PKO BP: „Ludzki firewall” gwarantem bezpieczeństwa w bankowości? [WYWIAD]

23 stycznia 2019, 11:17
e-commerce-3228418_1280
Fot. Salcapolupo/Pixabay

W czasach, kiedy nowe pokolenie rodzi się ze smartfonem w ręku, a bankowość elektroniczna towarzyszy nam na każdym kroku funkcjonowania w sieci, konieczne są nowe zasady zachowania bezpieczeństwa dla klientów indywidualnych. Czy banki są w stanie nauczyć swojego klienta higieny korzystania z sieci, aby użytkownik ewaluował z najsłabszego na najsilniejsze ogniwo systemu zabezpieczeń?  Specjalnie dla CyberDefence24.pl o edukowaniu użytkownika opowiedział Piotr Kalbarczyk, Dyrektor Departamentu Cyberbezpieczeństwa, PKO Banku Polskiego. 

Sylwia Gliwa: Najsłabszym ogniwem systemu bezpieczeństwa, wciąż pozostaje człowiek, czyli klient bankowości elektronicznej i mobilnej. Jak pan ocenia poziom wiedzy użytkowników w Polsce?

Piotr Kalbarczyk: Jest pewne określenie, które idealnie oddaje wagę jaką w systemie bezpieczeństwa odgrywa człowiek, to „ludzki firewall”. Gdyby wszyscy użytkownicy mieli wystarczający poziom świadomości to wielu ataków udałoby się uniknąć. Niestety wciąż są osoby, które nie zdają sobie sprawy z zagrożeń, jakie na nich czyhają. Uważają często, że za bezpieczeństwo odpowiedzialny jest ktoś inny, nie oni, a cyberprzestępcy skutecznie to wykorzystują stosując nowe i coraz bardziej wyrafinowane i dopracowane metody socjotechniczne.

Nasz bank od dawna informuje, ostrzega i edukuje klientów w kwestiach dotyczących zagrożeń i bezpieczeństwa w sieci.  Publikujemy odpowiednie komunikaty w serwisach transakcyjnych, na stronach internetowych banku w materiałach dla klientów, jak i w mediach społecznościowych. Potwierdzeniem skuteczności tych działań jest obserwowana przez nas rosnąca świadomość klientów - coraz częściej zgłaszają nam swoje wątpliwości, podejrzenia dotyczące phishingu. Klienci informują nas o takich przypadkach bardzo szybko, natychmiast po ich wystąpieniu dzięki czemu „bezpiecznicy” mogą natychmiast zareagować na działania cyberprzestępców.

W jaki sposób cyberprzestępcy najczęściej atakują użytkowników? Jakie są główne techniki przez nich wykorzystywane?

Powszechnym zjawiskiem jest phishing. To oszustwo polegające na podszywaniu się pod inne osoby, firmy czy instytucje po to, aby skłonić użytkownika do konkretnych zachowań np. podania swoich danych, w tym loginu i hasła czy kliknięcia w link, który zainstaluje na naszym sprzęcie złośliwe oprogramowanie. Dlatego użytkownicy powinni być szczególnie wyczuleni na maile i wiadomości jakie otrzymują. Czasem wystarczy kilka czynności, jak chociażby sprawdzenie adresu nadawcy, dokładne przyjrzenie się przesłanemu linkowi lub wnikliwe przeczytanie adresu strony www, na której się znajdujemy, aby wiedzieć, czy mamy do czynienia z oszustwem. Szczególnie niebezpieczne są takie, kiedy przestępcy chcą wyłudzić od nas hasło do konta w banku lub numery karty kredytowej. Podanie tych danych na fałszywej stronie może skutkować utratą dużych ilości pieniędzy z konta.

Innym często spotykanym atakiem phishingowym jest podszywanie się oszustów pod firmy świadczące usługi np. telekomunikacyjne albo kurierskie. Przesyłane do losowo wybranych osób maile informują o konieczności dokonania płatności – pod pretekstem zapłaty za fakturę, przesyłkę itp. Wykorzystując zaufanie odbiorcy wiadomości do znanej powszechnie firmy oraz groźbę konsekwencji wynikających z nieuregulowania opłaty, przestępcy skłaniają daną osobę do otwarcia załącznika. W efekcie nieświadomie instalują na swoim sprzęcie złośliwe oprogramowanie, które może wykradać dane albo śledzić wszystkie czynności, jakie wykonujemy z wpisywaniem loginów i haseł włącznie.

