Temat numeru: Zabezpieczenia, postępowanie w razie ataku, informowanie klientów

BANK 2015/04

Przeniesienie większości aktywności biznesowych do systemów IT lub ścisłe z nimi powiązanie i uzależnienie funkcjonowania firmy, np. banku, od internetu powoduje, że każde zakłócenie w tej sferze generuje coraz większe straty. Koszty zabezpieczeń stanowią obecnie znaczącą pozycję w budżetach instytucji finansowych

Przeniesienie większości aktywności biznesowych do systemów IT lub ścisłe z nimi powiązanie i uzależnienie funkcjonowania firmy, np. banku, od internetu powoduje, że każde zakłócenie w tej sferze generuje coraz większe straty. Koszty zabezpieczeń stanowią obecnie znaczącą pozycję w budżetach instytucji finansowych

Bohdan Szafrański

Nie jest możliwe pełne zabezpieczenie się przed atakami na systemy informatyczne. Grupy przestępcze coraz częściej żądają okupu za zaniechanie przeprowadzenia ataku. Niestety zasada, że nigdy nie należy płacić w przypadku szantażu, wcale nie jest taka oczywista. Druga strona też kalkuluje opłacalność przeprowadzenia ataku i kieruje go np. na słabiej zabezpieczonych. Dziś w organizacjach zadawane są pytania, jakie rozwiązania (technologia, sprzęt, oprogramowanie) warto zastosować, by wcześnie wykryć zagrożenia związane z możliwością pojawienia się cyberataku, oraz kiedy i gdzie szukać pomocy? Banki są w trudnej sytuacji, bo jako instytucje opierające swój biznes na zaufaniu klientów, muszą tak postępować, by ich nie stracić. Chętnie wykorzystuje to strona przestępcza. Dlatego tak ważne jest pytanie, kiedy należy i warto informować klientów banku o możliwych zagrożeniach.

Michał Tkaczuk, ekspert z PKO Banku Polskiego, podkreśla, że zapewnienie bezpieczeństwa danych jest ujęte w planie ciągłości działania banku. To dokument przedstawiany Komisji Nadzoru Finansowego (KNF). Jest zbiorem procedur i rozwiązań pozwalających m.in. zapobiegać utracie informacji w sytuacjach, o jakich mówimy. Bank ma różne fizyczne lokalizacje, w których dane klientów są przechowywane (w kilku kopiach) i przetwarzane. Informacje są replikowane w czasie rzeczywistym pomiędzy lokalizacjami, dzięki czemu w każdej z nich bank dysponuje pełnym i aktualnym zbiorem. Zabezpieczenie danych, zarówno fizyczne, jak i technologiczne, podlega ocenie przez niezależnych audytorów (także przez KNF) i spełnia restrykcyjne wymagania regulacyjne i prawne, w tym wymagania przyjęte za standard w branży. Dodatkowo w banku działa zespół reagowania, który stale monitoruje sieć i reaguje natychmiast na każdy sygnał związany z potencjalnym zagrożeniem bezpieczeństwa. - Wszystkie przypadki zgłaszamy organom ścigania oraz międzynarodowym zespołom CERT, które zajmują się zwalczaniem naruszeń bezpieczeństwa komputerowego, jak również przeciwdziałaniem tego typu oszustwom w przyszłości - dodaje Michał Tkaczuk.

Również w ING Banku Śląskim cyberbezpieczeństwo jest na stałe wpisane w strategię bezpieczeństwa. Bank proaktywnie w trybie ciągłym dba o to, aby być odpornym na ataki cybernetyczne, które mogą dotknąć instytucje finansowe. Działania te mają zarówno charakter prewencyjny - poprzez implementację procedur oraz systemów ograniczających dostęp do zasobów, jak i działania o charakterze detekcyjnym - które mają na celu szybką identyfikację problemu i minimalizację jego wpływu na infrastrukturę banku

Jolanta Rycerz, dyrektor Pionu Sprzedaży Usług Bankowych w First Data dodaje, że zwiększona liczba transakcji w internecie oraz systematyczny wzrost liczby cyberataków na systemy instytucji finansowych spowodowały, że zarówno KNF, jak i Europejski Urząd Nadzoru Bankowego wydały regulacje nakładające na uczestników rynku obowiązek dodatkowych zabezpieczeń przy płatnościach internetowych z wykorzystaniem kart płatniczych. Zakup oraz utrzymanie systemów zabezpieczeń w bankach wiąże się z coraz większymi nakładami finansowymi. Coraz więcej firm i instytucji finansowych decyduje się na przenoszenie na zewnątrz organizacji obszarów wymagających stałych nakładów na innowacje i rozwój. Wpływa to pozytywnie na efektywność kosztową dotychczasowego modelu biznesowego, a jednocześnie umożliwia dostęp do nowoczesnych rozwiązań technologicznych oferowanych przez wyspecjalizowane firmy, które nieustannie inwestują w rozwój swoich systemów

Tomasz Sawiak, wicedyrektor w zespole CyberSecurity Technology Services w PwC, dzieli mechanizmy zabezpieczające na prewencyjne, detekcyjne i reakcyjne. Rozróżnia też rodzaje ataków kierowanych na systemy bankowości. W przypadku kierowanych na klientów bankowości internetowej - to najczęściej phishing oraz infekcje komputerów i urządzeń mobilnych wykorzystywanych w bankowości elektronicznej. Przy zapobieganiu tego typu atakom najważniejsza jest edukacja użytkowników, oczywiście połączona z odpowiednimi mechanizmami sprawdzającymi autentyczność transakcji. To oni są celem większości ataków w przypadku bankowości elektronicznej, stąd ich pierwsze symptomy mogą być w większości rozpoznane i zgłoszone tylko przez nich. Zdarzają się również ataki kierowane na infrastrukturę banku. W takim przypadku sprawcom zależy na dostępie do stacji roboczych wybranych pracowników i uzyskaniu możliwości wykonywania operacji, które mogą przynieść im bezpośrednie korzyści finansowe. - Oczywiście mechanizmów zabezpieczających instalowanych po stronie infrastruktury przedsiębiorstw jest wiele - tym scalających wszystkie mechanizmy prewencyjne i detekcyjne jest system SIEM - Security Information Event Management. Z uwagi na ciągłą ewolucję scenariuszy ataków, mechanizmy zabezpieczające wymagają okresowych przeglądów pod kątem ich dostosowania do sytuacji - dodaje Tomasz Sawiak.

Podobnie uważa Mirosław Maj z firmy ComCERT. - Rozwiązań jest bardzo dużo, ich zastosowanie zależy bezpośrednio od decyzji organizacji, podjętej po solidnie wykonanej analizie ryzyka. Osobiście zwróciłbym uwagę na dwie rzeczy. Pierwsza to skuteczny system typu SIEM, który jest miejscem agregacji i analizy danych. Nie jest to jednak panaceum na wszelkie kłopoty - podkreśla. Wdrożenie i utrzymanie SIEM to zaawansowane zadanie techniczne i organizacyjne, źle wykonane doprowadza do pogorszenia sytuacji, a nie do jej poprawienia. Druga to uznanie wagi prawidłowego zareagowania na incydenty. Po latach wdrażania systemów bezpieczeństwa większość organizacji uzyskało dużo w dziedzinie prewencji i niewiele w dziedzinie reakcji. Niestety, większość przekonuje się o tym, że nawet najlepsza prewencja nie jest w pełni skuteczna. Trzeba uzbroić się w narzędzia wspomagające reakcję, np. służące do analizy złośliwego oprogramowania, identyfikacji źródeł ataku czy skutecznego znoszenia jego skutków.

