Strona główna Bezpieczeństwo biznesu Współodpowiedzialność za cyberbezpieczeństwo w sektorze finansowym

Współodpowiedzialność za cyberbezpieczeństwo w sektorze finansowym

UDOSTĘPNIJ

Krzysztof Gawkowski


Szybko dokonujące się zmiany cywilizacyjne i rozwój nowoczesnych technologii spowodowały, że niemal wszystkie sfery życia ogarnęło cyfrowe tsunami. Otwarty Internet usunął bariery między państwami, społecznościami i obywatelami, pozwalając na wymianę informacji w niewyobrażalnej dotychczas skali. Cyberprzestrzeń stała się forum wymiany doświadczeń, promuje nowe idee, ale uzależnienie człowieka i otaczających go procesów gospodarczych od wszechobecnej innowacyjności niesie również wiele niebezpieczeństw.

Jednym z sektorów, który w sposób wyjątkowy korzysta ze zdobyczy nowych technologii do poprawy swoich procesów i usług, jest bankowość. Postęp technologiczny zapewne nie sprawi, że oddziały banków znikną, ale bez wątpienia instytucje finansowe będą coraz szybciej zmierzać w kierunku bankowości mobilnej.
Zmiany towarzyszące rozwojowi technologii informacyjno-komunikacyjnych są widoczne w każdym obszarze funkcjonowania świata finansów. Bankowość elektroniczna spowodowała, że nie ma już kolejek do kasy w banku, a klienci otrzymali zdalny dostęp do swojego rachunku za pomocą komputera, tabletu czy smartfonu. E-bankowość zwiększa szybkość transakcji, zapewnia wygodne korzystanie z konta, wzmacnia dostępność usług i pozwala na ograniczenie kosztów. Stała się ważną i nierozłączną częścią całego sektora finansów.

Integracja cyfrowa w sektorze bankowym na całym świecie stała się zjawiskiem tak powszechnym, że większość z nas nawet nie zdaje sobie sprawy, jak bardzo jesteśmy uzależnieni od cyfrowych zer i jedynek. Dostępność i rozwój nowych technologii implikują stopniowe przedefiniowanie roli banku w życiu człowieka. Z danych Związku Banków Polskich wynika, że liczba aktywnych użytkowników bankowości mobilnej przekroczyła już 7 mln, internetowej – 16 mln, kart płatniczych w Polsce – ponad 35 mln. Liczby te w ślad za rozwojem technologii będą coraz większe, a w związku z tym zagrożenie również będzie rosło. Nawet jeśli dotychczas nie było dużych kradzieży pieniędzy czy wycieków danych klientów banków, trzeba się przygotować na to, że taki atak jest kwestią czasu.

Cyberataki i próby kradzieży danych, informacji czy wirtualnego pieniądza są na całym świecie zjawiskiem coraz bardziej powszechnym. Tylko w tym roku przestępcy obrali za cel kilka kluczowych instytucji finansowych w państwach zarówno poniżej średniej światowej PKB, jak i przodujących w globalnej gospodarce. Ze skoordynowanym atakiem musiał zmierzyć się m.in. meksykański bank Banco Nacional de Comercio Exterior, z którego hakerzy próbowali wykraść ponad 110 mln dol. Atak był nieudany, ale kilka miesięcy później meksykańskie instytucje finansowe ujawniły inną informację o cyberataku, w którego wyniku skradziono ponad 300 mln pesos (ponad 15 mln dol.).
Podobne zdarzenie miało miejsce w Indiach, gdzie hakerzy w ciągu dwóch godzin dokonali blisko 15 tys. transakcji opiewających na łączną kwotę 805 mln rupii (prawie 11 mln dol.). Indyjski Cosmos Bank stracił ok. 139 mln rupii (tj. blisko 3 mln dol.), ponieważ przestępcy przekazali środki finansowe na rachunek podstawionej firmy z siedzibą w Hongkongu, dokonując kilku nieautoryzowanych transakcji w globalnej sieci płatności SWIFT.

