Czy ktoś zastanawiał się jak wyglądałby świat, którym realizacja płatności elektronicznych nie byłaby możliwa? Wiele firm posiada plany awaryjne na czas zaniku zasilania, klęsk żywiołowych, nieobecności pracowników, a nawet awarii w bankach, z którymi współpracują. Ale czy firmy mają procedury na czas niedostępności całego systemu bankowego – w szczególności braku możliwości realizacji przelewów? Między innymi my – banki dbamy o to, żeby uniknąć takich kryzysowych sytuacji.
Banki od zawsze stały na straży bezpieczeństwa klientów. Edukujemy w zakresie procedur ochrony danych, urządzeń i transakcji. W swoich strukturach mamy wyspecjalizowane zespoły i narzędzia, które zapobiegają wyłudzeniom, praniu pieniędzy, służą walce z cyberprzestępczością. Jeśli mimo naszych starań, sami klienci nie zastosują się do zalecanych przez nas zasad to może dojść do licznych komplikacji.
Oddziały banków działają bardzo sprawnie. Możemy do nich wejść, spotkać się z opiekunami klienta, podpisać różne dokumenty, a nawet wpłacić i wypłacić gotówkę. Jesteśmy w stanie przeprowadzić każdą procedurę. Wyobraźmy sobie, że jednak nie możemy zrealizować płatności. Co to oznacza? Jako przedsiębiorcy nie możemy wypłacić wynagrodzeń pracownikom, jako konsumenci zapłacić rachunków. Nie działają karty kredytowe i płatności mobilne. Zadłużenie z tytułu niezapłaconych rat rośnie. Z czasem możemy stracić dostęp do gotówki. Nie wygląda to dobrze, prawda?
Co mogłoby spowodować taką katastrofę?
Jednym z największych zagrożeń dzisiejszego świata są ataki hakerskie. W połączeniu z błędami w konfiguracji i brakami w zabezpieczeniach systemów informatycznych, niedostatecznym wyszkoleniu pracowników i przede wszystkim beztroską klientów, są głównym zagrożeniem dla nas, instytucji płatniczych i ich klientów – przedsiębiorców oraz klientów indywidualnych. Dla bankowości, globalnych korporacji, jak i przedsiębiorstw dużym niebezpieczeństwem jest malware (ang. malicious software). To oprogramowanie, które kiedy przedostanie się do wnętrza organizacji, pozwala na przechwytywanie danych, przejęcie kontroli nad systemami informatycznymi i ich niekontrolowane wyłączenie. Innym przykładem znanego i popularnego ataku jest ransomware. To rodzaj złośliwego oprogramowania, które szyfruje dane w celu późniejszego wyłudzenia okupu. Aby takie oprogramowanie przedostało się do organizacji, przestępcy posługują się np. metodami wyłudzania informacji, jakimi są phishing lub vishing. Są to ataki socjotechniczne skierowane na pracowników firm, zmuszające ich do popełnienia błędu i wykonania akcji, która prowadzi do wprowadzenia złośliwego programowania do wnętrza firmy. Innymi bardzo powszechnymi przykładami ataków cybernetycznych są: Denial of Service, Man-in-the-Middle lub Cross Site Scripting (XSS). Są to ataki kierowane bezpośrednio na infrastrukturę dostawcy.
Mimo że, tego rodzaju ataki nie należą do najbardziej skomplikowanych, dokonane u kilku dostawców usług płatniczych w tym samym czasie mogą sprawić, że nie tylko konsumenci nie dokonają podstawowych transakcji, ale doprowadzą do zatrzymania całych łańcuchów dostaw i strat m.in. w sektorze e-commerce. A to już jest duży problem. Banki są częścią globalnego łańcucha dostaw, a jest on tak mocny jak jego najsłabszy element. W skład niego wchodzą małe firmy, duże przedsiębiorstwa, banki, organizacje płatnicze itp. Skuteczny atak na jedno ogniwo może zagrozić zablokowaniem całej produkcji i dostaw dóbr wytwarzanych w tym procesie. Według analityków, ataki na dostawców będą coraz powszechniejsze, ponieważ wyłączając jednego z nich, bardzo niskim kosztem możemy zakłócić cały łańcuch i pozbawić dostępu do produktów lub usług dziesiątki tysięcy klientów. W ostatnim czasie głośno było o ataku na SolarWinds, która sprzedaje usługi monitoringu infrastruktury IT. Po włamaniu do SolarWinds, hakerzy zmodyfikowali kod systemu monitorującego Orion, który pracował u trzydziestu tysięcy klientów korporacyjnych, agencji publicznych i rządowych, doprowadzając do wycieków danych i przejęcia kontroli nad wieloma systemami.
Banki kontra cyberprzestępcy
Banki i instytucje finansowe są bardzo dobrze zabezpieczone przed atakami hakerskimi. Mamy dostęp do najnowszych technologii takich jak AI czy Machine Learning. Jednak, coraz częściej do tych samych technologii mają też dostęp również hakerzy. Aby móc czuć się bezpiecznie i nie dać się złamać, cały czas poprawiamy zabezpieczenia swoich systemów, weryfikujemy i tworzymy nowe procedury na wypadek kolejnych zagrożeń oraz szkolimy naszych pracowników. Wszystkie te działania podejmujemy po to, żeby zapobiegać kryzysom i w pełni chronić klientów.
Banki są organizacjami zaufania publicznego i posiadają krytyczne dla obywateli zasoby, dlatego podlegają regulatorom. Wymagania te pomagają utrzymać złożony system zabezpieczeń spójny ze sobą, ofertą produktową i zagrożeniami, na jakie są narażone. Są też gwarantem i wsparciem dla każdej komórki organizacyjnej banku, a nie ciężarem. Warto, aby wiedzieli o tym nasi pracownicy. Mamy zaufanie publiczne i łatwość dotarcia do klienta, to oznacza, że mamy realny wpływ na społeczeństwo. Stąd pojawia się oczekiwanie, abyśmy dzielili się wiedzą oraz doświadczeniem, jakie posiadamy i uruchamiali projekty podnoszące świadomość na temat zagrożeń w cyberprzestrzeni. Wiele instytucji już dziś to robi dla swoich własnych klientów.
Biorąc pod uwagę procedury jakie posiadają, doświadczenie i narzędzia, jakimi dysponują instytucje finansowe, rodzi się pytanie: czy banki nie mogą dzielić się tą wiedzą ze wszystkimi swoimi klientami w ramach swojej oferty? Słowem, czy banki i instytucje finansowe mogą świadczyć usługę bezpieczeństwa swoim klientom jako osobny produkt. Wierzę, że tak! Z całą pewnością możemy doradzać naszym klientom w tym obszarze. Klienci indywidualni oraz małe przedsiębiorstwa często nie mają dostępu do specjalistów i usług w tym zakresie. Zwiększenie zabezpieczeń i ochrona klientów pozytywnie wpływa na cały system finansowy.
Maciej Kuske, Dyrektor Pionu Technologii i Bezpieczeństwa w NatWest Group w Polsce
Wojciech Boczoń