Przewodniczący Komisji Nadzoru Finansowego skierował do sektora bankowego pismo, w którym porusza kwestie dotyczące zabezpieczeń stosowanych w usługach finansowych. Zaleca w nim m.in., by banki kierowały się zasadą „security first”, nie przesyłały klientom aktywnych linków oraz nie rezygnowały pochopnie z zabezpieczeń przy transakcjach niskokwotowych.
KNF podkreśla, że dostawcy usług bankowych powinni konsekwentnie stosować paradygmat określany jako „security first”, czyli stawiać kwestie bezpieczeństwa na pierwszym miejscu. Podczas wdrażania nowych usług instytucje finansowe powinny brać pod uwagę obecne trendy ataków, sposoby działania cyberprzestępców, a także potencjalne ryzyka wynikające z planowanych przez dostawcę działań nie tylko wobec swoich klientów, ale również w kontekście potencjalnego wpływu tych działań na cały sektor usług bankowych.
„Dostawcy usług bankowych powinni mieć świadomość, że podejmowane przez nich indywidualne inicjatywy, które w ich ocenie nie wpływają negatywnie na poziom ryzyka w obszarze prowadzonej działalności biznesowej, w tym także na bezpieczeństwo środków finansowych klientów, w kontekście całego rynku finansowego i w konsekwencji wszystkich klientów tego rynku, mogą już takie ryzyko generować i stanowić czynnik ryzyka systemowego w obszarze cyberbezpieczeństwa” – pisze KNF.
KNF zwraca uwagę m.in. na kwestię płatności niskokwotowych i ewentualne wyłączenie stosowania silnego uwierzytelniania przy takich płatnościach. Zdaniem nadzoru, dostawcy usług bankowych powinni zostawić klientom wybór dotyczący tego, czy w kontekście płatności niskokwotowych ma być stosowana dodatkowa autoryzacja. „Nadzór oczekuje wdrożenia w systemie transakcyjnym funkcjonalności dającej klientowi możliwość ustawienia potwierdzenia silnym uwierzytelnieniem każdej płatności” – pisze przewodniczący KNF.
Inną sprawą, na którą zwraca uwagę nadzorca jest kwestia aktywnych linków w korespondencji do klientów. „Organ nadzoru stoi na stanowisku, że wysyłanie aktywnych linków do stron internetowych w wiadomościach mailowych (włącznie z osadzaniem takich linków w grafikach) oraz wiadomościach SMS adresowanych do klientów, stoi w sprzeczności z tworzonym i od lat komunikowanym klientom przekazem związanym z ryzykiem utraty danych i środków finansowych i powinno zostać wyeliminowane z praktyki na rzecz informacji statycznych” – czytamy w piśmie.
Kolejnym czynnikiem ryzyka jest stosowanie prostych haseł w korespondencji do klientów. Np. takich, które wykorzystują fragmenty numeru PESEL klienta, kombinacje elementów numeru PESEL z datą urodzenia, numerem telefonu lub innymi hasłami, które są możliwe do odgadnięcia przy pomocy ogólnodostępnych narzędzi informatycznych.
Pełna treść pisma znajduje się na stronie KNF pod tym adresem.