Technologie. Bezpieczeństwo: Jak być bezpiecznym na otwartym rynku finansowym?

BANK 2019/12

Nasilająca się konkurencja ze strony fintechów oraz otwarcie rynku bankowego wskutek implementacji dyrektywy PSD2 generują całkiem nowe wyzwania w dziedzinie bezpieczeństwa. Czy obowiązujące regulacje w wystarczającym stopniu uwzględniają zagrożenia ery open bankingu? W jaki sposób powinna rozkładać się odpowiedzialność za ochronę danych i transakcji w świecie, w którym dostęp do bankowych zasobów udostępniono szerokiemu kręgowi podmiotów?

Okazją do refleksji i wymiany poglądów nad kluczowymi dla współczesnego rynku finansowego problemami była debata ekspercka „Miesięcznika Finansowego BANK”, zorganizowana 29 października br. w warszawskim Klubie Bankowca. Dyskusja, moderowana przez redaktora naczelnego portalu ­aleBank.pl Roberta Lidke, przebiegała pod hasłem „Bank jako cyfrowa platforma usługowa. Wyzwania bezpieczeństwa”. Partnerem wydarzenia była firma Fortinet, którą reprezentowali Jolanta Malak – regionalna dyrektor sprzedaży i Wojciech Ciesielski – Major Account Manager.

Transformacja cyfrowa a strategie instytucji finansowych

Do końca przyszłego roku 95% banków udostępni API swoim partnerom handlowym, jednak zaledwie co dziesiąty spośród nich będzie w stanie dostrzec w tym procesie szansę biznesową – prognozują eksperci International Data Corporation. Równocześnie będziemy obserwować coraz silniejszy trend przenoszenia bankowych zasobów do chmury. Jolanta Malak wskazała, że według analiz IDC w ciągu pięciu lat 50% instytucji finansowych w Europie zdecyduje się na transfer przynajmniej 20% kluczowych funkcji biznesowych na platformy cyfrowe funkcjonujące w modelu SaaS.

Sami bankowcy nie mają wątpliwości, że transformacja cyfrowa współczesnej gospodarki będzie mieć największy wpływ na kształtowanie strategii instytucji finansowych. – Na drugim miejscu należy wskazać zmiany rynkowe. Rozwiązania wprowadzane przez niektóre podmioty prędzej czy później staną się standardem dla całej branży – ocenił dr Krzysztof Spirzewski, dyrektor zarządzający Departamentem Bankowości Transakcyjnej w polskim oddziale banku Societe Generale. Regulacyjne tsunami, które nierzadko bywa wymieniane jako główna determinanta funkcjonowania rynku finansowego, według bankowców będzie mieć nieporównanie mniejsze znaczenie. – Banki i tak musiałyby zadbać o swoje bezpieczeństwo – zaznaczył dr Spirzewski.

Podobną opinię wyraził Jacek Skorupka, dyrektor bezpieczeństwa IT w Idea Banku. Odnosząc się do wydanej przez Komisję Nadzoru Finansowego Rekomendacji D dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, panelista zwrócił uwagę, że dokument ten stanowił z jednej strony źródło wydatków, równocześnie jednak walnie przyczynił się do podniesienia dojrzałości sektora w obszarze bezpieczeństwa.

W jakim stopniu otwarcie rynku i konkurencja z fintechami wpłyną na modele biznesowe tradycyjnych banków? Przedstawiciel Societe Generale uważa, iż zmiany w tym obszarze będą stosunkowo niewielkie i dotyczyć będą raczej kwestii drugorzędnych. – Główne zadanie banku, czyli gromadzenie depozytów i udzielanie kredytów, pozostanie co do zasady niezmienione. W tym obszarze kluczowe znaczenie ma zaufanie klientów. Dzięki nowym uwarunkowaniom technologicznym sektor bankowy będzie mógł natomiast zaoferować dodatkowe usługi lub znacząco poprawić jakość dotychczasowych – nadmienił dr Spirzewski.

