Komisja Nadzoru Finansowego zaleca bankom, by w procesie oceny ryzyka transakcji zlecanej przez klienta w kanałach elektronicznych uwzględniały także oprogramowanie zainstalowane na komputerze.
Wiceszef Komisji Nadzoru Finansowego Wojciech Kwaśniak skierował do bankowców pismo, w którym zaleca położenie większego nacisku na edukację klientów. Szerzej na ten temat pisałem we wczorajszym tekście, który znajduje się tutaj. Prowadzenie działań profilaktycznych powinno skutecznie utrudnić oszustom wyłudzanie wrażliwych danych od użytkowników bankowości elektronicznej. Przedstawiciel KNF zaleca, by banki informowały klienta o ryzykach związanych z korzystaniem z bankowości internetowej już w momencie wnioskowania o taką usługę, a dodatkowo klient powinien podpisać oświadczenie, że zna ewentualne zagrożenia.
stokkete, YAY Foto
W omawianym piśmie znajdują się jeszcze inne warte uwagi wątki. Wojciech Kwaśniak zwraca uwagę na fakt, że zmienił się znacząco charakter interakcji klienta z bankami. „Środowisko, w którym ona zachodzi nie znajduje się w pełni pod kontrolą banku i w związku z tym, w części pozostającej po stronie klienta, ma charakter niezaufany” – pisze wiceszef KNF.
Dalej czytamy: „W kontekście oczekiwanych przez nadzór proaktywnych działań banków w zakresie monitorowania i infrastruktury teleinformatycznej klientów, należy wykorzystać stosowane już rozwiązania w celu zebrania odpowiednio szerokiego zestawu danych o charakterystyce sesji i urządzenia wykorzystywanych do realizacji transakcji, dokonać ściślejszego zintegrowania takich danych z systemem oceny ryzyka transakcji, w celu podniesienia stopnia prawdopodobieństwa prawidłowej oceny autoryzacji zlecenia przez właściwego użytkownika. Również aktualność oprogramowania i rodzaj stosowanych innych zabezpieczeń na urządzeniach klientów powinien stanowić element w ocenie ryzyka oceny danej transakcji przez banki”.
Co te słowa mogą oznaczać w praktyce? Na przykład to, że w niedalekiej przyszłości banki przed wpuszczeniem klienta do systemu bankowości internetowej będą sprawdzać aktualność oprogramowania zainstalowanego na komputerze i być może listę programów. Jeśli oprogramowanie będzie nieaktualne lub pojawią się podejrzane programy, bank nie pozwoli na wykonanie transakcji lub zalogowanie się do systemu.
Jak mogłoby to wyglądać w praktyce? Wystarczy, że w regulaminie znajdzie się zapis, który zobliguje klienta do zainstalowania na komputerze oprogramowania antywirusowego dostarczanego przez bank. Przed połączeniem się z serwisem transakcyjnym, program sprawdzi czy „środowisko” jest bezpieczne. Jeśli nie, przerwie połączenie. A jeśli klient nie zainstaluje antywirusa, będzie to oznaczało, że nie stosuje się do zaleceń banku. Nie ma więc gwarancji, że wykonuje transakcje w bezpiecznym środowisku, więc bank nie może ponosić odpowiedzialności za ewentualne fraudy.
Zwróćmy uwagę, że eurobank już teraz zaleca swoim klientom zainstalowanie oprogramowania antywirusowego IBM Security Trusteer Rapport. „Trusteer Rapport wykrywa i następnie przerywa proces instalacji złośliwego oprogramowania, eliminując zagrożenie z komputera. Ponadto Trusteer Rapport blokuje podejmowane próby naruszenia zabezpieczeń przeglądarki oraz sesji w Bankowości Internetowej.” – czytamy na stronie banku. Taki program nie jest oczywiście na tę chwilę obligatoryjny.
Warto w tym kontekście zauważyć, że już dziś banki wprowadzają pewne ograniczenia w przypadku aplikacji mobilnych. Niektóre nie pozwalają na zainstalowanie programu na zrootowanych telefonach, czyli aparatach ze złamanymi zabezpieczeniami producenta. Prawdopodobnie nie byłoby większym problemem dodanie do instalatora aplikacji mobilnej skryptu, który mógłby sprawdzić czy na telefonie nie ma listy szkodliwych aplikacji. Jeśli znalazłby się tam podejrzany program, bank mógłby zalecić jego usunięcie.
I choć powyższe spekulacje mogą na pierwszy rzut oka wydawać się mało realne, to przypomnijmy sobie chociażby tzw. home banking. Początkowo dostęp do bankowości elektronicznej był możliwy jedynie za pomocą specjalnego oprogramowania zainstalowanego na komputerze klienta. Do dziś z taką wersją e-bankingu można spotkać się w niektórych bankach spółdzielczych. Czy historia zatoczy koło?