Michał Kurek, dyrektor w Zespole Zarządzania Ryzykiem IT w EY, jest przekonany, że wobec dzisiejszych zagrożeń informatycznych nie ma skutecznych zabezpieczeń. Nawet największe inwestycje w zabezpieczenia nie są w stanie ochronić firmy przed hakerami. Cyberprzestępcy dysponują dziś dedykowanym oprogramowaniem wykorzystującym nieznane wcześniej podatności. Skutecznie posługują się potężnymi technikami inżynierii społecznej. Widząc to oficerowie bezpieczeństwa coraz częściej używają słowa utrudnić, zamiast ochronić. - Zarządy największych instytucji finansowych na świecie zdają sobie sprawę, że nie są w stanie zabezpieczyć się przed cyberprzestępcami i coraz większy nacisk kładą na inwestycje w skuteczne procesy monitorowania bezpieczeństwa i reagowania na zidentyfikowane incydenty - dodaje Michał Kurek. Im bardziej podejście będzie proaktywne, tym efektywniej firma będzie chroniona. Dlatego nowym trendem w bezpieczeństwie są usługi Threat Intelligence, polegające na monitorowaniu ciemnej strony internetu. Działania te mają na celu zrozumienie motywów cyberprzestępców, ich narzędzi, sposobu działania, a przede wszystkim mają możliwie wcześnie zidentyfikować szykowany na organizację cyberatak.

Krzysztof Radziwon, partner w dziale usług doradczych w KPMG w Polsce, jest przekonany, że przed podjęciem decyzji o konkretnych inwestycjach w technologię, sprzęt czy oprogramowanie, należy najpierw odpowiedzieć sobie na pytania: co organizacja chce chronić, przed kim się chronić oraz jaki może mieć przebieg potencjalny cyberatak. Odpowiedź zależeć będzie od rodzaju i charakteru zasobów, które chce chronić. Wydaje się, iż obecnie organizacje całkiem dobrze chronią informacje, co jest związane z aktywnością regulatorów na tym polu (np. w sektorze finansowym) oraz licznymi standardami wytworzonymi na przestrzeni lat, które z powodzeniem wiele firm w Polsce wdrożyło. Dlatego w tym obszarze słuszne wydaje się skupienie nie na nowych inwestycjach, lecz uspójnianiu i doskonaleniu już zaimplementowanych rozwiązań: firewall, IDS, IPS, antimalware, antivirus, DLP itp.

- Myśląc o inwestycjach w kompleksowy system zabezpieczeń przed cyberatakami, należy pamiętać, że gros z nich kończy się powodzeniem dzięki nieroztropności użytkowników końcowych (phishing, malware, proste hasła dostępowe). Dlatego też inwestowanie środków finansowych w ich szkolenie wydaje się jak najbardziej zasadnym kierunkiem - podsumowuje Krzysztof Radziwon. Cezary Piekarski, starszy menedżer, Cyber risk services w Deloitte przyznaje, że podobnie jak stosowane przez przestępców metody ataku, tak i narzędzia informatyczne służące przeciwdziałaniu im ulegają dynamicznej ewolucji. Kluczowe zmiany w tym obszarze wynikają m.in. z bardziej celowanego charakteru ataków - obecnie często są one przygotowywane z myślą o pojedynczej organizacji, a przez to trudne do wykrycia przez standardowe narzędzia, takie jak systemy antywirusowe lub zapory ogniowe. Kluczowym kierunkiem, w którym powinny zmierzać obecnie instytucje finansowe, jest zapewnienie narzędzi opartych na analizie zachowań (behawioralnej) potencjalnie złośliwego oprogramowania. - Narzędzia te charakteryzują się satysfakcjonującą skutecznością i potrafią istotnie wzbogacić już wykorzystywane w instytucjach bardziej tradycyjne metody ochrony. Niezmiennie istotne jest również zapewnienie organizacjom zdolności do odpowiedzi w tempie adekwatnym do zapewnianego przez stosowane mechanizmy technologiczne. One nie będą skuteczne, jeżeli nie zapewnimy odpowiedniego wsparcia i decyzji ze strony doświadczonego operatora - dodaje Cezary Piekarski.

Łukasz Formas, główny inżynier sprzedaży, Integrated Solutions z Grupy Orange Polska, podkreśla, że cyberbezpieczeństwo to ciągły wyścig pomiędzy atakującymi a atakowanymi. Przewagę zapewnia podążanie za najnowszymi trendami i technologiami ochrony. To pozwoli na wybór rozwiązania dopasowanego do danego rodzaju zagrożenia. - Orange dokłada starań, aby zagadnienia bezpieczeństwa teleinformatycznego były traktowane kompleksowo i odpowiadały na potrzeby klientów. W przypadku ataków typu odmowy dostępu, czyli DDoS zaleca się stosowanie ochrony na łączach operatorskich. Istnieją też dedykowane systemy, choć zakup ich na własność, np. przez bank, to spory wydatek - mówi. To sprawia, że instytucje finansowe częściej decydują się na korzystanie z zaawansowanych rozwiązań w formie usługi. Na złośliwe oprogramowanie najlepsze są systemy IPS (Intrusion Prevention System) - blokujące niechcianą komunikację i/lub rozwiązania klasy Sandbox, które pozwalają na wykonanie i wykrycie podejrzanego kodu w kontrolowanym, odizolowanym środowisku i sprawdzenie jego aktywności. Aplikacje webowe najlepiej chronić systemami WAF (Web Application Firewall), a bezpieczeństwo urządzeń mobilnych zwiększy np. system klasy MDM (Mobile Device Management). - Coraz gorętszym tematem jest również zintegrowane bezpieczeństwo, przez które rozumiemy komunikację pomiędzy różnymi elementami/warstwami bezpieczeństwa i wzajemne przekazywanie informacji oraz ich korelację i analizę. Z tego punktu widzenia coraz większą rolę odgrywają rozwiązania klasy SIEM. Im więcej danych i głębsza analiza, tym większe szanse na skuteczną ochronę - dodaje Łukasz Formas. Oprócz działań mających na celu zatrzymanie czy niedoprowadzenie do tych najbardziej skomplikowanych i najbardziej dotkliwych w skutkach ataków, trzeba też pamiętać o standardowych zagrożeniach, a antywirusy czy firewalle warto mieć pod ręką.

bank.2015.04.foto.033.a.267xPomoc z zewnątrz?

Tomasz Sawiak podkreśla, że gdy dojdzie już do incydentu, najważniejsza jest szybka ocena sytuacji. Niezbędny jest zespół odpowiednio wykwalifikowanych specjalistów, którzy dokładnie go przeanalizują. Jeśli niezbędna jest głębsza wiedza, której zespół firmy nie posiada, warto skorzystać z zasobów zewnętrznych. Bardzo ważna jest dokładana analiza każdego z obserwowanych incydentów. Dzięki niej można wypracować metodę identyfikacji innych zagrożonych klientów i wprowadzić odpowiednie zmiany w mechanizmach ochronnych. Celem jest oczywiście ograniczenie możliwości występowania podobnych incydentów w przyszłości. Duże znaczenie ma także współpraca. Na świecie coraz więcej firm jest skłonnych do kooperacji z innymi jednostkami dla poprawy bezpieczeństwa i wymiany informacji dotyczących zagrożeń.

Zdaniem Dawida Osojcy z firmy ComCERT w przypadku trwających ataków niezwykle ważne jest podjęcie dostatecznie szybkich kroków mających na celu minimalizację zagrożenia i poniesionych strat. Dobrze, jeśli bank dysponuje w takich sytuacjach własnym zespołem przeszkolonym do reagowania na tego typu incydenty. Gdy jednak tak nie jest lub atak jest poważny, konieczne może być sięgnięcie po pomoc z zewnątrz. - W takiej sytuacji zewnętrzna firma doradzi, jakie kroki najlepiej podjąć oraz będzie pośredniczyć w kontaktach pomiędzy bankiem a podmiotami zewnętrznymi (dostawcami usług hostingowych, operatorami telekomunikacyjnymi, organami ścigania). Ponadto eksperci firmy przeprowadzą szczegółową analizę zagrożenia, a jeśli to wskazane również analizę złośliwego oprogramowania - dodaje Dawid Osojca.

Michał Kurek zwraca uwagę na to, że bezpieczeństwo informatyczne to dziś bardzo szeroka dziedzina wiedzy - obejmująca zarówno aspekty procesowo-organizacyjne, jak i coraz bardziej złożone kwestie techniczne. Zgromadzenie i utrzymanie tej wiedzy w ramach organizacji nie zawsze jest możliwe, a najczęściej nieuzasadnione ekonomicznie. Z tego względu, w wybranych obszarach, warto posiłkować się firmami zewnętrznymi specjalizującymi się w danych zagadnieniach. - Czasem duże organizacje stosują podejście hybrydowe. Przykładowo - budują zespół testerów bezpieczeństwa aplikacji, ale dla krytycznych wdrożeń lub w okresach nasilonych potrzeb w tym zakresie korzystają z firm zewnętrznych, z którymi mają podpisane umowy ramowe - dodaje Dawid Kurek.

Cezary Piekarski jest zdania, że niezależny punkt widzenia na problemy, z którymi spotykają się instytucje finansowe, jest pożądany w każdej niemal sytuacji, ale należy zwrócić uwagę na inny aspekt pomocy zewnętrznej. Nadal niewystarczająco wykorzystywany jest potencjał współpracy pomiędzy instytucjami finansowymi w przeciwdziałaniu nowoczesnym zagrożeniom. Banki i inne instytucje sektora finansowego często niezależnie budują techniczne bazy wiedzy o zagrożeniach. Istnieją, co prawda, i są budowane nowe platformy wymiany wiedzy o scenariuszach zagrożeń (także w ramach izb gospodarczych), ale prawdziwy potencjał znajduje się w integracji rozwiązań technologicznych i stworzeniu wspólnej, aktywnej i autonomicznej platformy wymiany wiedzy.- Działanie to jest nieuniknione dla zapewnienia skuteczności i racjonalności ekonomicznej ochrony przed cyber-zagrożeniami - uważa Cezary Piekarski. Łukasz Formas dzieli wsparcie na działania proaktywne i reaktywne. Przez pomoc proaktywną rozumie podnoszenie świadomości klientów i pracowników. Tutaj, w zależności od zasobów, można sięgnąć po cały wachlarz rozwiązań - od wewnętrznych komórek bezpieczeństwa uświadamiających pracowników o zagrożeniach, po zewnętrzne firmy audytorskie. Te procesy powinny odbywać się w trybie ciągłym. Pomoc reaktywna wiąże się z podjęciem akcji w przypadku wystąpienia zagrożenia. W zależności od tego, z jakim zagrożeniem mamy do czynienia, są to działania punktowe lub stałe wsparcie zewnętrznych ekspertów. Przy tym scenariuszu, w tzw. otwartej walce z cyberprzestępcami, liczą się kompetencje i doświadczenie. Co więcej, działania reaktywne powinny być impulsem do stworzenia lub zaktualizowania przez organizację globalnej polityki bezpieczeństwa. Klienci - informować czy nie? Przez wieki banki budowały swoją pozycję, gwarantując bezpieczeństwo przechowywanych środków. Dziś i one, i ich klienci są celem cyberataków. Zdecydowanie lepiej zatem jest informować klientów o problemach banku, bo w praktyce nie ma możliwości zablokowania informacji o takich atakach. Paweł Skowroński, starszy menedżer w dziale usług doradczych w KPMG w Polsce, na pytanie, kiedy banki powinny informować klientów o zagrożeniach, udziela wyłącznie jednej odpowiedzi - zawsze. Jednakże to, nad czym banki powinny przede wszystkim skupić się w kontekście edukacji klientów, to prosty i zrozumiały przekaz dla przeciętnego Kowalskiego, który nie odnajduje się w gąszczu technicznej terminologii. Dlatego ważna jest też umiejętność przekładania zawiłych zagadnień w prosty komunikat, jak np. Nie żeniom. Banki i inne instytucje sektora finansowego często niezależnie budują techniczne bazy wiedzy o zagrożeniach. Istnieją, co prawda, i są budowane nowe platformy wymiany wiedzy o scenariuszach zagrożeń (także w ramach izb gospodarczych), ale prawdziwy potencjał znajduje się w integracji rozwiązań technologicznych i stworzeniu wspólnej, aktywnej i autonomicznej platformy wymiany wiedzy.- Działanie to jest nieuniknione dla zapewnienia skuteczności i racjonalności ekonomicznej ochrony przed cyber-zagrożeniami - uważa Cezary Piekarski. Łukasz Formas dzieli wsparcie na działania proaktywne i reaktywne. Przez pomoc proaktywną rozumie podnoszenie świadomości klientów i pracowników. Tutaj, w zależności od zasobów, można sięgnąć po cały wachlarz rozwiązań - od wewnętrznych komórek bezpieczeństwa uświadamiających pracowników o zagrożeniach, po zewnętrzne firmy audytorskie. Te procesy powinny odbywać się w trybie ciągłym. Pomoc reaktywna wiąże się z podjęciem akcji w przypadku wystąpienia zagrożenia. W zależności od tego, z jakim zagrożeniem mamy do czynienia, są to działania punktowe lub stałe wsparcie zewnętrznych ekspertów. Przy tym scenariuszu, w tzw. otwartej walce z cyberprzestępcami, liczą się kompetencje i doświadczenie. Co więcej, działania reaktywne powinny być impulsem do stworzenia lub zaktualizowania przez organizację globalnej polityki bezpieczeństwa. Podobnie sądzi Dawid Osojca. - Informując klientów bankowości elektronicznej o trwających atakach i możliwych zagrożeniach, buduje się ich świadomość o istniejących w cyberprzestrzeni niebezpieczeństwach, co będzie procentować w przyszłości. Podczas kolejnego ataku użytkownik być może dwa razy się zastanowi, zanim kliknie podejrzany link lub wpisze hasło na stronie do złudzenia przypominającej prawdziwą stronę banku - mówi. Komunikaty powinny być na tyle proste i zrozumiałe, by trafiały również do klientów słabiej obeznanych z technologiami informacyjnymi. Warto, by stosowne komunikaty pojawiły się w widocznym miejscu na stronie internetowej banku - najlepiej w okolicy formularza do logowania, który jest jedną z częściej wyświetlanych przez klientów podstron. Dodatkowe

Klienci - informować czy nie?

Przez wieki banki budowały swoją pozycję, gwarantując bezpieczeństwo przechowywanych środków. Dziś i one, i ich klienci są celem cyberataków. Zdecydowanie lepiej zatem jest informować klientów o problemach banku, bo w praktyce nie ma możliwości zablokowania informacji o takich atakach. Paweł Skowroński, starszy menedżer w dziale usług doradczych w KPMG w Polsce, na pytanie, kiedy banki powinny informować klientów o zagrożeniach, udziela wyłącznie jednej odpowiedzi - zawsze. Jednakże to, nad czym banki powinny przede wszystkim skupić się w kontekście edukacji klientów, to prosty i zrozumiały przekaz dla przeciętnego Kowalskiego, który nie odnajduje się w gąszczu technicznej terminologii. Dlatego ważna jest też umiejętność przekładania zawiłych zagadnień w prosty komunikat, jak np. Nie loguj się do bankowości internetowej z komputerów dostępnych publicznie - kafejek, bibliotek itp. Tomasz Sawiak również jest zdania, że informowanie klientów o zagrożeniach jest kluczowym elementem budowy programu uświadamiania, wykrywania i zapobiegania atakom w ich wczesnych fazach. Komunikację warto prowadzić szeroko - od akcji informacyjnych w oddziałach banków po wykorzystanie reklamy w mediach. - Ważne jest edukowanie użytkowników o nowych zagrożeniach oraz wykształcanie u klientów dobrych wzorców zachowań. Zwiększenie czujności jest tutaj kluczowe, gdyż pozwalana na wczesną identyfikację nowych scenariuszy ataków. Warto również zastanowić się, jak zachęcać i nagradzać użytkowników za zgłaszanie informacji o podejrzeniach tego typu ataków - dodaje Tomasz Sawiak.