Przestępcy nie próżnują również w Europie. Podczas tegorocznych wakacji doszło do cyberataku na infrastrukturę rosyjskiego PIR Banku, w którego wyniku skradziono 1 mln dol. Całe zdarzenie rozpoczęło się dość niewinnie od incydentu związanego z routerem używanym przez jeden z oddziałów banku. Za jego pomocą hakerzy uzyskali bezpośredni dostęp do sieci lokalnej i dzięki automatycznej stacji roboczej Rosyjskiego Banku Centralnego wygenerowali zlecenia płatnicze. W 2018 r. serię ataków DDoS przypuszczono także na holenderski bank ABN AMRO. Mimo że w wydanym oświadczeniu bank twierdził, że ataki zostały powstrzymane, a zasoby finansowe i bazy danych są w pełni bezpieczne, to pracownicy banku uważają, że z kont zniknęło prawie 3 mln euro, a akcja dezinformacyjna ma na celu ochronę dobrego imienia instytucji finansowej.

Polskie banki również nie są wolne od ataków hakerskich. W 2017 r. dziennik „New York Times” poinformował, że atak na instytucje bankowe w Polsce rozpoczął się, gdy północnokoreańscy hakerzy zainfekowali złośliwym oprogramowaniem strony Komisji Nadzoru Finansowego, licząc, że banki nieświadomie pobiorą zakładkę. Działania dotyczyły ponad 20 banków w Polsce i do dziś nie ustalono, jakie dokładnie straty w związku z tym poniesiono.
W maju 2018 r. analitycy firmy ESET odkryli nowe zagrożenie, dotyczące tym razem klientów pięciu czołowych banków polskich. Atak próbowano przypuścić za pośrednictwem wiadomości e-mail zawierających zainfekowany załącznik, który wyglądał jak faktura. Wyjątkowo złośliwe oprogramowanie BackSwap modyfikowało numery rachunków w przelewach internetowych – kiedy klient banku wykonywał przelew na kwotę większą niż 10 tys. zł, skrypt niezauważalnie podmieniał numer konta i pieniądze trafiały do przestępcy.

Mimo zdarzających się incydentów trzeba podkreślić, że polski sektor bankowy należy do najbardziej zaawansowanych technologicznie na świecie i przeznacza olbrzymie środki zarówno na wdrożenie innowacji rynkowych, jak i modelowanie cyberbezpieczeństwa. Bardzo dobrym przykładem korzystania z technologii cyfrowych w sektorze e-bankowości są płatności zbliżeniowe.

Okazuje się, że Polska należy do grupy dziesięciu państw na świecie przodujących w tej technologii. Dane z raportu „Sektor finansowy coraz bardziej #fintech”, przygotowanego przez firmę doradczą PwC wskazują również, że oprócz dbałości o cyberbezpieczeństwo oraz wdrażania najnowszych zabezpieczeń banki i instytucje finansowe muszą także podnosić świadomość swoich klientów i pracowników, ponieważ zwykle to człowiek jest najsłabszym ogniwem w łańcuchu bezpieczeństwa.

Z badania Komisji Europejskiej wynika, że chociaż w ciągu ostatnich siedmiu lat zastosowanie bankowości internetowej w Polsce wzrosło prawie dwukrotnie, to w porównaniu do pozostałych państw UE plasujmy się w środku europejskiej stawki. 58 proc. ankietowanych Polaków odpowiedziało, że korzysta z bankowości internetowej. Zdecydowanie bardziej popularne jest użytkowanie nowoczesnych form bankowości w krajach skandynawskich, np. w Dani i Finlandii – ok. 93 proc. Najmniej użytkowników rozwiązań mobilnych w sektorze finansów mają Rumunia i Bułgaria (zaledwie kilkanaście procent).
Znacznie gorzej wypadają polscy użytkownicy w kontekście stosowanych zasad bezpieczeństwa – ponad 70 proc. korzystających z bankowości internetowej nie zmieniło hasła dostępowego w ciągu ostatniego roku! Są to dane zatrważające, pokazują, jak bardzo bagatelizujemy zagrożenia czyhające w cyberświecie.

