Bezpiecznie jak w banku? Jeśli czynnik ludzki nie zawiedzie

Michał Macierzyński

Michał Macierzyński - 20.11.2009 (12:21) artykuł nadesłany

Bankowość internetowa

Czy powiedzenie „Bezpiecznie jak w banku” jest nadal aktualne? Jak postrzegane jest bezpieczeństwo? Na te pytania staraliśmy się odpowiedzieć w ramach kolejnego spotkania „Rewolucja w Finansach” zorganizowanego 16 listopada przez portal Bankier.pl, fundację InternetPR oraz Agorę. Temat to dość szeroki – można na niego spojrzeć zarówno z perspektywy bezpieczeństwa finansowego banków, jak i zabezpieczeń bankowości internetowej czy zaufania do dostawców usług finansowych. I wciąż aktualne pozostaje pytanie – gdzie leży delikatna granica pomiędzy bezpieczeństwem, a wygodą i szybkością „bankowania”?

Trudno oprzeć się wrażeniu, że banki odpowiedzialność za „bezpieczeństwo” naszych – nie tak znowu wirtualnych pieniędzy – starają się przerzucić na klientów. Ma to sens w kontekście dostępu do rachunków internetowych – w końcu to Klient wybiera, z jakiego komputera czy urządzenia przenośnego łączy się z witryną banku. I to on odpowiada za zabezpieczenie swojego laptopa przed szeroko pojmowanym malwarem. Zaczynając od zdroworozsądkowego podejścia do phisingowych maili, przez proste keyloggery zapisujące wprowadzane hasła, po bardziej wysublimowane metody ataku takie jak man in the browser – to po stronie klienta pojawia się ryzyko niewystarczających zabezpieczeń. Co może zrobić bank, poza edukacją, edukacją, jeszcze raz edukacją – i oferowaniem zniżek na programy antywirusowe? Zdawałoby się, niewiele – jeśli problem, jak mawiają informatycy, znajduje się pomiędzy krzesłem a klawiaturą, po stronie banku pozostaje tylko wymaganie dodatkowego uwierzytelniania każdej transakcji.

Jednocześnie banki same nie są wzorem frasobliwości – od klientów wymagają tego, czego nie potrafią wymusić na pracownikach własnych placówek. Bo nawet najlepsze zabezpieczenia nie zadziałają, jeśli nie są odpowiednio wykorzystywane. Trzymanie dużych ilości gotówki w jednej szufladzie multisejfu, zmniejszanie czasu potrzebnego na dostęp do gotówki – pozornie przyśpieszające obsługę klientów i zapobiegające kolejkom – czy zwykły brak odpowiedniego przeszkolenia pracowników na wypadek napadu – to raczej kiepski wzór. Jeszcze rok temu obserwowaliśmy gwałtowny przyrost liczby oddziałów banków – tempo ich powstawania, nacisk na wygodę, na wizerunek – zepchnęły kwestie bezpieczeństwa na drugi plan. Duże otwarte przestrzenie, przejrzyste witryny – wręcz zachęcają, by pod pozorem spaceru czy rozmowy telefonicznej dokładnie przyglądać się pracy kasjerów, ich zwyczajom, rotacji pracowników. Nic dziwnego, że „napady” na bank stają się coraz popularniejsze – przy łatwym dostępie do tanich atrap broni ASG, przy mało wyraźnych zapisach z monitoringu placówek, mamy kolejną „dziurę” w bezpieczeństwie, jak przekonywał Krzysztof Jan Jakubski, specjalista od przestępczości związanej z bankowością elektroniczną. Braki związane z procedurami czy wyposażeniem, nie dotyczą klientów bezpośrednio – w końcu stanowią koszty banku. Są jednak dodatkowym kosztem – w kontekście zaufania i wizerunku.

A właśnie przypadki napadów na placówki banków są najbardziej nośnym medialnie tematem, jak wykazywał Sebastian Bykowski, dyrektor generalny, PRESS-SERVICE. Jednocześnie same media odgrywają sporą rolę w przyroście liczby takich ataków. Krzykliwe tytuły i sensacyjne opisy – jak twierdzi Krzysztof Jan Jakubski – działają wręcz zachęcająco na potencjalnych przestępców. Co ciekawe, sposób relacjonowania przez prasę ataków na placówki, jak i generalnie kwestii związanych z bezpieczeństwem korzystania z bankowości internetowej – nie zmienił się praktycznie od samego początku. Tu dziennikarze w pewnym sensie wykonują edukacyjną „czarną robotę”, wyręczając banki. Powtarzanie tych samych wskazówek czy informacji może być postrzegane jako artykuły „zapchajdziury” – ale budują świadomość – i schematy obrony przed takimi zagrożeniami, jak phising czy kradzież tożsamości.

ZOBACZ TAKŻE: Napady na banki w 2009 r. problemem rzeczywistym czy medialnym?