Andrzej Guzik, kierownik zespołu i Inspektor Ochrony Danych w Departamencie Bezpieczeństwa Banku Ochrony Środowiska

Dariusz Paczewski, dyrektor Biura Innowacji Cyfrowej, Santander Bank Polska

Dr hab. Jacek Pomykała, profesor nadzwyczajny UW, Zakład Algebry i Teorii Liczb, Uniwersytet Warszawski

Dr Krzysztof Spirzewski, dyrektor zarządzający Departamentem Bankowosci Transakcyjnej, Societe Generale Oddział w Polsce

Jacek Skorupka, dyrektor bezpieczeństwa IT, Idea Bank

 

Jolanta Malak, Fortinet

Kamil Kasprzak, kierownik Zespołu Analiz i Przeciwdziałania Przestępczości w Departamencie Bezpieczeństwa, Bank Ochrony Środowiska

Maciej Piołunowicz, dyrektor Departamentu Audytu Wewnętrznego, Bank Gospodarstwa Krajowego

Marcin Pycka, FCCA, dyrektor Biura Analiz Zdalnych w Departamencie Audytu Wewnętrznego, Bank Pekao

Paweł Reichelt, dyrektor Departamentu Bankowości Elektronicznej, Plus Bank

Piotr Balcerzak, dyrektor Zespołu Bezpieczeństwa Banków, Związek Banków Polskich

Robert Lidke, redaktor naczelny, aleBank.pl

Wojciech Ciesielski, Fortinet

Czy millennialsi założą rachunki w Google?

Pojawia się oczywiście pytanie, w jakim stopniu owo zaufanie stanowić będzie tak wysoką wartość dla kolejnych pokoleń klientów. Na chwilę obecną nic nie wskazuje na to, by w głównym obszarze swojej działalności banki mogły ulec konkurencji technologicznych gigantów. Kamil Kasprzak, kierownik Zespołu i Przeciwdziałania Przestępczości w Departamencie Bezpieczeństwa Banku Ochrony Środowiska, przypomniał wyniki badania przeprowadzonego z inicjatywy ZBP wiosną tego roku. Respondenci nie mieli wątpliwości, że posiadane środki ulokowaliby w pierwszej kolejności w banku. Podmioty z grupy GAFA (Google, Amazon, Facebook. Apple) cieszyły się kilkukrotnie niższym zaufaniem potencjalnych deponentów.

Trudno jednak przewidzieć, jaki byłby rezultat tego badania za 10 czy 15 lat. Kamil Kasprzak zauważył, że młodzi klienci, wchodzący dopiero na rynek finansowy, będą bardziej oswojeni z alternatywnymi produktami finansowymi, zatem wizja powierzenia oszczędności życia Facebookowi czy Google może być dla nich atrakcyjna. Może się tak stać tym bardziej, że ambitne startupy czy giganty z grupy GAFA potrafią niezwykle skutecznie budować doświadczenie klienta. Wspomniał o tym Paweł Reichelt, dyrektor Departamentu Bankowości Elektronicznej w Plus Banku. I dodał, że sektor bankowy w niektórych obszarach przegapił wejście do gry tak silnych rywali.

Ze stanowiskiem tym polemizował dr Krzysztof Spirzewski. – Młodzi ludzie na początku dysponują głównie pieniędzmi swoich rodziców, a tylko w niewielkim stopniu zarabiają sami. Przy tak skromnych środkach ich zgubienie czy kradzież jest relatywnie niewielkim kłopotem. Zmiana podejścia do bezpieczeństwa finansowego następuje z reguły w wieku 30–40 lat, kiedy w grę wchodzą poważniejsze fundusze, wtedy ludzie stają się znacznie bardziej ostrożni – stwierdził.

Należy jednak pamiętać, że relacje pomiędzy „starą” i „nową” częścią sektora finansowego nie w każdym przypadku muszą mieć charakter antagonistyczny. – Pojawiają się nowe podmioty, które nieco lepiej rozpoznają potrzeby i oczekiwania klientów. Są one bliższe ich doświadczeń cyfrowych, dzięki czemu potrafią zbudować wygodniejsze narzędzia finansowe. W tym przypadku współpraca z bankami, dysponującymi bogatym zasobem wiedzy o kliencie, przyniesie obopólną korzyść. Ale są i tacy, którym nie brakuje zarówno środków finansowych, jak i własnych klientów. Te firmy będą próbowały wejść w rolę banku i przejąć jego przychody – podkreślił Wojciech Ciesielski.

Nie brakowało głosów, że owa presja ze strony firm technologicznych może stać się katalizatorem zmian w branży bankowej. Przedstawiciel Plus Banku zwrócił uwagę na fakt, iż klasyczne instytucje coraz częściej wprowadzają usługi konkurencyjne lub komplementarne wobec oferty fintechów. Rezultatem starcia pomiędzy „starym” a „nowym” będzie również przyspieszenie procesu konsolidacji banków. – Duzi gracze dysponują większymi możliwościami finansowymi, by rozwijać nowoczesne produkty. Mniejsi będą musieli albo się łączyć, albo zagospodarować jakąś niszę rynkową – ocenił Paweł Reichelt.

Ochrona danych w czasach po PSD2

Otwarcie rynku bankowego stanowić będzie istotne wyzwanie także i dla bezpieczeństwa danych zgromadzonych w tradycyjnych instytucjach finansowych. Uczestnicy debaty wielokrotnie podkreślali, iż wejście w życie PSD2 doprowadzi do asymetrii regulacyjnej w branży. Podlegające restrykcyjnemu nadzorowi banki będą musiały nie tylko rywalizować z fintechami, wobec których kompetencje regulatora są niezwykle ograniczone, ale również udostępniać im swoje zasoby za pośrednictwem API. Ponieważ podmioty te nie będą z mocy prawa zobowiązane do stosowania określonych mechanizmów bezpieczeństwa, zwiększy się ryzyko ewentualnych naruszeń ochrony danych.

– Co się stanie, kiedy dojdzie do wycieku? Dla banków będzie to podwójny kłopot, gdyż w pierwszej kolejności będą musiały zidentyfikować podmiot, który dopuścił się naruszenia, a to nie będzie łatwe. Po drugie, pojawia się poważne ryzyko natury reputacyjnej. Problemem będzie zbudowanie mechanizmów, które pozwolą w jednoznaczny sposób wykazać, że za wyciek nie odpowiada bank – stwierdził Jacek Skorupka. W niektórych przypadkach efektem wycieku spowodowanego przez podmiot zewnętrzny może być nie tylko utrata reputacji, ale jak najbardziej realne konsekwencje natury prawnej.

Piotr Balcerzak, dyrektor Zespołu Bezpieczeństwa Banków w ZBP, przypomniał, iż zgodnie z zaleceniami regulatora poszkodowany klient powinien w takich przypadkach składać reklamację do banku, nie zaś do instytucji, która faktycznie realizowała transakcję. – To są problemy, z którymi już za chwilę możemy się spotkać, a ich skutki w postaci masowych wycieków danych osobowych będą w pierwszej kolejności obciążały bank. Mając mały apetyt na ryzyko, banki zaczną profilaktycznie zawiadamiać urząd ochrony danych osobowych o takich zdarzeniach, do końca nie wiedząc, czy są administratorem tych danych, czy jedynie procesorem – zauważył.

Wszystkie te wyzwanie mogą mieć istotny wpływ na kształtowanie strategii banku. Marcin Pycka, FCCA i dyrektor Biura Analiz Zdalnych w Departamencie Audytu Wewnętrznego Banku Pekao, przestrzegł przed sytuacją, w której wszelkie korzyści z open bankingu przejmą fintechy, natomiast klasycznym instytucjom finansowym pozostanie odpowiedzialność za utrzymanie bazy danych, wypełnienie rekomendacji nadzorczych i zapewnienie bezpieczeństwa. – W konsekwencji doszłoby do niekorzystnej sytuacji, w której bank ponosi koszty, a przychody płyną gdzie indziej. Naszym celem powinno być zapewnienie, by te przychody pozostawały po naszej stronie – dodał przedstawiciel Banku Pekao.