Funkcjonując w sieci w sposób nieostrożny, użytkownicy mogą niejako wspomóc działania przestępców i ułatwić włamanie na konto bankowe czy przejęcie danych. Jakie zachowania klientów najbardziej sprzyjają przestępcom i jak się ich ustrzec?

Można powiedzieć, że w tym przypadku jest jak z myciem zębów, obowiązują pewne zasady tzw. higiena podstawowa bez niej przestępcy mają bardzo ułatwione zadanie. Niezabezpieczony komputer, korzystanie z bankowości elektronicznej z publicznie dostępnych komputerów lub otwartej sieci Wi-Fi, udostępnianie swoich danych logowania innym osobom, klikanie w linki, wiadomości pochodzące z nieznanych źródeł przesyłane na adresy mailowe lub konta mediów społecznościowych, nieczytanie lub niesprawdzanie treści SMS-ów autoryzujących – to sytuacje, których należy się bezwzględnie wystrzegać.

Ostrożne i przemyślane zachowanie użytkowników w sieci jest podstawą zachowania bezpieczeństwa, jednakże jaką rolę odgrywa sprzęt i oprogramowanie? Jaką dostrzegają Państwo korelację pomiędzy użytkowanym sprzętem i oprogramowaniem a bezpieczeństwem użytkowników?

Nawet najlepszy sprzęt i najlepsze oprogramowanie nie dadzą nam gwarancji bezpieczeństwa, jeśli nie będziemy przestrzegać podstawowych zasad bezpieczeństwa. Przede wszystkim należy zadbać o zabezpieczenie sieci i routera. Istotnym jest zainstalowanie oprogramowania antywirusowego, które powinniśmy mieć nie tylko na naszym komputerze stacjonarnym, ale też na smartfonie.

To, co jest niezwykle ważne to pobieranie wszystkich instalowanych programów i aplikacji z zaufanych źródeł. Powinniśmy też dokładnie sprawdzić jakich uprawnień wymaga od nas aplikacja czy program, który instalujemy. Istotne jest, żeby przed pobraniem przeczytać opinie użytkowników, aby w ten sposób uniknąć przykrych konsekwencji. Pamiętajmy również o aktualizowaniu aplikacji, systemu, przeglądarki i oprogramowania antywirusowego.

Jak bezpiecznie korzystać z bankowości elektronicznej i mobilnej – jakie 3 najważniejsze rady mógłby Pan dać klientom banków?

Trudno podać trzy najważniejsze zasady czy rady. Te najbardziej podstawowe to:

  • Wszędzie tam, gdzie to możliwe należy stosować silne metody uwierzytelnienia.
  • Zawsze należy sprawdzać adres strony logowania, najlepiej wpisywać go ręcznie lub logować ze strony głównej banku.
  • Uważać na fałszywe maile, wiadomości w mediach społecznościowych przychodzące od nieznanych osób oraz załączniki. Nie należy wchodzić w linki nieznanego pochodzenia.
  • Dbać o regularną zmianę hasła i nie zapisywać danych w przeglądarce
  • Chronić dane do logowania – nie przekazywać ich nawet najbliższym osobom.
  • Nie logować się do serwisów bankowości elektronicznej z ogólnodostępnych komputerów, nie korzystać z nieznanych i niezabezpieczonych sieci wifi

Niedawno przygotowaliśmy dla klientów specjalną kampanię dotyczącą bezpieczeństwa bankowości mobilnej. Najważniejsze zasady jakie powinni przestrzegać klienci bankowości mobilnej to:

  • Sprawdzać treść SMS-ów przed potwierdzeniem transakcji
  • Pobierać aplikacje tylko z oficjalnych źródeł
  • Sprawdzać, jakich uprawnień wymaga instalowana aplikacja
  • Blokować ekran telefonu
  • Nie logować się do serwisów z publicznych sieci Wi-Fi
  • Pamiętać o ustawieniu limitów transakcji 
  • Regularnie aktualizować system i aplikacje
  • Dokładnie sprawdzać adresy stron sklepów internetowych

O konieczności edukowania użytkowników mówi się od dawna a w przeszłości prowadzono wiele kampanii. Jak Pan ocenia ich skuteczność? Jakie błędy są popełniane w edukowaniu użytkowników?

Banki w Polsce stosują jedne z najnowocześniejszych zabezpieczeń systemów elektronicznych. Mamy świadomość, że możliwości klientów w obszarze informatycznych technologii zabezpieczających są ograniczone i staramy się ich w tym obszarze wspierać.  Z drugiej strony tempo rozwoju narzędzi przestępczych powoduje, że co jakiś czas słyszymy o kolejnych atakach. Większość z nich polega jednak nie na ataku na systemy bankowe, a na sprytnej próbie oszukania klienta. Moim zdaniem efektywność szkoleń związana jest bezpośrednio ze sposobem, w jaki edukujemy klientów. Jest słaba, gdy wykorzystujemy tylko metodę nakazów, czyli koncentrujemy się na tym co należy zrobić. Dużo lepszy efekt można uzyskać dodając element wyjaśnienia, dlaczego należy postępować zgodnie z naszymi zaleceniami.  

PKO BP jest jednym z najbardziej innowacyjnych i mobilnych banków działających na rynku polskim. Zapewne prowadzą Państwo działania, aby edukować swoich klientów w zakresie bezpieczeństwa korzystania z bankowości elektronicznej i mobilnej - Czy oraz jakie działania przynoszą wymierny skutek?

Edukowanie klientów w zakresie bezpieczeństwa jest bez wątpienia ważnym elementem działań jakie realizujemy w banku. Prowadzimy kampanie edukacyjne w mediach społecznościowych. Ostatnia miała miejsce w grudniu i dotyczyła bezpieczeństwa bankowości mobilnej. Regularnie publikujemy artykuły na naszym portalu Bankomania, gdzie można przeczytać o najczęściej występujących zagrożeniach i sposobach, jak się przed nimi bronić. Publikujemy stosowne ostrzeżenia w serwisach transakcyjnych, na stronach internetowych oraz w materiałach dla klientów. Przykładem takich działań jest też akcja Cyberstrażnik prowadzona w mediach społecznościowych. Jej celem było uświadomienie jak rzadko Internauci zdają sobie sprawę z tego, jak cenne są ich dane osobowe. Chętnie publikują zdjęcia, chwalą się otrzymanym prawem jazdy, czy mandatem, na którym widnieje komplet danych osobowych. Monitorowaliśmy potencjalnie wrażliwe treści wrzucane przez internatów i ostrzegaliśmy ich o zagrożeniach. Dzięki temu wiele wrażliwych treści zostało usuniętych.

Dodatkowo w zakresie cyberbezpieczeństwa prowadzimy też szkolenia dla firm. Rozmawiamy, jak zabezpieczać się przed zagrożeniami i pokazujemy, jak działają przestępcy.

Na koniec zajrzyjmy w przyszłość. Jakie nowe zagrożenia przewiduje Pan dla funkcjonowania banków i klienta – użytkownika bankowości elektronicznej i mobilnej?

Wciąż groźny jest phishing i należy się spodziewać, że zarówno kwestie związane z obowiązywaniem unijnej dyrektywy, jak i podszywaniem się pod inne firmy i instytucje to tematy, które będą zajmować branżę cyberbezpieczeństwa w 2019 roku. Pojawią, a właściwie już pojawiają się także nowe wyzwania, które są bezpośrednio skorelowane z rozwojem technologii. Jednym z nich jest bezpieczeństwo aplikacji mobilnych. Wyraźnie widać, że liczba użytkowników bankowych rozwiązań stale rośnie. IKO oferowane przez PKO Bank Polski ma już ponad 3 mln aktywnych aplikacji i pod tym względem jesteśmy liderem na rynku. Coraz większa popularność rozwiązań mobilnych to wyzwanie dla ich twórców, w tym także dla działów cyberbezpieczeństwa. Aplikacje muszą być bezpieczne, niezawodne i przyjazne dla klienta. Uzyskanie tych celów wymaga ścisłej współpracy biznesu, IT i bezpieczeństwa. Tym bardziej, że liczba innowacyjnych rozwiązań stale się zwiększa, a wraz z tym rośnie również liczba potencjalnych zagrożeń. Dobrym przykładem jest tutaj IoT. Do niedawna abstrakcyjnym mogło wydawać się włamanie przez hakera np. do inteligentnej lodówki czy autonomicznego samochodu. Cyberprzestępcy będą jednak szukać najsłabszych ogniw w całym systemie i z premedytacją je wykorzystywać. Już w tej chwili obserwujemy olbrzymi wzrost botnetów składających się z urządzeń IoT i ich wykorzystanie do ataków DDOS na wielką skalę. Troska o bezpieczeństwo Internetu rzeczy wraz ze wzrostem popularności tego typu rozwiązań będzie zatem bardzo istotnym zadaniem zespołów cyberbezpieństwa. Podobnie, jak wykorzystywanie w coraz większym zakresie sztucznej inteligencji, robotyzacji i uczenia maszynowego. Masowe ataki na te rozwiązania dopiero przed nami, ale już teraz warto zastanowić się nad nowym modelem zagrożeń i odpowiednio się do niego przygotować, bo potencjał tych rozwiązań może zostać wykorzystany także do budowania fałszywych modeli zachowań uniemożliwiających automatyczne wykrywanie anomalii oraz automatyzacji ataków. Rosnące znaczenie technologii zmusza do tego, żeby przemyśleć podejście do dbania o bezpieczeństwo. Dziś stawianie firewalli już nie wystarcza. To nie mury wokół zapewnią nam obronę przed atakami, ale dobre rozwiązania w detekcji i reagowaniu oraz stosowanie zasad „security by design” i „privacy by design”. Odpowiednie praktyki, stale podnoszona wiedza oraz mądra i skutecznie realizowana polityka bezpieczeństwa to dla wszystkich firm powinna być podstawa. Musimy zabezpieczać się na wielu frontach i maksymalnie ograniczyć słabe punkty we wdrażanych rozwiązaniach. Wykorzystując nowe technologie oraz nowe modele prowadzenia biznesu musimy jednocześnie pamiętać, że zmiany te generują również konieczność wprowadzenie zmian w obszarze cyberbezpieczeństwa, w tym przygotowania strategii zabezpieczenia nowych rozwiązań, np. chmury. W świetle realizowania przez PKO Bank Polski projektu Chmury Krajowej będzie to dla nas bez wątpienia duże wyzwanie w nadchodzącym roku. Tak jak udział w Programie Transformacji Cyfrowej wdrażanym w naszym banku. 

KomentarzeLiczba komentarzy: 2
Artur Marek Maciąg
czwartek, 14 lutego 2019, 12:58

Ciekawy wywiad, interesująca wykładania, choć... standardowa. Nie można oczekiwać niczego innego, jako że banki są stosunkowo konserwatywnym środowiskiem w zakresie bezpieczeństwa. Oczywiście stosują szereg zabezpieczeń, z najwyższej półki, praktycznie zazwyczaj typu "następnej generacji", jednak w relacji do klienta, jak i architektury informacji, postępują "za" rynkiem usług. Nie żyjemy jednak w czasach, w których można usprawiedliwiać takie czy inne podejście tego sektora do klienta historycznymi praktykami i reputacją. Trzeba spojrzeć na fakty. A te są przytłaczająco niekorzystne. Dla obu stron. Jako przykład, można użyć wymienionych tutaj praktyk. Kto stosuje "niezawodnie" wszystkie z wymienionych? Albo choćby jedną, ale bezwzględnie? Kto z pracowników sektora? W domu i w pracy? A jeśli nie, to czy ktoś pyta dlaczego? Kolejny przykład - czytanie SMS-ów autoryzacyjnych w kontekście obsługi kanałów płatności na telefonie (co dla młodych ludzi jest coraz powszechniejszym zjawiskiem). Kto czyta całego SMS-a skoro uwaga skupiona musi być na: zielonej kłódce, adresie strony, kwocie, walucie, operatorze płatności, beneficjencie opłaty, no i ostatecznie kodzie potwierdzenia? Technologia klientów SMS-owych też nie pomaga, dając kilka sekund w ramach powiadomienia, bez konieczności odpalania aplikacji - kilka sekund, które wystarczy na zapamiętanie kodu, ale nie wystarczy na przeczytanie całości komentarza. Znowu otwarcie aplikacji sms-owej czasami prowadzi do konieczności odświeżenia sesji przeglądarki, lub przypadkowego jej zamknięcia, co jest katastrofą w procesie płatności szybkimi płatnościami. To tylko przykład oderwania od rzeczywistości osób zajmujących się globalnymi kampaniami bezpieczeństwa. Są one poprawne, klasyczne, adresują "zbiorczo" problemy wyszukując rozwiązania, które efektywnie mogą pomóc "ogólnie". Jednak traktowane są przez użytkowników szczegółowo, bo na takie wyglądają. Porada typu chronić dane logowania jest absurdalna, gdy mówimy o przeglądarce, której profil synchronizowany jest chmurowo, dodatkowo pełnej wtyczek, systemie operacyjnym kontrolowanym przez wydawcę, kanale komunikacyjnym kontrolowanym przez operatora, rozszywaniu ruchu szyfrowanego na urządzeniach bezpieczeństwa lub granicy sieci u właściciela serwisu do którego się logujemy oraz wszechstronnie występujących podatnościach, we wszystkich usługach, na wszystkich warstwach. Teraz praktycznie nawet infrastruktura jest kodem, a kod ma to do siebie, że ma błędy. Są jednak praktyki, warte podkreślenia, warte wsparcia technologicznego i procesowego, warte "złota". Jedną z nich, bardzo dobrze znaną wszystkim zajmującym się bezpieczeństwem informacji jest monitorowanie i reakcja na zdarzenia. Który bank, zapewnia darmowe, w czasie rzeczywistym mechanizmy informowania o zdarzeniach? Gdzie jest nr telefonu, lub przycisk - "TO NIE JA!"? Dlaczego gmail umożliwia "cofnięcie maila" w 30 sekund po wysłaniu, jeśli zdam sobie sprawę że coś zrobiłem źle, a Bank nie? Oczywiście jest chargeback dla kart, jednak generalnie praktyka jest taka - nie płać kartą w internecie, tam gdzie masz podać jej dane, a dla szybkich płatności chargeback nie ma i powstaje problem. A dla każdego, kto teraz powie - można zadzwonić do banku i zgłosić problem z płatnością, pytanie - ile to trwa, na jaki numer, jakie informacje podać, czy można to zrobić tak samo wygodnie jak płatności na smartfonie? Temat dobrych praktyk jest niestety wyrywany z kontekstu i traktowany nie jak praktyka, tylko standard. Tak jest też komunikowany, bez realnego pomiaru jak jest odbierany i stosowany. Żeby nie być gołosłownym, poszukiwałem na potrzeby #projektFeniks statystyk incydentów dotyczących bankowości konsumenckiej - ile fraudów dla Polskich operatorów płatności i banków występuje dla kart, jak poważny jest problem kradzieży tożsamości dla kredytów itp. I choć raport ZBP dla płatności jest dostępny, to wynika z niego konkretnie, że Polska jest najbezpieczniejszym krajem w zakresie kart płatniczych w całym sektorze. Informacje te dają kontekst nie tylko praktykom i ich skuteczności, ale i sensacyjnym doniesieniom o atakach na karty jako środki płatnicze, na wielu portalach. Brakuje natomiast informacji na temat problemu słupów, wyłudzeń kredytów i fałszywych zleceń z użyciem kradzieży tożsamości. Dlaczego? Czy sektor bankowy realizując kampanię bezpieczeństwa nie może używać danych statystycznych w tym zakresie? Czy musi powielać schematy i mity, które mogą być zweryfikowane danymi, ale są "standardem" więc są komunikowane "jak są"? Z konsekwencjami zaufania jakie jest przypisane całemu sektorowi. Te praktyki informacyjne wydają się być do poprawy. Od mojego banku, jako klient, oczekuję rzetelnych informacji opartych na trendach, opartych na danych, nie na standardach sprzed 20 lat. Czekam na wytyczne dotyczące technik pay-by-link, integracji z partnerami do szybkich płatności, komunikacji w zakresie bezpieczenstwa, np. że od dzisiaj, mogę używać szybkich płatności z tym i tamtym partnerem biznesowym, że to jest bezpieczne, bo ten partner ma certyfikaty, a dla mnie robi takie a nie inne wskazówki, które należy sprawdzić podczas transakcji. Dodatkowo, chcę wiedzieć co mogę zrobić jak coś pójdzie nie tak, jaki przelew wymusi na mnie przestępca, stosując socjotechnikę, o której zdam sobie sprawę kilka minut (czy sekund) po tym jak wykonałem dyspozycję. Jak mogę zatrzymać przelew, jak wskazać przestępcę. Jak ochronić innych, nawet jeśli moje pieniądze już przepadły (lub mam czekać na ich zwrot po odebraniu od przestępcy). I przesłanie "mojej opowieści" na jakiś portal piszący o bezpieczeństwie, nie mieści mi się w głowie jako praktyka bankowa, a tak to wygląda w rzeczywistości. To są proste zasady bezpieczeństwa, na podstawie których wiem, jak zachowa się mój bank, wiem też jak mam się zachować w kontaktach z nim. To jest podstawa zaufania - wiedza na temat zachowań. Obecne "dobre praktyki" dają tylko ułudę poczucia bezpieczeństwa, jako, że obciążają użytkownika, psychicznie. I niestety nie jest to "mycie zębów", które nawet jeśli z użyciem szczoteczki elektrycznej wymaga krótkiego instruktażu i tej samej czynności. Tutaj czynności jest wiele, zależnych od okoliczności, technologi, potrzeb i niestety zmienia się w czasie, szybciej niż można wytworzyć nawyk. Używanie technologii wygląda tylko na proste i przyjemne - jak w reklamie. Taka ciekawostka w temacie - w ramach #projektFeniks, pytamy publicznie o apetyt na ryzyko dowolnego użytkownika i znaleźliśmy (na podstawie próbki 80 odpowiedzi), że utrata środków, zarówno większości jak i małych kwot nie stanowi numeru 1 w zakresie incydentów nie do naprawy. Numerem 1 natomiast jest konflikt z prawem. W badaniu, część respondentów zdała sobie sprawę, że w wyniku kradzieży tożsamości, można łatwo wpaść w konflikt z prawem w zakresie uczestnictwa w procesie prania brudnych pieniędzy, z użyciem legalnych instytucji finansowych, bez własnego bezpośredniego udziału i wiedzy. To jest problem. Głównie dlatego, że przedstawienie alibi jest praktycznie niemożliwe, lub ekstremalnie trudne dla dowolnego użytkownika usług finansowych w sieci. Co jednak z tym "firewallem"? Cała ta terminologia jest mylna i obca. Może lepiej by człowiek był partnerem w ekosystemie usług finansowych, a jako partner - świadomy swojej roli i odpowiedzialności? Jest to o tyle ważne, że cały system finansowy staje się coraz bardziej rozmyty, gdzie termin "partner biznesowy" staje się rozszerzać bardzo szybko. Klient dzisiaj jest już bardziej partnerem biznesowym niż tylko klientem. W to parterstwo wchodzi ze swoją technologią po stronie końcowki, ale i w ramach oczekiwanych usług konsumenckich, np. mikropłatności, usług społecznościowych, w tym i finansowych jak i osławionej technologii rejestru rozproszonego - blokchainu. Można chociaż spróbować?

TowariszczJacho
sobota, 9 lutego 2019, 17:59

Dlatego, że "najsłabszym ogniwem jest człowiek" to należy przewidywać co może się wydarzyć i stosować mechanizmy przeciwdziałające uprzedzająco a nie "post factum" nie będzie podszywania się jeśli zostaną wdrożone wytyczne PSD2 w zakresie kryptografii z kluczami jednorazowymi ... zintegrowane z silnym uwierzytelnianiem np. 2FA ... aktualnie Banki mają tak skonstruowane umowy i regulaminy, że mogą przerzucać odpowiedzialność na klienta pod pretekstem "nie zachowania należytych środków ostrożności" co jest jawnym .... gdyż Bank musi udowodnić, że klient nie zachował należytych środków ostrożności ... jednakże, Prokuratury umażają postępowania i każą skierować sprawy na drogę cywilną - generalnie uzasadnieniem jest "nie wykrycie sprawcy" ... a czyż nie Bank dysponuje środkami zgromadzonymi na koncie ... i czy to nie bank powinien sprawdzić np czy od transakcji "fikcyjnej" lub podejrzanej odprowadzono transakcji odprowadzono np podatek w kraju docelowym ...?

Reklama
Reklama
Tweets CyberDefence24