Raport Specjalny | Forum Bezpieczeństwa Banków – BIK SA | Uświadomione zagrożenia przestają być aż tak niebezpieczne

BANK 2021/05

Poziom wiedzy na temat cyberataków i możliwych naruszeń procedur bezpieczeństwa, a także związanych z nimi szkód, wśród członków zarządów i menedżerów zarządzających, stale rośnie. A to, według Andrzeja Karpińskiego dyrektora Departamentu Bezpieczeństwa Grupy BIK SA, obiecująca prognoza bezpieczniejszej przyszłości. Rozmawiał z nim Marcin Podleśny.

Fot. BIK SA

Poziom wiedzy na temat cyberataków i możliwych naruszeń procedur bezpieczeństwa, a także związanych z nimi szkód, wśród członków zarządów i menedżerów zarządzających, stale rośnie. A to, według Andrzeja Karpińskiego dyrektora Departamentu Bezpieczeństwa Grupy BIK SA, obiecująca prognoza bezpieczniejszej przyszłości. Rozmawiał z nim Marcin Podleśny.

Gdyby istniało słowo „BIK” byłoby synonimem „bezpieczeństwa”, bo bezpieczeństwo to podstawowy filar prowadzonej przez Biuro Informacji Kredytowej działalności. Zgodzi się pan z tym stwierdzeniem?

– W naszych bazach znajdują się dane ponad dwudziestu pięciu milionów Polaków, którzy po 1997 r. brali kredyty, pożyczki, korzystali z leasingu. Gromadzimy historię kredytową w zasadzie każdego dorosłego Polaka. Bezpieczeństwo tego zbioru jest kluczowe z kilku powodów. Najważniejsze to: ochrona reputacji, uniknięcie strat finansowych czy utrzymanie ciągłości działania.

Działalność naszego systemu jest ważna, bo ujawnia nadużycia, wskazuje osoby i podmioty, które wyłudzają kredyty lub nie spłacają ich zgodnie z przyjętymi warunkami. Bezpieczeństwo baz BIK jest kluczowe dla rynku. To nie przesada. Jeśli te dane nie byłyby dostępne, zamiera ruch kredytowy. A dziś istotną częścią wielu segmentów rynku, np. w zakresie obrotu nieruchomościami, są właśnie zakupy na kredyt.

Ponadto zapewniamy bezpieczeństwo systemu bankowego. Finanse są krwiobiegiem gospodarki, żeby państwo działało, ta sfera musi być bezpieczna i stabilna. To zasada naczyń połączonych – bezpieczne systemy BIK zapewniają funkcjonowanie gospodarki, a gospodarka zasila je nowymi danymi. Jeśli ten model zawiedzie, w gospodarce mogą pojawić się kłopoty.

Odpowiedzialność za bezpieczeństwo w firmach, bankach, instytucjach to duże wyzwanie. W jaki sposób je realizujecie?

– Działamy wielotorowo, współpracując z komórkami bezpieczeństwa, z ekspertami i zarządami firm. Każda instytucja finansowa, bank komercyjny, bank spółdzielczy utrzymuje dedykowany zespół bezpieczeństwa, raportujący zazwyczaj do zarządu. Zespół ma zadania i narzędzia do ich realizacji – budżet, ekspertów, a nawet władzę procesową, czyli może zgłosić veto dla projektowanej nowej usługi czy oferty, jeśli uzna, że łączy się z nią niedostateczny poziom bezpieczeństwa. Zadaniem zespołu bezpieczeństwa nie jest odrzucenie, ale takie zmodyfikowanie założeń, żeby doprowadzić do uruchomienia projektu według przyjętych zasad bezpieczeństwa i praktyk.

Jedną z nich jest ISO 27001, czyli norma opisująca bezpieczeństwo, odpowiedzialność, sposoby raportowania, zarządzania, ale są i regulacje branżowe – np. PCI-DSS, mówiąca, jak realizować zasady bezpieczeństwa w zakresie płatności, zawierająca definicje technologiczne i organizacyjne.

Uogólniając, mamy dwie perspektywy bezpieczeństwa: firmową i osoby prywatnej. Bezpieczeństwo firmowe jest dobrze opisane. Składa się na nie wiele obszarów, m.in. zabezpieczenie lokalizacji, sejfów, zasobów, zasady zaprojektowania pomieszczeń, monitoringu, procedur dostępu, zasady interwencji, ochrony przeciwpożarowej, a nawet ergonomii obsługi klienta.

A perspektywa osoby prywatnej narażonej na socjotechniki cybergangów, cyberoszustów? Czy nowe wyzwania pojawiające się wraz z pandemicznymi obostrzeniami wpływają na zmiany reguł bezpieczeństwa?

– W Centrum Obsługi Klienta przeszliśmy, podobnie jak banki i inne instytucje, do trybu online. Obostrzenia wymusiły zmianę nawyków klientów i zniechęciły ich do osobistych wizyt w placówkach. Niestety poziom zagrożeń wzrósł, bo użytkownicy, zwłaszcza starsi, nie są przyzwyczajeni do tego typu kontaktu. Dotychczas przychodzili z książeczką oszczędnościową do okienka, a teraz próbują działać przez internet i zostają narażeni na ryzyko, bo internet to nie ich środowisko.

Inne zagrożenia stwarza zdalna praca zespołów. Nie zawsze jest ten sam poziom bezpieczeństwa obiektu, nie ma domów zabezpieczonych jak oddziały bankowe. Zdarzają się kradzieże sprzętu, a to furtka dla złodziei. Dlatego szyfrujemy dyski, karty pamięci. Są techniki, więc z nich korzystamy.

