klientów lub nawet pracowników konkretnego banku). Przestępcy wykorzystują w tym celu wywiad środowiskowy i inne informacje zbierane w sieci. To bardziej skuteczna metoda wyłudzania ważnych informacji. Liczba takich ataków wzrosła w minionym roku o 55%.

Każde przedsiębiorstwo, bez względu na jego wielkość, jest potencjalnie narażone na ataki ukierunkowane. Rośnie też liczba ataków typu ransomware (więcej o 35%). Polegają one na zaszyfrowaniu danych zgromadzonych w urządzeniu użytkownika i zażądaniu zapłaty za możliwość ich odblokowania. Jak podaje w raporcie Symantec, w 2015 r. celem tego typu ataków stały się też smartfony oraz komputery z systemami operacyjnymi Mac i Linux, a nawet odnotowano ataki na inteligentne zegarki (smatwatch) i telewizory. W minionym roku firma zablokowała 100 mln prób oszust oszustw, polegających na oferowaniu użytkownikom płatnego "wsparcia" w usunięciu np. jakoby niebezpiecznego oprogramowania lub luk bezpieczeństwa w komputerze (fake technical support scams). Zaobserwowano zmianę działania przestępców oferujących takie "usługi". Teraz często zachęcają do zadzwonienia pod podany numer zaczynający się od "800" i dopiero wtedy próbuje się im sprzedać takie bezwartościowe usługi. Można powiedzieć, że stale modyfikowane są sposoby dokonywanych oszustw. Widać również wpływ kampanii informacyjnych i uświadamiania użytkownikom niebezpieczeństw związanych z wykorzystaniem internetu do wykonywania operacji finansowych. Ponieważ coraz więcej osób zwraca uwagę na bezpieczeństwo przy korzystaniu z bankowości internetowej, obserwuje się wzrost liczby ataków na placówki medyczne i pozyskiwanie gromadzonych przez nie informacji o pacjentach, zawierających cenne dla przestępców dane osobowe - m.in. numery kont bankowych, ubezpieczeń itp. Są one następnie wykorzystywane m.in. do zakładania kont w bankach czy zaciągania pożyczek.

nbs.2016.06.foto.014.a.400xCzy można zabezpieczyć klienta banku?

W brytyjskim wydaniu "Financial Times" opublikowano w maju artykuł "Banki potrzebują pomocy klientów do walki z cyberprzestępczością". Patrick Jenkins zadaje w nim pytanie, czy gdy zostawimy przed progiem domu 50 funtów, to też będziemy oczekiwali od banku ich oddania? Zwraca uwagę, że priorytetem powinno być zmniejszenie ryzyka. Ubezpieczenie klientów nie jest dobrym posunięciem, bo nie rozwiązuje źródła problemów. Jak twierdzi, znaczną część cyberprzestępczości można ograniczyć dzięki zwiększeniu bezpieczeństwa wśród klientów banków. Można tu wymienić takie działania po stronie klienta banku, jak: rezygnacja z używania przestarzałego oprogramowania, instalowanie i aktualizacja ochrony antywirusowej, nieużywanie tych samych haseł do zakupów w sieci oraz usług finansowych. Patrick Jenkins podaje kontrowersyjny pomysł, by zachęcić klientów do aktualizacji oprogramowania. Jeśli tego nie zrobi, należy ograniczyć mu dostęp dousług bankowych, a w ostateczności przewidzieć karę finansową w przypadku wystąpienia oszustwa z jego winy.

Jak mówi Daria Pawęda, dyrektor Departamentu Bankowości Internetowej i Mobilnej w Banku BPS S.A., skuteczne budowanie świadomość zagrożeń wśród klientów banków to stałe ich edukowanie w zakresie bezpieczeństwa w sieci. Jest to bardzo ważne i nie ma tutaj różnicy, czy są to klienci banków komercyjnych, czy spółdzielczych. Najważniejsza jest konsekwencja i stałość działań, a nie jedynie tzw. jednorazowe akcje. Daria Pawęda podkreśla, że Bank BPS stara się nieustannie budować świadomość cyberzagrożeń i cyberbezpieczeństwa, zarówno wśród klientów, jak i pracowników. Na jego stronie internetowej dostępne są zawsze aktualne i wyczerpujące materiały na ten temat. Dodatkowo rozsyłane są do klientów różnego rodzaju wiadomości i komunikaty dotyczące bezpieczeństwa. Jako przykład podaje okres świąteczno-noworoczny, w którym bank miał do czynienia z działalnością cyberprzestępców, którzy telefonicznie i poprzez pocztę elektroniczną prosili klientów o podawanie haseł dostępu do kont internetowych, numerów kart kredytowych oraz numerów PIN. Wiadomości sprawiały wrażenie, że pochodzą od wiodących na polskim rynku firm kurierskich, gdy tymczasem pochodziły od hakerów. Informowano wówczas klientów o konieczności zachowania szczególnej czujności podczas podawania swoich danych uwierzytelniających. Informacje dotyczące kwestii bezpieczeństwa dystrybuowane są w Banku BPS na kilka sposobów - są wysyłane bezpośrednio do klientów, zamieszczane na stronie internetowej banku oraz w mediach społecznościowych. W profilu na Facebooku stale prowadzone są akcje edukacyjne w formie przyjaznych grafik zawierających hasła związane z bezpieczeństwem w sieci, np. mówiące o tym, że jeśli kopiuje się numer rachunku, to powinno się dodatkowo zweryfikować wprowadzone dane (podczas kopiowania cyberprzestępcy potrafią podmienić numer rachunku odbiorcy).

Można zadać pytanie, czy w bankowości spółdzielczej (gdzie często kontakt z klientami jest bliższy) łatwiej wpływać na ich zachowania? Jak mówi Daria Pawęda, w bankowości spółdzielczej zawsze się dąży do budowania dobrych i długotrwałych relacji z klientami, co rzeczywiście oznacza bliższy kontakt. Instytucje finansowe starają się to wykorzystywać dla jeszcze lepszej edukacji klientów z zakresu bezpieczeństwa w sieci, dbając o to, by nie tylko byli zadowoleni z usług, ale również czuli się w pełni bezpieczni, korzystając z nich poprzez kanały elektroniczne, w szczególności przez bankowość internetową i mobilną. Bank BPS stara się edukować z zakresu cyberbezpieczeństwa nie tylko klientów, ale też pracowników - w wewnętrznym magazynie Grupy BPS publikowane są regularnie artykuły o cyberprzestępczości i zagrożeniach czyhających w sieci.

Można powiedzieć, że banki od wielu lat walczą z zagrożeniami związanymi z cyberprzestepczością. Choć zabezpieczenia samych instytucji są na wysokim poziomie, to pojawiają się nowe ryzyka ataków związanych z odmianami wojny hybrydowej. Choćby ze strony ISIS (Caliphate Cyber Army) czy też niektórych krajów lepiej przygotowanych i dysponujących większymi środkami finansowymi. To nowe ryzyka dla całego systemu finansowego. Na co dzień spotykamy się najczęściej z atakami ukierunkowanymi na klientów banków. Nawet jeśli skala finansowa strat nie jest duża, to zawsze osłabia to reputację tak instytucji, jak i całego sektora finansowego. Czy banki odważą się przerzucić część odpowiedzialności na klientów niezwracających uwagi na bezpieczeństwo? Te spółdzielcze, działające lokalnie, chyba nie mogą sobie na to pozwolić.

 

Udostpnij artyku: