Masz jak w banku

Jak wynika z badań przeprowadzonych przez Unisys, 45% klientów na całym świecie jest gotowych zmienić bank w poszukiwaniu lepszej ochrony powierzonych pieniędzy, a 66% klientów poważnie obawia się, że padnie ofiarą kradzieży numeru karty płatniczej. Tyle oficjalna statystyka. Prywatnie każdy z bardziej świadomych obywateli zdaje się wykazywać rozsądne, tzn. ograniczone zaufanie do przechowalni swoich środków płatniczych.

Jak wynika z badań przeprowadzonych przez Unisys, 45% klientów na całym świecie jest gotowych zmienić bank w poszukiwaniu lepszej ochrony powierzonych pieniędzy, a 66% klientów poważnie obawia się, że padnie ofiarą kradzieży numeru karty płatniczej. Tyle oficjalna statystyka. Prywatnie każdy z bardziej świadomych obywateli zdaje się wykazywać rozsądne, tzn. ograniczone zaufanie do przechowalni swoich środków płatniczych.

Nie należy do rzadkości stosowany u nas model dywersyfikacji ryzyka polegający na utrzymywaniu kont w dwóch różnych bankach. Jedno z nich pełni rolę "elektronicznej portmonetki" z dostępem online, drugie zaś jest magazynem zasadniczej części dochodów, do którego dostępu sieciowego po prostu się nie otwiera. Jak to się mówi: o bezpieczeństwo swojej własności lepiej zatroszcz się sam, zanim zrobią to inni.

W ostatnim felietonie opisywałem podszywanie się (phishing) pod serwis PayPal w celu zdobycia numeru karty płatniczej. Uprawianie podobnego procederu można wyobrazić sobie w stosunku do usług bankowych online. Tym bardziej że nie zawsze są one wzorem bezpieczeństwa, z czym szczegółowo można zapoznać się w raporcie Zespołu Bezpieczeństwa Poznańskiego Centrum Superkomputerowo-Sieciowego (raport "Bezpieczna" E-Bankowość do pobrania pod adresemhttp://security.psnc.pl/news/150206.shtml ). Lektura jest ciekawa, przedstawia podstawowe scenariusze przechwytywania niejawnych informacji, jak też poziom bezpieczeństwa sieciowego oferowany przez poszczególne banki. Zawsze można dokładniej przyjrzeć się, komu powierza się swoje ciężko zarobione pieniądze.

Temat stał się dla mnie o tyle aktualny, że wraz z zespołem projektujemy internetowy, aktywny dostęp do danych, starając się najniższym kosztem zapewnić możliwie najwyższy poziom bezpieczeństwa. Chociaż nasze oprogramowanie nie będzie bezpośrednio dotyczyło transakcji finansowych, to nie jest to powodem, aby nie przestrzegać podstawowych reguł bezpieczeństwa. Na tę więc okazję mieliśmy szereg dyskusji o charakterze burzy mózgów (brainstorming), gdzie każdy przedstawiał swoje wizje i doświadczenia. Jeden z kolegów ma za sobą dosyć długi staż pracy w znanym banku. Chociaż nie zajmował się tam dostępem internetowym, a nadzorem nad przetwarzaniem wewnętrznym, to jest on nieprzebraną skarbnicą wiedzy na temat... omijania ustanowionych procedur. Nie żeby był nieuczciwy. Zmuszali go do tego sami przełożeni kreujący politykę oszczędnościową. Jeśli więc na przykład była kiedyś procedura generowania tajnych haseł dostępowych, w której musiały uczestniczyć dwie osoby, a każda z nich znała tylko połowę hasła, to po redukcji etatów robił to już jeden osobnik w imieniu dwóch. Można by mnożyć przykłady tego typu zjawisk ignorujących podstawowe reguły bezpieczeństwa, a przez to rozszczelniających system od wewnątrz i prowokująco wręcz otwierających podwoje dla rzeczywistych zagrożeń. W gruncie rzeczy bank woli po cichu wypłacić odszkodowanie jednemu czy drugiemu stratnemu klientowi, aniżeli wikłać się w procesy i ryzykować reputację przez nagłaśnianie sprawy. No, chyba że skala oszustwa staje się zbyt duża, wobec czego renoma banku musi zejść na plan dalszy.

Generalnie wygląda na to, że w banku jest jak w warzywniaku - pewna część środków przeznaczona jest na ubytki. A ja zawsze myślałem, że panuje tam dokładność, niczym w szwajcarskim zegarku. Ale to chyba tylko w banku szwajcarskim. W każdym razie opowieści kolegi z bankową przeszłością niosą dla naszego zespołu skutek dydaktycznie pozytywny. Gdy tylko któryś z programistów wykona niezbyt precyzyjny algorytm, z miejsca go upominam tymi słowy: u nas nie bank i wszystko musi się zgadzać.