Podczas debaty zamykającej spotkanie Maciej Samcik, dziennikarz Gazety Wyborczej, przekonywał, że „kryzysowe” podniesienie gwarancji depozytów do 50 tysięcy euro dodatkowo zmniejszyło znaczenie wizerunku „banku bezpiecznego”. Trudno się nie zgodzić – w końcu, jeśli wszystkie depozyty zabezpieczone są tak samo, przy wyborze banku, w którym chcemy złożyć swoje pieniądze, prędzej zastanowimy się nad zyskami i oprocentowaniem, niż nad perspektywą środków. Znaczenie „bezpieczeństwa” przesuwa się raczej w stronę subiektywnego odczucia związanego z zaufaniem do instytucji – w sensie kontaktu z bankiem. „Bezpiecznym” bankiem będzie więc ten, który – mówiąc kolokwialnie – nie będzie próbował „zrobić nas w konia” – zmieniając zasady w czasie gry, podnosząc opłaty, czy majstrując przy zabezpieczeniach kredytu. Tu znów wraca temat wizerunku – Lidia Marcinkowska i Paweł Soproniuk, z agencji Neuron PR porównywali kryzys w komunikacji pomiędzy bankiem a klientem do sytuacji zdrady między kochankami. Paralela malownicza, ale jakże odpowiednia: idealny układ w związku to partnerstwo i wzajemne zaufanie – te raczej ciężko odbudować. A subiektywna ocena poczucia bezpieczeństwa bywa zdecydowanie ważniejsza niż kwestie technologiczne.

Patrząc z drugiej strony – bezgraniczny kredyt zaufania wobec klienta też może być zgubny. Liczba zagrożonych – czy „złych” kredytów – wciąż rośnie. W pewnym sensie banki opuściły gardę, gdy nakręcając sprzedaż kredytów gotówkowych czy kart, rezygnowały z dokładnego badania ryzyka. Trudno raczej mówić o poważnym zagrożeniu dla bezpieczeństwa sektora finansowego z powodu niespłacanych zobowiązań, niemniej system zdecydowanie potrzebuje uszczelnienia. I poprawy wymiany informacji pomiędzy bankami i innymi firmami świadczącymi usługi, a biurami informacji gospodarczej, jak przekonywał Mariusz Hilderbrand, prezes InfoMonitora.

Banki dość ostro zareagowały na kryzys – mocno ograniczając akcję kredytową. Wcześniejsze liberalne podejście do ryzyka odbija się czkawką w kontekście Rekomendacji T – instytucje finansowe starają się poprzez ZBP przekonać Komisję Nadzoru Finansowego, że same potrafią wyregulować rynek – obawiając się, że odgórne zaostrzenie polityki kredytowej może zbyt mocno odbić się na wynikach sprzedaży. Z pewnością szykuje się jednak okres żniw dla firm udostępniających informacje o potencjalnych dłużnikach.

Obserwując rozwój technologii związanych z bankowością elektroniczną nie możemy mieć złudzeń – praktycznie każde zabezpieczenie można obejść. Rozwój zabezpieczeń to ciągły wyścig – ważne, by być kilka kroków przed przestępcami. Tym krokiem naprzód może być uwierzytelnienie dwuskładnikowe oparte o aplikacje mobilne – rozwiązania takie jak mToken, prezentowany przez Artura Miękinę z Polskiej Wytwórni Papierów Wartościowych czy CERBToken, omówiony przez Patryka Brożka, współzałożyciela firmy Wheel, są zdecydowanie bezpieczniejsze od standardowych haseł jednorazowych wysyłanych z banku SMSem. Jednocześnie są zdecydowanie tańsze – i wygodniejsze w użyciu od chociażby podpisu elektronicznego, który wciąż nie ma szans na powszechne wykorzystanie wśród klientów indywidualnych. Ale czy wystarczająco wygodne, by przyjęły się jako standard? Podstawowym założeniem bankowości internetowej jest przecież wygoda i szybkość dostępu do pieniędzy. Powiązanie e-bankowości z komórkami wydaje się naturalnym krokiem, przy jednoczesnej rezygnacji ze sprzętowych tokenów czy „archaicznych” już zdrapek z jednorazowymi kodami. Rozwiązanie oparte o mobilny token oferuje obecnie eurobank, dostawcy technologii mówią o toczących się rozmowach z kolejnymi instytucjami. Zwykłe hasła smsowe na dobre zagościły w świadomości klientów – na tyle, że odzwyczailiśmy się od czytania treści całej wiadomości od banku. To może prowadzić do sytuacji, w której autoryzujemy zupełnie inną transakcję, niż tę, której się spodziewamy. Czy smsy przestaną być „topowym” osiągnięciem w kwestii zabezpieczeń? Zobaczymy. Niezależnie od rozwiązań technicznych, odstawowym zabezpieczeniem odnośnie bankowości elektronicznej powinien pozostać nasz zdrowy rozsądek – wygoda korzystania z e-bankowości może prowadzić do rutyny, która – w jednym przypadku na milion – może kosztować nas oszczędności całego życia.

To właśnie „czynnik ludzki” – zarówno po stronie klienta, jak i banku, może stanowić największe zagrożenie dla bezpieczeństwa. Klient „automatycznie” i rutynowo autoryzujący transakcje, kasjer „zaprogramowany” sprzedażowo, dyrektor czy prezes ograniczający koszty zabezpieczeń. A ani technologia, ani przepisy nie wymuszą zaufania do banku, w którym – zdaniem klienta – nie czuje się on „bezpiecznie”.

Materiały – prezentacje ze spotkania „Rewolucja w Finansach” – do pobrania pod adresem – http://www.rewolucjawfinansach.pl/program-i-prezentacje/

Sebastian Bykowski, dyrektor generalny, PRESS-SERVICE Monitoring Mediów

Maciej Samcik, Gazeta Wyborcza

Krzysztof Jan Jakubski, specjalista w zarządzaniu ryzykiem operacyjnym w instytucjach finansowych