Cyberbezpieczeństwo jest bardzo ważne, gdyż w zasobach banku są przetwarzane i przechowywane ogromne ilości danych - rozmowa z Dariuszem Kołodziejskim

W ramach „Czerwca z bankiem spółdzielczym” publikujemy rozmowę z wiceprezesem zarządu Banku Spółdzielczego w Ostrowi Mazowieckiej, Dariuszem Kołodziejskim, na temat cyberbezpieczeństwa bankowego.

- Obecnie cyberbezpieczeństwo bankowe to – oprócz bezpiecznych rozwiązań technologicznych – odpowiednie przeszkolenie ludzi, ponieważ większość cyberataków to ataki wymierzone w konkretnych ludzi, a dopiero poprzez to w systemy. Na pracownikach bankowych spoczywa więc ogromna odpowiedzialność. Jak skutecznie przygotować pracowników banku, aby stanowili bezpieczne i pewne ogniwo w całościowym systemie zabezpieczeń? Jakie działania są podejmowane w tym zakresie w Państwa Banku? 

W dzisiejszych czasach cyberbezpieczeństwo jest bardzo ważne, gdyż w zasobach banku są przetwarzane i przechowywane ogromne ilości danych. Dotyczy to danych finansowych, danych osobowych klientów zaewidencjonowanych w systemach banku w postaci  zapisów w kartotekach oraz rachunkach. Ich utrata może negatywnie wpłynąć na reputację banku. Wobec tego bank przeznacza ogromne zasoby finansowe na modernizację obszaru zabezpieczenia baz danych i infrastrukturę sieciową, tak aby bronić się przed znanymi zagrożeniami. Jednakże powiedzenie, że „najsłabszym ogniwem systemu bezpieczeństwa jest człowiek” nabiera znaczenia w momencie, kiedy złe nawyki pracowników poprzez czynności wykonywane automatycznie, zakorzenione głęboko w podświadomości, mogą mieć wpływ na bezpieczeństwo w banku. Dlatego cyklicznie należy rozwijać wiedzę pracowników, uczyć ich rozpoznawać zagrożenia, dzielić się doświadczeniami. Można to robić za pośrednictwem szkoleń oraz uczestnictwem w zakupionych e-learningowych kursach. Nasz bank przeprowadził webowy kurs dla wszystkich pracowników, zakończony egzaminem, który poprzedzony był dość obszernymi lekcjami  z różnych zakresów tematycznych takich jak: hasła, phishing, bezpieczeństwo urządzeń mobilnych, fałszywe załączniki, sieci bezprzewodowe itp.

Pamiętajmy jednak, że jednorazowy strzał nie zniweluje popełnianych błędów, które budzą zdziwienie – „przecież robiliśmy tak jak zawsze, a przeoczyłem jeden drobny szczegół”. Ten szczegół to element słabości każdej organizacji, która nie buduje kompleksowej kultury bezpieczeństwa wśród załogi. Dlatego też staramy się przekazywać mailowo istotne informacje z różnych źródeł, np. prasowych oraz stron internetowych instytucji zajmujących się bezpieczeństwem informatycznym.

- Jest dziś oczywiste, że najszczelniejszy system bankowy i najlepiej przeszkoleni pracownicy banku nie są w stanie zapobiec problemom, jeśli klient podejmuje w cyberprzestrzeni nierozważne działania lub jest po prostu niestaranny. To trudne zadanie – budować relację z klientem, stawiając mu jednocześnie pewne wymagania. W jaki sposób przekazujecie Państwo klientowi to, że zagadnienie „cybernetycznej higieny” klienta jest tak ważne? 

Monitorujemy zachowania klientów bądź osób, które podszywają się pod klientów w celu dokonania wyłudzenia. Pozwalają nam na to systemy, które informują nas o potencjalnych zagrożeniach zarówno w zakresie złośliwych programów, jak i niestandardowych zachowań. Wtedy, oprócz globalnych informacji, które przekazujemy za pośrednictwem komunikatów bankowości elektronicznej, indywidualnie informujemy i przeprowadzamy rozmowę o zaistniałych zdarzeniach budzących według nas wątpliwości. Jeśli zdarzenie dotyczy konkretnej realizacji przelewu, zazwyczaj niezwłocznie informujemy klienta i pytamy o potwierdzenie przedmiotowej transakcji bądź ją blokujemy do czasu kontaktu z klientem. Coraz częściej obserwujemy realizację transakcji oszukańczych, opartych na wyłudzeniach z użyciem zabiegów socjotechnicznych. Klienci sami szukają okazyjnych ofert zakupu w Internecie, realizują przelew nawet nie przez bankowość elektroniczną, ale osobiście składają druk w banku. Dopiero gdy zamówiony towar nie jest dostarczony, kontaktując się z bankiem wychodzi smutna rzeczywistość, że firma nie istnieje albo podszywa się pod inną, która nie zajmuje się sprzedażą internetową. I tu ważne jest, aby klienci rachunek bankowy beneficjenta zawsze sprawdzali z „białą listą”. Oczywiście, w przypadku rozpoznania fraudu taki oszukańczy rachunek kwalifikujemy do listy rachunków skompromitowanych, co nie daje już w przyszłości możliwości realizacji przelewów na ten rachunek. Staramy się te ważne informacje przekazywać na bieżąco podczas kontaktu z klientem. W związku z tym, że dyrektywa PSD2 zmniejsza też odpowiedzialność klienta za nieautoryzowane transakcje w Internecie, przenosimy zagadnienie „cybernetycznej higieny” klienta na zwiększanie zabezpieczeń po stronie banku.