Podobnie sądzi Dawid Osojca. - Informując klientów bankowości elektronicznej o trwających atakach i możliwych zagrożeniach, buduje się ich świadomość o istniejących w cyberprzestrzeni niebezpieczeństwach, co będzie procentować w przyszłości. Podczas kolejnego ataku użytkownik być może dwa razy się zastanowi, zanim kliknie podejrzany link lub wpisze hasło na stronie do złudzenia przypominającej prawdziwą stronę banku - mówi. Komunikaty powinny być na tyle proste i zrozumiałe, by trafiały również do klientów słabiej obeznanych z technologiami informacyjnymi. Warto, by stosowne komunikaty pojawiły się w widocznym miejscu na stronie internetowej banku - najlepiej w okolicy formularza do logowania, który jest jedną z częściej wyświetlanych przez klientów podstron. Dodatkowe komunikaty można również załączać do wysyłanych okresowo do klientów wiadomości elektronicznych. Ciekawym pomysłem może być również organizowanie przez bank raz na jakiś czas szerszych kampanii informacyjnych, poświęconych zagadnieniom bezpieczeństwa bankowości elektronicznej. Sama treść komunikatów powinna odwoływać się zarówno do elementów specyficznych dla ataków na klientów bankowości elektronicznej (np. przestrzeganie przed instalacją niezaufanych aplikacji na telefon), jak i ogólnych zaleceń bezpieczeństwa (instalowanie aktualizacji, posiadanie aktualnego oprogramowania antywirusowego). Nieco odrębną kwestią jest informowanie o aktualnie trwających atakach. W przypadku dużych ataków warto wykorzystać do tego media społecznościowe, takie jak Twitter czy Facebook, które pozwolą dość szybko dotrzeć z informacją do dużej grupy odbiorców.

Łukasz Formas też jest za informowaniem klientów, szczególnie jeśli zagrożenie wprost ich dotyczy. Jeśli chodzi o osoby korzystające z bankowości internetowej, to najlepszym sposobem komunikacji jest wyświetlenie informacji o zagrożeniu tuż przed zalogowaniem się użytkownika do systemu. - W tym modelu mamy pewność, że informacja dotarła do klientów, a co ważne bezpośrednio zagrożonych atakiem. Ponadto kanał ten nie wymaga pozyskiwania od klientów dodatkowych zgód na komunikację, tak jak to ma miejsce przy SMS-ach czy e-mailach. Zresztą taki przekaz wysłany np. w e-mailu też mógłby być potraktowany przez odbiorcę jako potencjalny atak phishingowy - zauważa Łukasz Formas.

Michał Kurek jest przekonany, że podnoszenie świadomości w zakresie bezpieczeństwa systemów informatycznych to krytyczny element walki z cyberprzestępczością. Dziś przyczyną rosnącej lawiny skutecznych cyberataków nie są słabości w systemach bankowych, ale brak wiedzy i ostrożności klientów. Działania edukacyjne należy podejmować jak najczęściej i w każdy możliwy sposób. Jedynie taki wielotorowy przekaz ma szansę być efektywny.

Z kolei Cezary Piekarski uważa, że klienci, którzy są coraz bardziej świadomi zasad wykorzystania technologii informatycznych, a także ryzyk z tym związanych łatwo mogą dostrzec potencjalny atak lub jego symptomy. Przyjęcie strategii komunikacji opartej na zaprzeczaniu może być w tym wypadku bardzo ryzykowne.

