Z Krzysztofem Kowalskim, dyrektorem Strategicznego Obszaru Biznesu Produktów Bankowych i Technologii Informatycznych w MultiBanku, rozmawia Krzysztof Frydrychowicz.

Podczas niedawnej konferencji poświęconej bezpieczeństwu bankowości internetowej Pańskie wystąpienie wywołało ożywioną dyskusję. Stwierdził Pan, że to wprawdzie użytkownicy pozostają najsłabszym ogniwem, ale dzieje się tak dlatego, że dysponują niedoskonałymi narzędziami.

Obecnie stosowany model bezpieczeństwa informatycznego, zresztą nie dotyczy to wyłącznie bankowości internetowej, wymusza na użytkownikach pewne zachowania niezgodne z naturą człowieka. Ludzie zazwyczaj dążą do minimalizowania wysiłku. Koronnym tego przykładem jest brak dbałości o poufność danych, które przestępcy mogą wykorzystać do niecnych celów. Użytkownik, zamiast pamiętać hasło złożone z długiego ciągu znaków alfanumerycznych, woli zapisać je na kartce i przykleić do monitora komputera, bo tak jest łatwiej i praktyczniej.

Ale przecież to działanie skrajnie nieodpowiedzialne, które trudno rozgrzeszyć…

Oczywiście, w świetle zasad bezpieczeństwa informatycznego - tak. Trzeba jednak pogodzić się również z faktem, że przeciętny użytkownik, klient banku internetowego, działa w środowisku, którego często nie rozumie. Potrafi sprawdzić przez Internet saldo swojego rachunku, zrobić przelew, założyć lokatę terminową, ale nie zdaje sobie sprawy, na czym naprawdę polega komunikacja między jego komputerem osobistym a bankiem. Mając tego świadomość, banki we współpracy z dostawcami technologii powinny szukać dalszych pomysłów na bezpieczeństwo - takich, które zakładają brak pełnej świadomości po stronie użytkownika. Jeżeli wiemy, że użytkownicy nagminnie nie doczytują do końca komunikatów systemowych, np. numeru rachunku, na który zlecają przelew, to należy uwzględnić ten fakt przy projektowaniu systemu. System powinien niejako zmuszać użytkownika do pozbycia się złych nawyków, jednocześnie zachowując przyjazność.

Co w takim razie należy robić teraz, by wyeliminować zagrożenia wynikające z braku doskonałości współczesnego modelu bezpieczeństwa?

Edukacja, edukacja i jeszcze raz edukacja. Jako środowisko bankowe musimy otwarcie informować klientów o możliwościach wystąpienia pewnych zagrożeń, które mogą stać się wynikiem nieprzestrzegania "higieny" internetowej. Pierwsza inicjatywa to stworzenie na stronach internetowych Związku Banków Polskich sekcji poświęconej bezpieczeństwu bankowości internetowej. Ten swego rodzaju poradnik jest efektem prac Forum Bezpieczeństwa Transakcji Elektronicznych przy ZBP, które zrzesza przedstawicieli praktycznie wszystkich banków. Nie będzie tam porównywania banków - co mamy my, a czego nie ma konkurencja, tylko prezentacja sposobów zabezpieczeń i wskazanie klientowi, kto i jak mu może zagrozić, na co zwrócić uwagę i jakich zachowań powinien unikać. Pewnym wzorem przy tworzeniu serwisu była dla nas brytyjska witryna www.banksafeonline.org.uk.

Wierzy Pan, że osoby, które dziś padają ofiarą niezbyt oryginalnych ataków typu phishing, kiedykolwiek odwiedzą ten portal?

Ta inicjatywa jest skierowana do osób, które zdolne są wykazać minimum zainteresowania tematem, by ustrzec się przed przestępcami. Nie jesteśmy w stanie niczego wymóc na klientach. Błędem byłoby jednak sądzić, że podatne na ataki przestępców są tylko osoby starsze lub słabo wykształcone.

Skoro obecnie używane metody bezpieczeństwa nie są odporne na niewiedzę czy ignorancję użytkowników, to czy pojawia się jakaś alternatywa?

Musimy pamiętać, że ani tokeny, ani hasła czy też podpis elektroniczny nie dadzą 100% gwarancji bezpieczeństwa, jeśli użytkownik będzie nierozważny. To jest analogicznie jak w normalnym życiu - zabezpieczysz drzwi, złodziej zacznie majstrować ci przy oknie, założysz kraty w oknie, złodziej zainteresuje się twoim dachem. Nie można jednak na tej podstawie wysnuć wniosku, że banki i inne instytucje finansowe nie powinny na bieżąco ulepszać obecnych zabezpieczeń - wręcz przeciwnie. Powinny i - co najważniejsze - nieustannie to robią. Polskie systemy zabezpieczeń w bankowości internetowej, w tym również w MultiBanku, są jednymi z najnowocześniejszych na świecie. Technologie nieustannie się rozwijają i ewoluują. Wszyscy zaś dążymy do modelu, w którym - przy zachowaniu bezpieczeństwa - użytkownikowi będzie zarówno wygodnie, jak i "naturalnie".

Czy biometria jawi się w tym kontekście jako nadzieja?

To zabezpieczenie najbliższe ludzkiej naturze. Nie trzeba pamiętać dziwnych kombinacji i ciągów alfanumerycznych, nie trzeba niczego przy sobie nosić. Niestety, jak powszechnie wiadomo, technologie biometryczne nadal nie oferują poziomu dojrzałości, który pozwoliłby na stosowanie ich w otwartym, globalnym środowisku internetowym. Jestem przekonany, że niedługo biometria zrobi furorę i wyprze wiele innych metod zabezpieczeń, ale nie wiem, czy akurat w bankowości stanie się to szybko. Ryzyko błędnej autoryzacji - nawet na poziomie poniżej 1%, co zapewniają najlepsze dziś technologie biometryczne - jest niedopuszczalne w przypadku bankowości. Poza tym nie wiadomo, jak rozwój technik genetycznych, klonowanie itp., przeszkodzi w szerokiej adaptacji biometrii.

Może w ogóle komputer podłączony do publicznej sieci nie jest właściwym urządzeniem do załatwiania spraw bankowych i należy zastąpić go czymś innym?

Na pewno bezpieczniejsze byłyby jakieś dedykowane urządzenia, najlepiej komunikujące się z bankiem poprzez specjalne połączenia. Niestety, przeprowadzenie takiej zmiany wydaje się skrajnie trudne, wręcz niewykonalne. Co jednak znacznie ważniejsze, klienci nie chcą rezygnować z bankowości za pośrednictwem komputera.

Słychać o rosnącej liczbie incydentów i nowych pomysłach sieciowych przestępców. Myśli Pan, że realne jest zagrożenie, iż w niedługim czasie zostanie przekroczony próg zaufania klientów do bankowości internetowej?

Zdecydowanie nie. Przecież nie jest tak, że środowisko bankowe dopiero teraz zdało sobie sprawę z istniejących zagrożeń. Zapewniam pana, że sprawy bezpieczeństwa, w tym kanałów internetowych, mają najwyższy priorytet w polskich bankach. Bankowość internetowa jest nie mniej bezpieczna niż inne jej formy. Niedoskonałości rozwiązań z pionierskich czasów odchodzą do przeszłości. O ile tylko klienci będą stosować się do podstawowych zasad bezpieczeństwa, to bardzo trudno będzie przestępcom cokolwiek ukraść. Wyzwaniem dla wszystkich, którym zależy na rozwoju bankowości elektronicznej, pozostaje to, jak spowodować, by użytkownik przestał być najsłabszym ogniwem.