Strona główna

Klient słabym ogniwem cyberbezpieczeństwa banków

  • Polski czołg Leopard 2A5 i hiszpański pojazd opancerzony w czasie ćwiczeń Briliant Jump. Fot. chor. Rafał Mniedło

Najsłabsze ogniwo cyberbezpieczeństwa to klient - twierdzą rodzimi bankowcy. Dlatego decydujące znaczenie ma wykrywanie przestępców korzystających ze skradzionej tożsamości. Wiadomość o fałszywym numerze telefonu klienta lub informacja, że jego urządzenie było wykorzystywane do cyberprzestępstw - takie dane pozwoliłyby przystopować wirtualnych złodziei. Konieczna jest do tego wymiana wiadomości między firmami. Inaczej system będzie bezużyteczny.

O problemach cyberzagrożeń dyskutowali uczestnicy Forum Bankowego, które w zeszłym tygodniu zorganizowano w Warszawie. Bankowcy zapewniają, że sprawę cyberbezpieczeńśtwa traktują poważnie. Pokazują to międzynarodowe badania IBM. Według decydentów sektora bankowego największym zagrożeniem dla ich firm jest właśnie bezpieczeństwo systemów IT. Tak wskazało aż 85 proc. ankietowanych. Na plan dalszy zeszły takie zagrożenia, jak utrata reputacji czy ryzyko finansowe.

- Cyberzagrożenia to problem, który postępuje. Poziom ryzyka rośnie. W wypadku cyberataku wywrotka dużej instytucji nie spowoduje zachwiania całego sektora, ale może negatywnie wpłynąć na pojedynczą instytucję – twierdzi Grzegorz Kuliszewski z IBM.

Słabe ogniwo - klient

- Cyber ryzyko to zadanie konkretnej instytucji czy też zadanie zbiorowe całego sektora? – zastanawiał się wiceprezes Związku Banków Polskich Mieczysław Groszek.

Prezes Biura Informacji Kredytowej Mariusz Cholewa dowodził, że obie odpowiedzi są prawdziwe. - To zadanie zarówno dostawców usług teleinformatycznych dla banków jak i każdej instytucji finansowej z osobna. Kiedyś atakowano banki przez próby wyciągnięcia gotówki z sejfu. Potem pojawiły się ataki na systemy bankowe, a teraz pojawiają się ataki złodziei szukających najsłabszego ogniwa. Często jest nim klient - użytkownik końcowy. Mamy coraz częściej do czynienia z tym, że złodzieje próbują wejść do systemu, kradnąc czyjąś tożsamość – tłumaczy prezes BIK.

Według Mariusza Cholewy próba wyłudzenia pożyczki na wykradzioną tożsamość to coraz większy problem. W BIK istnieje już platforma służąca ochronie przed wyłudzeniami kredytów i pożyczek. Prezes BIK nieskromnie przyznaje, że rodzimy system jest jednym z najlepszych na świecie – tym bardziej, że ustawodawca pozwolił ostatnio na wymianę informacji miedzy sektorem bankowym, ubezpieczeniowym i leasingowym. Mariusz Cholewa dostrzega jednak poważne zagrożenia.

–  System będzie zupełnie bezużyteczny, jeśli uczestnicy rynku nie będą chcieli wymieniać się informacjami. To jest kwestia porównywania zgodności danych z wniosku kredytowego w jednym banku z innymi wnioskami – tłumaczył.

Chodzi o to, by porównywać jak największą liczbę informacji o klientach. Jeżeli wnioski kredytowe nie zgadzają się między sobą nawet w jednym miejscu (np. numerami telefonu), takie podanie powinno zostać automatycznie oflagowane jako potencjalnie niebezpieczne. Jeszcze sprawniej będzie działał system, który skojarzy, czy dany numer nie był np. wykorzystywany wcześniej przy wyłudzeniach. Jeśli do tego platforma będzie w stanie ustalić, z jakiego urządzenia składany był wniosek i czy było ono wykorzystywane do innych przestępstw – powstanie system, który znacząco pomoże uniknąć ryzyka.

Nie ma powodu do zmartwień?

Problem jest palący, bo według Mariusza Cholewy wartość zaciągniętych kredytów „bez woli  spłaty” opiewa na kilkaset milionów złotych rocznie. Dlatego tak ważne jest utworzenie sita, które pozwoli wyłapać złodziei tożsamości. - Chęć współdzielenia danych jest absolutnie krytyczna, żeby to działało – podsumowuje prezes BIK.

W tym kontekście ważną inicjatywą jest Bankowe Centrum Cyberbezpieczeństwa. Już działa wstępna wirtualna platforma wymiany danych, która w ciągu roku ma przyjąć bardziej zinstytucjonalizowane formy. Docelowo będzie to instytucja posiadająca własną siedzibę, specjalistów i infrastrukturę (O Bankowym Centrum Bezpieczeństwa pisaliśmy już na naszej stronie). Mieczysław Groszek przypomniał, że chodzi o to, by system wymiany danych stał się bardziej zcentralizowany.

Piotr Alicki, wiceprezes zarządu PKO BP zapewnił, że bankowcy nie lekceważą problemu. Ale dodał też, że Polska, w odróżnieniu od zachodnich krajów,  nie ma jeszcze powodu do poważnych zmartwień. – Cyberzagrożenia nie zmaterializowały się jeszcze w taki sposób, żeby spektakularnie dotykać szerokiej rzeszy naszych klientów – mówi.

Dyrektor w dziale zarządzania ryzykiem Ernst & Young Michał Kurek przyznał co prawda, że sektor bankowy ze wszystkich gałęzi polskiej gospodarki jest najlepiej przygotowany do wdrożenia unijnej dyrektywy NIS, ale powodów do hurraoptymizmu  - jego zdaniem też - nie ma.

- Banki mają dużo do zrobienia, jeżeli chodzi o działania reaktywne. Tylko 7 proc. organizacji finansowych ocenia swoje procesy monitorowania cyberbezpieczeństwa jako dojrzałe. Potrzebna jest współpraca między sektorami firm odpowiadającymi za bezpieczeństwo IT, a innymi częściami przedsiębiorstwa, np. PR, a także lepsza komunikacja z organami ścigania - podsumowuje ekspert.

 

Komentarze