Wymuszamy to, aby klienci dokonywali zmiany hasła co 90 dni, dbali o środowisko w zakresie wersji oprogramowania, tj. monitorujemy, czy klient korzysta z dopuszczonego systemu operacyjnego. Ponadto sprawdzamy, czy posiada programy antywirusowe, a aktualizacje bazy wirusów nie są starsze niż 7 dni. Sprawdzamy, czy klient ma włączonego firewalla na stacji i czy podczas logowania przedstawi się stosownym certyfikatem, który musi być ważny, nieodwołany i niewygasły oraz musi być wydany przez BS w Ostrowi Mazowieckiej. To wszystko musi spełnić klient instytucjonalny w naszej bankowości elektronicznej. Klient detaliczny oprócz tego, że też musi zmieniać hasło co 90 dni, ma również do spełnienia wiele wymagań, które poddane są analizie operatora w przypadku podejrzenia wyłudzenia środków, np. jego geolokalizacji czy też narodowości języka systemu operacyjnego.  

Wszystkie transakcje wychodzące z naszego banku są poddane procesowi „progowania realizacji wysokości środków”. Polega to na tym, że transakcja musi spełniać określone warunki, by mogła być zrealizowana.    

- W jaki sposób Bank Spółdzielczy w Ostrowi Mazowieckiej edukuje klientów w zakresie cyberbezpieczeństwa?

Na naszej stronie internetowej w zakładce logowania do bankowości elektronicznej znajduje się dokumentacja dotycząca zasad bezpieczeństwa pod nazwą „Zadbaj o swoje bezpieczeństwo w Internecie”. Przejrzysty, prosty w treści dokument z praktycznymi wskazówkami, jak korzystać ze sprzętu komputerowego, na którym wykonuje się operacje w systemie bankowości internetowej. Stosowanie w praktyce ujętych w dokumencie zagadnień pozwala w zupełności na ograniczanie ryzyka dokonania wyłudzenia. Również na naszej stronie znajduje się obszerniejszy poradnik UKNF dla klienta pod nazwą „Bezpieczeństwo systemów teleinformatycznych – zmiany, trendy i zasady”.  Tam znajdują się konkretne przykłady nieprawidłowego zachowania klientów, co w następstwie może doprowadzić do wyłudzenia.

Ponadto współpracujemy z wieloma instytucjami lokalnymi, gdzie staramy się edukować klientów z zakresu cyberbezpieczeństwa przy okazji przekazywania wiedzy finansowo-ekonomicznej. Choć wiedza z zakresu cyberbezpieczeństwa, bezpiecznego korzystaniu z bankowości elektronicznej i sklepów internetowych jest ogromnie ciekawa, to wywołuje wśród słuchaczy blokadę, niezrozumienie i szybkie znudzenie. Inaczej jest w szkołach. Informacja skierowana do polskich nastolatków uczy ich, jak bezpiecznie korzystać z sieci oraz daje możliwość poznania mechanizmów rozpoznających, czy komputer lub smartfon użytkownika został zarażony złośliwym oprogramowaniem.

- Jakie jest Państwa doświadczenie ze współpracy z klientami w przypadku incydentów z zakresu cyberbezpieczeństwa? 

Dyrektywa PSD2 wymusiła szereg zmian, które zwiększyły bezpieczeństwo realizowanych transakcji. Podwójna faza logowania, zaufane urządzenie (obecnie w trakcie testów) – to są dodatkowe elementy, które wpływają na zwiększenie bezpieczeństwa. Jednym z nich jest również wymóg większej ilości informacji przy akceptacji transakcji za pośrednictwem SMS, ale klienci z reguły nie czytają tych informacji, gdyż stały się dłuższe, a czcionka SMS jest mała. Dobrym rozwiązaniem w tym przypadku jest dokonanie przez klientów zmian z autoryzacji SMS na autoryzację za pośrednictwem tokenu. Wtedy na całym ekranie smartfonu wyświetlana jest informacja na temat realizowanego przelewu. Jeśli na tym etapie, w przypadku transakcji oszukańczej, nic nie wzbudzi wątpliwości klienta, to tylko pozostaje mu liczyć, że systemy bezpieczeństwa banku zablokują transakcję. Ale jak już wcześniej powiedziałem, musi ona zawierać pewne przesłanki, które pozwolą na blokadę, a to już jest dodatkowe ryzyko. Niektórzy klienci zachowują się nieodpowiedzialnie. W pośpiechu nie rozróżniają zhakowanej strony od oryginalnej i pod przykrywką weryfikacji podają kody autoryzacyjne w takiej ilości, że hakerzy mają swobodę, aby dokonać wyłudzenia środków.  Później podczas rozmowy z klientem słyszymy, że „musiał szybko zrobić przelew i jak bankowość wymuszała podania osiem SMS to podałem osiem”. Tacy są klienci, w pośpiechu otwierają portfel z pieniędzmi i oddają w ręce hakerom.

Udostępnij artykuł:
« powrót