Banki wykreują standardy dla fintechów?

Zagrożenia związane z PSD2 to nie jedyny przypadek, kiedy błędy popełniane przez partnerów zewnętrznych mogą wygenerować negatywne konsekwencje dla sektora bankowego. Piotr Balcerzak wskazał tu przykład nieuprawnionego wydawania duplikatów kart SIM przez operatorów telekomunikacyjnych, co pozwoliło cyberprzestępcom na przechwytywanie autoryzujących SMS-ów w celu dokonywania fraudów. – Aby zmitygować zagrożenie, banki będą rezygnowały z tej formy autoryzowania transakcji na rzecz rozwijania aplikacji mobilnych, które są w pełni zarządzalne w kontekście bezpieczeństwa – podkreślił przedstawiciel ZBP.

Ciekawe rozwiązanie zaproponował Dariusz Paczewski, dyrektor Biura Innowacji Cyfrowej w Santander Banku Polska. Sugerował on, by tradycyjny sektor finansowy wykorzystał swą pozycję rynkową w celu kreowania standardów dla branży fintech. Upowszechnienie dobrych praktyk byłoby o tyle ułatwione, że część firm technologicznych współpracuje z sektorem finansowym, bądź w ogóle została powołana do życia przez banki. O tym, że takie rozwiązanie jest możliwe, przekonany jest Andrzej Guzik, kierownik zespołu i inspektor ochrony danych w Departamencie Bezpieczeństwa BOŚ. – Banki zrzeszone w ZBP opracowały kodeks postępowania w zakresie przetwarzania danych osobowych, który podlega zatwierdzeniu przez prezesa UODO. Chodziło o to, żeby ujednolicić zasady procesowania we wszystkich podmiotach, poczynając od dużych instytucji, a kończąc na niewielkich bankach spółdzielczych. Wydaje się, że istnieje potrzeba wypracowania podobnego dokumentu dla obszaru cyfrowego, żeby ujednolicić podejście odnośnie wdrażania systemu zarządzania usługami, bezpieczeństwem informacji i ciągłością działania – dodał reprezentant BOŚ. I przypomniał, iż w obecnym świecie za ochronę danych zaledwie w 20% odpowiadają rozwiązania IT. Reszta to umiejętne zarządzanie bezpieczeństwem informacji.

Paweł Reichelt zwrócił natomiast uwagę na poważne trudności, związane z tworzeniem sektorowych kodeksów postępowania. Wskazał, że poszczególne banki różnią się diametralnie, począwszy od wielkości i skali działania, a kończąc na grupie docelowej. – Mamy i tak mnóstwo regulacji nadzorczych, które w pewnym stopniu mitygują nasze działania – wskazał przedstawiciel Plus Banku.

Jak uchronić klienta przed hakerem i… jego własną nieświadomością

Tworzeniu nowoczesnych zabezpieczeń technologicznych i wdrażaniu polityk i procedur uwzględniających aktualne zagrożenia powinno tymczasem towarzyszyć budowanie świadomości klientów. Andrzej Guzik nadmienił, że we współczesnym świecie użytkownicy pojazdów mechanicznych zobowiązani są do posiadania prawa jazdy. – Komputerowego prawa jazdy nie ma w Polsce nikt, tymczasem ze smartfonów korzystamy praktycznie wszyscy – dodał przedstawiciel BOŚ. Zgodził się z nim Jacek Skorupka, który stwierdził, że spora część społeczeństwa jest całkowicie niedostosowana do bezpiecznego korzystania ze zdalnych kanałów bankowych. Oprócz ewidentnej niewiedzy, problemem jest również postawa młodych pokoleń konsumentów, którzy w swych decyzjach zakupowych nie wykazują się należytą przezornością. – Podejrzewam, że z punktu widzenia większości klientów fintech to taki mały bank, równie bezpieczny – sugerował Maciej Piołunowicz, dyrektor Departamentu Audytu Wewnętrznego w Banku Gospodarstwa Krajowego.

Na ten sam problem zwrócił uwagę Paweł Reichelt, dodając, że przeciętny użytkownik usług bankowych zwraca uwagę na dwa zasadnicze aspekty, czyli cenę i wygodę obsługi. – Klienci pójdą tam, gdzie będzie tanio i w duchu one-click – powiedział reprezentant Plus Banku. Tak niefrasobliwe podejście konsumentów zyskuje tymczasem wsparcie ustawodawcy i regulatora, którzy w coraz większym stopniu przerzucają odpowiedzialność na dostawców usług finansowych.

Dr Krzysztof Spirzewski przywołał wyroki sądów, zobowiązujące bank do zwrotu klientowi pieniędzy utraconych wskutek udostępnienia danych uwierzytelniających osobie trzeciej. – Była to oczywiście ewidentna wina użytkownika, jednak w praktyce niezwykle trudno ją udowodnić. W takich przypadkach bank jest de facto na straconej pozycji – ocenił reprezentant Societe Generale. A to oznacza, że w wielu przypadkach dostawca usług finansowych musi myśleć za użytkownika. – Bank powinien w czasie zbliżonym do rzeczywistego zarządzić incydentem, zweryfikować incydent poprzez pryzmat klienta, jego tożsamości oraz wcześniejszych transakcji i zadecydować, czy tę transakcję wypuszczamy, i to w czasie zbliżonym do rzeczywistego. Z drugiej strony klient jest praktycznie zwolniony z odpowiedzialności za transakcję, teraz jest ona ograniczona zaledwie do 50 euro. Jakie są konsekwencje takiego podejścia? Banki są obciążone nie tylko odpowiedzialnością za samą transakcję, ale ponoszą też koszty wdrażania aktywnych narzędzi systemowych – podkreślił reprezentant BOŚ.

Co może być odpowiedzią sektora finansowego na tak poważne wyzwanie? – Polish API, wypracowanie pewnych mechanizmów i standardów, na które zgadzamy się i dajemy możliwość zasięgnięcia tych informacji przez podmioty trzecie. Zarządzanie bezpieczeństwem nie wiąże się już tylko z produktami typowo bankowymi. Sektor świadczy także usługi publiczne w imieniu państwa – podkreślił Piotr Balcerzak. Sposobem na zwiększenie szans w starciu z coraz silniejszym sieciowym półświatkiem może być również kooperacja pomiędzy biznesem a światem nauki. Taką propozycję przedstawił dr hab. Jacek Pomykała, profesor Zakładu Algebry i Teorii Liczb Uniwersytetu Warszawskiego. – Edukacja nie powinna być skierowana wyłącznie do klientów banków, ale obejmować także przedstawicieli środowisk akademickich, gdzie zainteresowanie tematyką bezpieczeństwa jest ogromne. Warto również angażować jednostki badawcze po to, by dzielić się wiedzą – dodał.

O tym, że takowa współpraca obydwu sektorów jest możliwa, świadczy przywołany przez Piotra Balcerzaka przykład utworzonego na Politechnice Płockiej specjalnego wydziału, którego celem było szkolenie fachowców dla PKN Orlen. – Podobne rozwiązania powinno być wdrożone i w tym przypadku, zwłaszcza że zasoby kadrowe w kontekście cyberbezpieczeństwa są uszczuplone – zaznaczył reprezentant ZBP. Nie ma też najmniejszych wątpliwości, iż przeciwwagą dla cybergangów może być w pierwszej kolejności współpraca różnych segmentów rynku i administracji publicznej. Tylko tak możliwe jest zapewnienie ochrony danych i klientów, którzy w znacznej mierze korzystają z różnych usług dostępnych w cyfrowej rzeczywistości.

Udostępnij artykuł: