Bankowcy przyznają, że zalecana przez nadzór zasada „security first” może mieć bardzo poważne konsekwencje dla branży. Z jednej strony wzmocni bezpieczeństwo, z drugiej może zahamować rozwój innowacyjnych produktów i skomplikować procedury.
W ubiegłym tygodniu pisałem o piśmie, które Wojciech Kwaśniak, wiceszef Komisji Nadzoru Finansowego wystosował do bankowców. Zaleca tam między innymi położenie większego nacisku na edukację klientów, zastosowanie zasady „security first” i dokładniejszego sprawdzania środowiska, w którym zachodzi interakcja między klientem a bankiem.
Publikacje informacji o nowych zaleceniach nie zostały bez echa. W kuluarach mówi się, że wspomniana zasada „security first” może mieć poważne konsekwencje dla sektora bankowego. Przypomnijmy, nadzorca zaleca by banki nie oszczędzały na zabezpieczeniach, a w swoich działaniach stosowały podejście „bezpieczeństwo na pierwszym planie”. Uzasadnienia biznesowe czy kosztowe nie powinny przy tym wpływać na rzetelność oceny ryzyka. Straty reputacyjne mają charakter długotrwały, rzutują na cały sektor i mogą znacznie przekroczyć oczekiwane, krótkoterminowe zyski.
W praktyce chodzi o to, że banki będą musiały zwiększyć nakłady na bezpieczeństwo. Wciąż nie wszędzie standardem jest audytowanie nowych rozwiązań przez niezależne firmy zajmujące się bezpieczeństwem. Często – zwłaszcza w mniejszych bankach – oszczędza się na wdrożeniach, nie słuchając opinii specjalistów, którzy zalecają dodatkowe testy lub potrzebują więcej czasu na dopracowanie systemów. W przypadku wpadek działa się doraźnie, łatając jedynie dziury. Niewykluczone, że w przyszłości takie podejście będzie miało także konsekwencje personalne.
Wyobraźmy sobie taką sytuację: bank wdraża nowy produkt, ale dział bezpieczeństwa zaleca przeprowadzenie dodatkowych testów i ewentualnych usprawnień. Terminy gonią więc menadżerowie opowiadający za wdrożenie nie stosują się do zaleceń i kierują usługę na produkcję. Prezes daje zielone światło i niedopracowany produkt trafia na rynek. Na przykład aplikacja mobilna z luką bezpieczeństwa. Dochodzi do ataku, klienci tracą pieniądze, w banku lecą głowy. Na razie tylko menadżerów, ale kto wie, czy w przyszłości nie będzie to miało konsekwencji także i dla prezesa. Bo nadzór stwierdzi, że oszczędzał na bezpieczeństwie i nie dawał gwarancji stabilnego zarządzania bankiem.
Jakie to może mieć natomiast konsekwencje dla klientów? Wyższe nakłady finansowe na audyty, testy i zatrudnianie specjalistów dadzą gwarancję bezpieczeństwa dla zdeponowanych w banku pieniędzy. To jest główną intencją nadzorcy. Oczywiście trudno się z tym nie zgodzić. Moi rozmówcy wskazują jednak, że naturalną konsekwencją takiego ruchu będą też pewne skutki uboczne. Takie usługi sporo kosztują i ktoś będzie musiał za to zapłacić. Będzie to najprawdopodobniej właśnie klient.
Na pewno wydłużą się niektóre procesy, przez co obsługa produktów może być mniej wygodna lub bardziej uciążliwa. Przykładem zaleceń wykorzystujących zasadę „security first” jest przecież ograniczenie możliwość aktywowania kont przelewem czy zablokowanie screen scrapingu. Teoretycznie obie ścieżki miały ułatwiać klientom życie, ale w praktyce zawierały elementy ryzyka, które nie spodobały się nadzorcy.
I wreszcie – wprowadzenie zasady „security first” może zahamować rozwój innowacyjnych produktów i ograniczyć nowe wdrożenia. W dobie zaciskania pasa i oglądania każdej złotówki po dwakroć, banki nie będą skore do zwiększania nakładów na IT i bezpieczeństwo. Zamiast eksperymentować i inwestować w nowości, skupią się więc na swoim podstawowym biznesie.