Również przedstawiciele banków prezentują zbieżne z powyższymi opinie. Jak mówi Michał Tkaczuk, PKO BP prowadzi regularne działania - zarówno na stronach internetowych banku, w mediach społecznościowych, jak i w drukowanych wydawnictwach kierowanych do klientów. Skupia się na informowaniu i edukowaniu o zagrożeniach, z którymi spotyka ją się klienci, np. phishingu, czy podstawach zapewnienia bezpieczeństwa danym wrażliwym i ochronie komputera. Bank przypomina klientom, że nigdy nie prosi o podawanie jakichkolwiek informacji drogą e-mailową lub SMS-ową. Apeluje o zachowanie ostrożności i ograniczonego zaufania w stosunku do e-maili lub SMS-ów, w których znajduje się prośba o podanie poufnych danych lub skorzystanie z linku. Ostrzega, że są to fałszywe wiadomości mające na celu nie tylko wyłudzenie od odbiorcy danych osobowych lub danych karty, ale także zainstalowanie na jego komputerze lub w telefonie potencjalnie szkodliwych programów podglądających i śledzących jego działania. Przypomina klientom, aby nie udostępniali danych osobowych, loginu i haseł do konta, kodów jednorazowych, danych dotyczących karty płatniczej - PIN-u, kodu CVV, osobowych ani żadnych innych poufnych informacji osobom trzecim - nawet bliskim. Zwraca uwagę, że jeśli cokolwiek w wyglądzie strony internetowej banku wzbudzi zaniepokojenie klienta, przed zalogowaniem do serwisu transakcyjnego powinien on skontaktować się z konsultantem contact center. - Aby uniknąć zainfekowania komputera niebezpiecznymi wirusami, należy korzystać z legalnego oprogramowania i regularnie je aktualizować. Trzeba też stosować aktualizowane na bieżąco programy antywirusowe oraz firewalle. Podczas korzystania z bankowości internetowej należy używać wyłącznie własnego komputera - dodaje Michał Tkaczuk.

Tomasz Galos, kierujący Wydziałem Bezpieczeństwa i Prewencji mBanku, przypomina, że bank od kliku lat informuje klientów o nowych cyber zagrożeniach. Z doświadczeń wynika, że najbardziej efektywna jest edukacja, która odbywa się przez kilka kanałów komunikacji. Dlatego bank stara się dotrzeć do klienta praktycznie na każdym etapie jego aktywności i bankowania z mBankiem. Tomasz Galos wymienia takie działania, jak publikowanie informacji dotyczących bezpieczeństwa, m.in.: na blogu, w aktualnościach oraz na stronie internetowej banku, gdzie znajduje się specjalna zakładka Bezpieczeństwo. Link do strefy bezpieczeństwa, dla wygody klientów, umieszczony jest w widocznym miejscu, pod przyciskiem Zaloguj na stronie logowania do serwisu transakcyjnego i w serwisie transakcyjnym banku. Po zalogowaniu komunikaty o potencjalnych zagrożeniach można znaleźć na czerwonym pasku na górze strony. Układ i kolor mają zwracać uwagę klientów. Krótka informacja jest podlinkowana i po kliknięciu przenosi do artykułu rozwijającego temat. Komunikaty banku nie tylko ostrzegają przed samym zagrożeniem, ale też uczą klientów, jak mu zapobiec i jakie środki ostrożności zachować. Jak zapewnia Tomasz Galos, mBank ma w planach także wykorzystanie kolejnych sposobów dotarcia do klienta i wprowadzenie nowych działań w tym zakresie.

Użytkownicy bankowości elektronicznej i mobilnej w naszym kraju odbierają bardzo pozytywnie ostrzeżenia związane z bezpieczeństwem publikowane przez banki - wręcz jako dbanie o klienta. Przy obecnie szybkim rozprzestrzenianiu się informacji w sieci brak reakcji banku może grozić tym, że do klientów dotrą wiadomości zniekształcone lub nieprawdziwe, które mogą wywołać panikę. Nie można zresztą wykluczać, że to także może być celem atakującego.

Udostpnij artyku: