Strach na koncie

Rosnąca fala przestępstw w bankowości internetowej zmusza do przemyślenia na nowo, jak banki mają zabezpieczać się przed atakami, ale jednocześnie rodzi pytania o to, czy interesy klientów są wystarczająco chronione. Po dziesięciu latach gwałtownego rozwoju bankowości online wiele kwestii wymaga nowych pomysłów i regulacji.

Rosnąca fala przestępstw w bankowości internetowej zmusza do przemyślenia na nowo, jak banki mają zabezpieczać się przed atakami, ale jednocześnie rodzi pytania o to, czy interesy klientów są wystarczająco chronione. Po dziesięciu latach gwałtownego rozwoju bankowości online wiele kwestii wymaga nowych pomysłów i regulacji.

O tym, że bankowość internetowa niesie ogromne ryzyko związane z nadużyciami ze strony przestępczego podziemia, wiadomo było od początku. Branżowi specjaliści przypominają, że próby nadużyć, zgoła podobne do siejących dziś popłoch phishingu czy pharmingu, zdarzyły się w 1997 r. Jednak licealistę, który uruchomił atrapę serwisu internetowego Powszechnego Banku Kredytowego szybko złapano, zanim zdążył wyrządzić komuś krzywdę. Niestety, nie udało się to w przypadku przestępców, którzy niedawno uszczuplili aktywa jednego z banków - nieoficjalnie każdy w branży wie, że chodzi o BPH - o milion złotych.

Nieszczęśliwy przypadek krakowskiego banku nie jest odosobniony, co potwierdzają dobrze poinformowani ludzie ze środowiska bankowego. Z oczywistych przyczyn informacje o tzw. fraudach są jedną z pilnie strzeżonych tajemnic. Banki wolą z własnej kieszeni i bez rozgłosu pokryć uszczerbek na koncie obrabowanego klienta niż angażować policję i prokuratorów, ściągając na siebie zainteresowanie mediów. Informacje o internetowych rabunkach odbijają się na wizerunku instytucji finansowej, osłabiają zaufanie do niej i do bankowości online jako takiej. A zaufanie w bankowości to podstawa.

Lęk z zachodu, ataki ze wschodu

Nawet jeśli przyjąć, że polskim bankom udaje się skutecznie tuszować większość przestępstw dokonywanych z użyciem Internetu, to i tak skala jest mikroskopijna. W USA epidemia phishingu zbiera żniwo już trzeci rok. Przestępcy posługujący się sztuczkami socjotechnicznymi, przy minimalnym zaangażowaniu technologii, przechwycili tysiące haseł do kont bankowych i skradli miliony dolarów. Gartner alarmuje, że w samych USA do końca tego roku straty wynikające z phishingu wyniosą prawie miliard dolarów! Od ubiegłego roku phishing rozprzestrzenia się poza anglojęzyczne obszary. Ofiarami padli klienci dwóch czołowych niemieckich banków - Deutsche Bank i Postbank.

Na tym tle polski rynek bankowości internetowej jawi się jako bezpieczna oaza. Mimo skokowego przyrostu kont internetowych - Związek Banków Polskich podaje liczbę 3,8 mln, ale część ekspertów kwestionuje te dane twierdząc, że z e-kont korzysta 2 mln osób - przestępcy nie obłowili się na okradaniu klientów polskich banków. Krzysztof Jakubski, przez lata główny śledczy zajmujący się przestępczością komputerową w Komendzie Głównej Policji, nie ma wątpliwości, że najlepszym zabezpieczeniem przed hakerami są niska zamożność społeczeństwa i egzotyczna waluta. Przestrzega jednak, że najdalej z chwilą wprowadzenia euro wzrośnie atrakcyjność polskiego Internetu jako miejsca prowadzenia działalności przestępczej. "Na razie mamy ten komfort, że musimy obawiać się tylko polskich hakerów" - mówi ekspolicjant, a obecnie dyrektor odpowiedzialny za bezpieczeństwo w Banku Polskiej Spółdzielczości SA. Dawno już udowodniono, że komputerowa przestępczość przestaje być domeną romantyków walczących w imię ideałów z rekinami finansjery. Do gry wkroczyły międzynarodowe gangi.

Szczelny mur z małymi dziurkami

W większości przypadków polskie banki internetowe są zabezpieczone na przyzwoitym poziomie. Piotra Gawrona, dyrektora mBanku, nie dziwi, że najwięcej tracą na działalności przestępców instytucje finansowe za Oceanem. Amerykanie kierują się inną filozofią niż Europejczycy, jeśli chodzi o zabezpieczanie transakcji internetowych. Na pierwszym miejscu stawiają wygodę, wychodząc z założenia, że stworzenie przyjaznego serwisu zaowocuje wzrostem liczby klientów. Oszczędzają na drogich systemach zabezpieczeń, a ewentualne szkody pokrywa ubezpieczyciel - bilans i tak wychodzi na plus. Przynajmniej tak było do niedawna, bo od pewnego czasu amerykańskie banki w obliczu rosnących strat coraz uważniej przyglądają się europejskim praktykom.

Polskie banki od początku szły inną drogą. Uwierzytelniają klientów, dając im do dyspozycji tokeny, hasła jednorazowe w formie zdrapek, niektóre czynią to w oparciu o wyrafinowaną infrastrukturę PKI. Kiedy powstawały systemy bankowości internetowej, korzystano z wzorców skandynawskich i niemieckich. Na zabezpieczenia wydawano sporo, najczęściej przerzucając na klienta część kosztów.

Od standardów ustanowionych przez większość odbiega Citibank Handlowy, który śladem amerykańskiego właściciela manifestuje swoje przywiązanie do wygody użytkowania. Do przeprowadzenia operacji bankowych wystarcza klientom nazwa użytkownika odpowiadająca numerowi karty bankomatowej i statyczne hasło. Niezaprzeczalnie to najprostsza metoda, ale specjalistom od bezpieczeństwa jeży się włos na głowie. Wystarczy powiedzieć, że według statystyk właśnie klienci Citibanku w różnych krajach najczęściej padają ofiarą przestępstw. Od jesieni br. ma ruszyć nowy serwis Citibanku. Nieoficjalnie mówi się, że dodatkową barierą dla przestępców mają być hasła jednorazowe.

Razem przeciw złym

Czy mała aktywność podziemia internetowego w Polsce nie działa usypiająco na środowisko bankowe? Nie trudno znaleźć zwolenników takiej tezy.

Wszyscy zapewniają, że na bieżąco monitorują zagrożenia i znajdują środki zaradcze. Dobrym przykładem jest mBank, w którym non stop pracuje zespół złożony z prawników, informatyków i specjalistów z działów biznesowych. "Jako największy bank internetowy jesteśmy szczególnie narażeni na ataki ze strony podziemia. W każdym, najdrobniejszym przypadku podejmujemy działania prewencyjnie" - mówi Piotr Gawron, dyrektor Departamentu Bankowości Elektronicznej BRE Banku. Internetowe ramię BRE ma jeszcze inną zasadę - informować klientów o wszelkich zagrożeniach i incydentach, jeśli takie miały miejsce.

Podobne deklaracje mogłoby złożyć pewnie więcej banków, ale dla skutecznej ochrony przed nowymi zagrożeniami przestaje wystarczać utrzymywanie porządku na własnym podwórku. Niezbędna jest ścisła współpraca wszystkich 19 banków internetowych. To, że banki potrafią w sytuacjach zagrożenia współdziałać, dowodzą inicjatywy w zwalczaniu przestępczości z użyciem kart kredytowych czy wyłudzeniom kredytów. Pewne formy współpracy wprost narzuca prawo bankowe. Niestety, kooperacja w dziedzinie bankowości internetowej jest na bardzo wczesnym etapie.

Środowisko powoli dostrzega potrzebę utworzenia wspólnego frontu walki z cyberprzestępczością. "Nie mamy satysfakcji z wpadek naszych konkurentów, bo każdy przypadek kradzieży w banku internetowym może prowadzić do spadku zaufania do tej formy bankowości" - mówi Andrzej Pakulski, dyrektor Departamentu Bezpieczeństwa Banku w Kredyt Bank SA. W interesie wszystkich banków internetowych leży więc utrzymanie jak najwyższego poziomu bezpieczeństwa nie tylko u siebie, ale także u konkurentów. Czy działania podjęte wreszcie przez Citibank mogły być następstwem krytyki środowiskowej? Raczej nie, choć powinny. Również Generalny Inspektorat Nadzoru Bankowego powinien wnikliwie przyjrzeć się stanowi bezpieczeństwa banków internetowych.

Bodaj pierwszą próbą nawiązania współpracy przez banki internetowe jest Forum Bezpieczeństwa Transakcji Elektronicznych, działające przy Związku Banków Polskich. Jak się okazuje, spora część naszych kompetentnych rozmówców w ogóle nie słyszała o tej inicjatywie. Remigiusz Kaszubski, dyrektor w Związku, widzi forum jako platformę współpracy banków przy zapobieganiu przestępczości. Przypadnie mu też zadanie edukacji.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200