Ustawa o krajowym systemie cyberbezpieczeństwa
Naprzeciw niskiej świadomości społecznej dotyczącej zagrożeń, jakie niesie cyberprzestrzeń, wychodzi ustawa o krajowym systemie cyberbezpieczeństwa, która implementuje do polskiego prawodawstwa europejską dyrektywę NIS – Network and Information Systems Directive. Mimo że weszła w życie w sierpniu 2016 r., jej wdrożenie do polskiego systemu prawnego trwało blisko dwa lata. Dokument jest pierwszym ogólnounijnym aktem prawnym w dziedzinie cyberbezpieczeństwa gwarantującym równy poziom zabezpieczeń sieci i systemów w całej Wspólnocie. Przygotowane regulacje dotyczą bezpieczeństwa sieci i informacji, a na ich podstawie m.in. banki i instytucje finansowe zostały wpisane do rejestru operatorów usług kluczowych, na których ciążą obowiązki związane z zapewnieniem cyberbezpieczeństwa.
Zgodnie z ustawą i rozporządzeniami wykonawczymi banki najpóźniej na początku 2019 r. muszą m.in. powołać wewnętrzne struktury do zarządzania cyberbezpieczeństwem lub skorzystać z firm zewnętrznych. Ponadto każdy operator usług kluczowych musi wdrożyć program systematycznej analizy i zarządzania ryzykiem, a także uruchomić sprawnie funkcjonujący proces zarządzania incydentami bezpieczeństwa, który pozwala m.in. na zgłaszanie poważnych incydentów do krajowego zespołu CSIRT (sieci Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego) w czasie nieprzekraczającym 24 godzin od ich wykrycia.

Ustawa o krajowym systemie cyberbezpieczeństwa wskazuje również na inne konkretne działania, jakie banki i instytucje finansowe muszą podjąć. Z początkiem 2019 r. operatorzy usług kluczowych będą mieli obowiązek wdrożenia zabezpieczeń proporcjonalnych do oszacowanego ryzyka. Odpowiednie przygotowanie systemów zabezpieczających w obszarze cyberprzestrzeni powinno zatem obejmować także wprowadzenie planów ciągłości działania, objęcie systemów informatycznych monitorowaniem w trybie ciągłym, uruchomienie sprawnych procesów zarządzania podatnością na cyberzagrożenia i gromadzenia wiedzy na ich temat.

Ważnym obowiązkiem jest także konieczność opracowania i zapewnienia aktualnej dokumentacji dotyczącej cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej. Po spełnieniu wszystkich obowiązków oraz ich uporządkowaniu banki będą zobowiązane do przeprowadzenia w terminie roku zewnętrznego audytu bezpieczeństwa. Później audyty będą odbywać się co dwa lata. Za niewykonanie tego obowiązku grozi grzywna w wysokości 200 tys. zł.

Nawet najlepsze prawodawstwo nie uchroni banków ani klientów indywidualnych przed cyberatakami, jeśli sami nie będziemy dbali o jakość usług cyfrowych. Głównymi zaleceniami służącymi budowaniu współodpowiedzialności za cyberbezpieczeństwo w sektorze finansowym jest regularne podnoszenie świadomości o problemach mogących stanowić źródło cyberataku. Podstawą jest tworzenie silnych haseł, które powinny składać się z wielkich i małych liter, cyfr oraz znaków specjalnych. Nawykiem powinno być zmienianie haseł dostępu do mobilnych usług finansowych raz w miesiącu oraz nieużywanie tego samego hasła do wielu serwisów, np. bankowości internetowej, poczty elektronicznej czy serwisów społecznościowych. Trzeba również pamiętać, aby nie udostępniać swojego komputera innym osobom, wyłączyć automatyczne zapamiętywanie haseł oraz nie podłączać urządzeń do publicznych sieci Wi-Fi, gdy planujemy logowanie do bankowości elektronicznej.

To oczywiście tylko podstawy, ale ważne, zważywszy że wg badania #PBCS18 wykonanego przez Polski Instytut Cyberbezpieczeństwa 29 proc. ankietowanych skłonnych byłoby pozytywnie odpowiedzieć na autoryzację banku, o którą zwróciłby się on za pomocą poczty elektronicznej.

Obecnie trudno sobie nawet wyobrazić codzienne życie bez bankowości elektronicznej. Kluczowym wyzwaniem w świecie wirtualnego pieniądza jest jednak ciągłe wzmacnianie reputacji instytucji odpowiedzialnych za obrót środkami płatniczymi i ich bezpieczeństwo. Skłonność do zaufania bankom może się szybko skończyć, jeśli zarówno instytucje sektorowe, jak i klienci indywidualni nie zastosują wszelkich sił i środków do poprawy standardów cyberbezpieczeństwa. Z badania #finanseprzyszłosci przeprowadzonego przez ośrodek IBRiS na zlecenie banku Millennium wynika, że Polacy wyrażają coraz większe zainteresowanie wdrażaniem innowacji umożliwiających kontakt z bankiem. Zdaniem 90 proc. ankietowanych w ciągu 10 lat własnoręczny podpis zostanie zastąpiony elektronicznym, obsługa w większości oddziałów bankowych będzie automatyczna, a prawie wszystkie sprawy będzie można załatwić za pomocą rzeczywistości wirtualnej. Co więcej, blisko 80 proc. pytanych twierdzi, że w 2028 r. będzie brała kredyt czy zakładała lokatę w bankomacie lub za pomocą aplikacji mobilnej, a 50 proc. uważa, że do banku lub bankomatu zalogujemy się odciskiem palca, komendą głosową czy nawet „głębokim spojrzeniem” prezentującym tęczówkę oka.

Bankowość przyszłości może zaskoczyć użytkownika jeszcze bardziej rewolucyjnymi rozwiązaniami. Czy będziemy chcieli z nich korzystać? To zależy przede wszystkim od tego, czy człowiek w tej sieciowej pajęczynie poczuje się komfortowo i bezpiecznie. Pozytywnym elementem rozwoju usług mobilnych w sektorze finansowym jest to, że świadomość konieczności inwestycji w ten obszar rośnie z roku na rok. Banki, decydując się na udział w audytach, badaniach czy testach potwierdzających przygotowanie do ochrony przed atakiem w cyberprzestrzeni, wykazują chęć przeciwdziałania zagrożeniom. Coraz więcej informacji szkoleniowych trafia również do klienta, a synergia na linii bank – konsument daje nadzieję, że przed bankowością elektroniczną jeszcze lepszy czas.

Prognozy na najbliższe lata
Z tegorocznego badania Polskiego Instytutu Cyberbezpieczeństwa „#PolskiBarometrCyberbezpieczeństwaSpołecznego2018 (#PBCS18)” wynika, że polskie banki i instytucje finansowe cieszą się największą wiarygodnością i zaufaniem klientów spośród wszystkich branż, które intensywnie wdrażają nowoczesne technologie. Wysoki poziom zaufania wynika zapewne z presji klientów oraz wdrażania systemów bezpieczeństwa opartych na sztucznej inteligencji, analityce dużych zbiorów danych czy uczeniu maszynowym. Globalna firma badawcza IDC prognozuje, że w 2019 r. wydatki na sztuczną inteligencję i systemy kognitywne na całym świecie przekroczą 30 mld dol., z czego najwięcej przeznaczy na nią właśnie bankowość. Z prognozy Digital Banking wynika, że w 2019 r. co najmniej jedno rozwiązanie z zakresu machine learning wdroży blisko połowa organizacji finansowych, natomiast wg wspominanego wcześniej raportu #PBCS18 w ciągu najbliższych 10 lat nawet 50 proc. zadań w sektorze finansowym przejmą roboty.

 

Krzysztof Gawkowski
Społecznik i wykładowca akademicki. Doktor nauk humanistycznych specjalizujący się w zakresie bezpieczeństwa państwa. Dyrektor Polskiego Instytutu Cyberbezpieczeństwa oraz kierownik Katedry Bezpieczeństwa Wewnętrznego Uczelni Techniczno-Handlowej im. Heleny Chodkowskiej w Warszawie. Członek Komitetu Technicznego PKN oraz przewodniczący Rady Programowej Instytutu Bezpieczeństwa Inteligentnych Miast. Autor książek: Obudzić państwo oraz Administracja samorządowa w teorii i praktyce, a także powieści kryminalnych Piętno prawdy oraz Cień przeszłości.