W pierwszym okresie lockdownu – marzec/kwiecień zeszłego roku – pojawiły się problemy z dostępnością zdalną infrastruktury dla pracowników w części instytucji, choćby ze względu na dużą liczbę pracowników online. Ale po roku nadeszła stabilizacja, nastąpiła rozbudowa infrastruktury. Dziś bez problemów pracownicy łączą się zdalnie i pracują bez utraty jakości, komfortu i bezpieczeństwa. Według mnie, po zakończeniu pandemii nie wrócimy do świata sprzed koronawirusa. Zostanie z nami przyspieszenie transformacji cyfrowej, uproszczenie usług. W minionym roku standardem stało się wiele innowacji w sektorze finansowym, np. zdalne otwarcie rachunku, rozmowa z konsultantem na czacie, dystrybucja i akceptacja części dokumentów w formie mailowej. Wcześniej nie myśleliśmy, że technologie tak szybko trafią do codziennego użycia.

Większą rolę zaczęła odgrywać automatyzacja. Czy pojawiły się nowe zagrożenia?

– Rola automatyzacji w bankowości jest duża i jej rozwój trwa. BIK wykorzystuje tego typu mechanizmy do scoringu klientów. Oceniamy potencjalne zachowania w przyszłości na podstawie dotychczasowego zachowania kredytowego. Pomagamy bankom – zmniejszając ryzyko, zwiększamy bezpieczeństwo kredytów. Przeciwdziałamy nadużyciom. Przykładowo: klient ma dług na karcie kredytowej, debet, spłaca regularnie kredyt mieszkaniowy, robi zakupy AGD co kilka lat i nagle wystąpi o bardzo nietypowy, wysoki kredyt. Odchylenie, które system automatycznie wychwytuje, nie blokuje wniosku, ale zwraca uwagę, żeby zadać dodatkowe pytania. Pojawia się np. prośba o przedstawienie dodatkowych zabezpieczeń. To uprawdopodobni kredyt i pokaże, że wnioskuje o niego zainteresowany, a nie złodziej jego dowodu osobistego. W działaniach automatycznych typu machine learning system podpowiada, wskazuje – nie podejmuje decyzji.

Pozwala zachować czujność…

– Dokładnie. Świadome podejście do kwestii bezpieczeństwa jest bardzo ważne. W przypadku firm dobrą praktyką jest korzystanie z biur informacji gospodarczej, jak np. z należącego do Grupy BIK Biura Informacji Gospodarczej InfoMonitor, gdzie można zgłaszać nierzetelnych kontrahentów, ale także faktury zapłacone w terminie, co buduje pozytywną historię przedsiębiorców. Można sprawdzić wiarygodność, terminowość płatności firmy, z którą chce się nawiązać współpracę. W przypadku wykrycia nierzetelności pojawiają się poważne komplikacje dla nieuczciwego przedsiębiorcy, bo powstaną problemy z uzyskaniem kredytu czy leasingu. Nasze działania pozwalają wyeliminować z rynku „przedsiębiorców”, którzy przyjęli za model biznesowy niepłacenie faktur.

Klientom indywidualnym BIK oferuje ochronę finansów. W przypadku np. zgubienia czy kradzieży dowodu osobistego Alerty BIK powiadomią o próbie wyłudzenia kredytu, a konsultanci BIK pomogą wyjaśnić sprawę z bankiem czy instytucją pożyczkową. Dzięki jednemu SMS-owi możemy uchronić się przed kłopotami finansowymi. Otrzymamy powiadomienie również, kiedy ktoś będzie sprawdzał daną osobę w Rejestrze Dłużników BIG InfoMonitor. Dzięki temu można dowiedzieć się np., że ktoś chce wyłudzić abonament komórkowy lub zawiera umowę na dostawę gazu w naszym imieniu.

Dzięki Raportom BIK wszystkie informacje o historii kredytowej i bieżących zobowiązaniach są zgrupowane w jednym miejscu. Jest to przydatne, gdy planujemy wydatki lub większe inwestycje i chcemy skorzystać z zewnętrznego finansowania. Łatwo sprawdzimy nasze możliwości w Analizatorze Kredytowym BIK, a jeżeli nie będziemy chcieli zaciągać zobowiązań, możemy zabezpieczyć się Zastrzeżeniem Kredytowym, dostępnym w naszym koncie klienta, podobnie jak natychmiastowa możliwość zastrzeżenia dokumentu.

Czy świadomość możliwych cyberataków i naruszeń sfery bezpieczeństwa zmienia się? Jest lepiej czy gorzej?

– O tożsamość cyfrową i bezpieczeństwo trzeba dbać. W większości przypadków pokrzywdzeni sami udostępnili swoje dane w różnych miejscach, np. w wypożyczalni nart czy hotelu. Zeskanowany dowód zawiera dane wystarczające, żeby zrobić krzywdę. Jednocześnie nie wypożyczymy samochodu, jeśli nie zeskanujemy dokumentu. Sami decydujemy, wiedząc, że wycieki danych osobowych się zdarzają. Ostatnio jeden z największych portali społecznościowych utracił dane ponad pół miliarda użytkowników, więc na pewno mniejszym też się to może przytrafić.

Zarządy firm mają coraz większą świadomość zagrożeń, podejmują coraz więcej inicjatyw w kwestiach bezpieczeństwa. Ignorowanie tej sfery to historia, pojawiła się świadomość nowych zagrożeń i chęć przeciwdziałania im. Menedżerowie nie muszą być ekspertami, od tego mają działy bezpieczeństwa, ale powinni na bieżąco analizować, przewidywać i przykładać wagę do tego obszaru działalności – na szczęście tak coraz częściej się dzieje.

Udostępnij artykuł: