Kto ryzykuje w internecie?

Ciągłe innowacje technologiczne i konkurencja pomiędzy istniejącymi organizacjami bankowymi i instytucjami wchodzącymi na rynek umożliwiły klientom detalicznym i hurtowym dostęp do znacznie szerszego zakresu usług i produktów bankowych oraz ich dostarczanie poprzez elektroniczny kanał dystrybucji, nazywany powszechnie bankowością elektroniczną. Rosnące potrzeby klientów - coraz bardziej świadomych przemian zachodzących z biegiem czasu oraz śmiało przeobrażających się w członków społeczeństwa informacyjnego, świadomych udogodnień technologicznych - stały się motorem dla banków w rozpoczętym pędzie ku nowoczesności. Zwycięzcą miał być ten, kto najlepiej dostosuje swoją ofertę do potrzeb rynku. Rozwój funkcjonalności portali internetowych utrzymywanych przez banki oraz realizowana polityka biznesowa i cenowa doprowadziły do wzrostu znaczenia internetowego kanału świadczenia usług bankowych. W ślad za nim stopniowej zmianie ulega charakter czynności wykonywanych w oddziałach banków, które w miejsce czynności dysponenckich i kasowych, w większym stopniu pełnią dziś rolę sprzedażową i doradczą. Klienci przenoszą się do wirtualnego świata bankowego. Na koniec pierwszego kwartału 2011 roku z bankowości internetowej aktywnie korzystało 9,3 mln Polaków. Liczba klientów indywidualnych posiadających dostęp do bankowości internetowej wyniosła ponad 16,5 mln osób, tj. o około 300 tys. więcej niż na koniec 2010 roku.

Podstawowym stymulatorem rozwoju bankowości elektronicznej po stronie banków stał się rachunek ekonomiczny. Elektroniczne kanały są najtańszym sposobem dystrybucji i realokacji usług bankowych. Po stronie klientów oprócz bodźca kosztowego stałą rolę odgrywa zmiana behawioralna związana z upowszechnieniem usług internetowych oraz wzrostem poziomu edukacji. Wprowadzanie rozwiązań rozwiniętej technologii elektronicznej zwiększa efektywność działalności operacyjnej banków, zmniejsza koszty operacji detalicznych oraz zwiększa ich szybkość i pewność. Sprawia, że rozszerza się znacznie krąg potencjalnych odbiorców usług bankowych.

E-banking wdrażany jest przez różne typy przedsiębiorstw bankowych, od tych w tradycyjnym pojęciu, do tych o zupełnie nowoczesnej organizacji. Największą jednak grupę banków obecnych w internecie stanowią tradycyjne, uniwersalne banki, które włączyły do swojej oferty jeszcze jeden kanał dystrybucji. Proces zarządzania ryzykiem banku nie może zatem ignorować stałej ewolucji form działalności operacyjnej. Co więcej, powinien możliwie szybko dostosowywać się do zmieniającego się środowiska przez zabezpieczanie banku przed nadmierną ekspozycją na ryzyko. W bankowości problem ten ma podstawowe znaczenie ze względu na traktowanie banków jako szczególnego rodzaju instytucji zaufania publicznego. Nowe obszary działalności operacyjnej banków generują nowe, dotychczas niewystępujące, zagrożenia i są źródłem występowania nowych klas ryzyka. Istotne zmiany w działalności banków - będące skutkiem postępującej globalizacji, wzrostu konkurencji, informatyzacji, automatyzacji i rozwoju usług bankowych - stały się główną przesłanką nowego spojrzenia na proces zarządzania ryzykiem operacyjnym. Dominującym dziś źródłem dla ryzyka operacyjnego jest zawodność systemów (technologia), a niezwykle istotnym - poziom bezpieczeństwa danych. W celu prostszego przetwarzania transakcji elektronicznych, strony internetowe służące do zawierania transakcji bankowości elektronicznej i związane z nimi aplikacje są zintegrowane w najwyższym możliwym stopniu z pozostałymi systemami informatycznymi banku. Takie bezpośrednie zautomatyzowane przetwarzanie danych zmniejsza możliwość wystąpienia ludzkich błędów i oszustw, stanowiących nieodłączny element transakcji ręcznych, zwiększa jednak uzależnienie od solidności zaprojektowania i architektury systemów, jak również od ich możliwości współpracy z innymi systemami, a także operacyjnej pojemności systemu. Wobec scentralizowania systemów informatycznych i scentralizowania struktury organizacyjnej awarie systemów informatycznych lub błędy w procedurach nie dotyczą dzisiaj pojedynczych placówek bankowych, ale przekładają się na funkcjonowanie całego banku i mogą spowodować znaczne straty finansowe, a tym samym utratę reputacji.

Zainicjowanie badań nad problematyką zarządzania ryzykiem w bankowości elektronicznej nastąpiło w 1998 roku z inicjatywy Bazylejskiego Komitetu ds. Nadzoru Bankowego. W toku prowadzonych badań powołana do tego celu Grupa ds. Bankowości Elektronicznej (EGB), stwierdziła, że bankowość elektroniczna modyfikuje niektóre rodzaje ryzyka bankowego, a w szczególności wpływa na wzrost zagrożenia ryzykiem operacyjnym. Bazylejski Komitet ds. Nadzoru Bankowego, wychodząc naprzeciw ww. zagrożeniom, w dokumencie z maja 2001 roku pt. "Zasady zarządzania ryzykiem w bankowości elektronicznej" wskazał na konieczność identyfikacji, analizy i ostrożnościowego zarządzania ryzykami wynikającymi z podstawowych cech bankowości elektronicznej.

Cechy te obejmują bezprecedensową szybkość zmian w zakresie innowacji technologicznych i obsługi klienta, wszechobecny, globalny charakter otwartych sieci elektronicznych, integrację aplikacji bankowości elektronicznej z pozostałymi systemami informatycznymi oraz rosnące uzależnienie banków od stron trzecich dostarczających niezbędnej technologii informatycznej (outsourcing). Komitet zauważył, że cechy te - nie tworząc całkowicie nowych ryzyk - zwiększyły i zmodyfikowały niektóre tradycyjne ryzyka związane z działalnością bankową, w szczególności ryzyko operacyjne, prawne i reputacji, wywierając przez to wpływ na ogólny profil ryzyka bankowości. Znaczenie cech determinujących istnienie ryzyka operacyjnego wzmacniają następujące czynniki:

• stosowane systemy informatyczne, jak również oprogramowanie obsługujące dziedzinę gospodarki elektronicznej, które w znacznym stopniu pochodzi z zewnątrz i jest nabywane jako gotowy produkt, są wyjęte spod niemal pełnej kontroli stosujących je organizacji;
• użytkownikami takich systemów zostają tysiące osób o różnej wiedzy, świadomości, kulturze technicznej i społecznej, o różnych wyobrażeniach, oczekiwaniach odnoszących się do tego systemu, coraz częściej żyjące w różnych krajach i mówiące różnymi językami;
• liczba użytkowników systemu w ogóle i liczba korzystających w jednym momencie - w skali doby i kalendarza - jest trudna do przewidzenia;
• każde potknięcie, niedoskonałość, awaria systemu natychmiast staje się sprawą publiczną, na ogół bezbłędnie wykorzystywaną przez konkurencję.

Sformułowane przez Bazylejski Komitet "Zasady zarządzania ryzykiem w bankowości elektronicznej" nie usiłują ustanawiać konkretnych rozwiązań lub standardów technicznych dotyczących bankowości elektronicznej. Nie ustalają szczegółowych wymogów w zakresie zarządzania ryzykiem w obszarze bankowości elektronicznej ze względu na tempo zmian w zakresie innowacji technologicznych i innowacji w zakresie obsługi klienta. Z tego względu, w celu promowania bezpieczeństwa i dobrego funkcjonowania bankowości elektronicznej, komitet wolał wyrazić oczekiwania i wskazówki nadzorcze w formie zasad zarządzania ryzykiem. Tym bardziej, że profil ryzyka każdego banku jest inny i wymaga dostosowania metody redukcji ryzyka do skali operacji bankowości elektronicznej, istotności występujących ryzyk oraz woli i zdolności instytucji do zarządzania tymi ryzykami. Oznacza to, że metoda "jednego rozmiaru dla wszystkich" w zagadnieniach zarządzania ryzykiem w bankowości elektronicznej nie jest odpowiednia. Ryzyka, które są charakterystyczne dla operacji związanych z bankowością elektroniczną generalnie nie są nowe. Zawierają się w dotychczasowych kategoriach ryzyka działalności bankowej. Odmienny jest natomiast sposób ich powstawania. Ryzyko operacyjne jako podstawowa forma ryzyka w bankowości elektronicznej zależy od możliwości powstania strat banku z powodu niewystarczającej pewności i spójności systemu elektroniczno-informatycznego. Produkty bankowości elektronicznej, a zwłaszcza bankowości internetowej, narażone są (tak samo jak to jest w przypadku innych obszarów działalności bankowej) na potencjalną próbę "złamania systemu" w celach przestępczych. Taki "atak" na istniejący system może być atakiem zewnętrznym, ale może także pochodzić z wewnątrz systemu. Ryzyko operacyjne może pochodzić z potencjalnego błędu klienta bądź też z błędu w projektowaniu i tworzeniu systemu bankowości elektronicznej. W ramach ryzyka operacyjnego występuje wiele ryzyk cząstkowych, które można opisać jako ryzyko: bezpieczeństwa, projektowania i rozbudowy systemów informatycznych oraz ryzyko błędu klienta.

Bezpieczeństwo bankowości internetowej wiąże się z nieufnością klientów do nowych technologii, ponieważ wiele nowych zagrożeń powstało wraz z pojawieniem się elektronicznych kanałów dystrybucji usług bankowych. System bankowości elektronicznej można uznać za bezpieczny wówczas, gdy podstawowe atrybuty bezpieczeństwa osiągają poziom akceptowany zarówno przez bank, jak i jego klientów. Wśród atrybutów bezpieczeństwa bankowości internetowej należy wyróżnić następujące cechy:

• poufność - zapewnienie dostępu do systemu tylko osobom do tego uprawnionym,
• integralność - uniemożliwienie modyfikacji danych przesyłanych w czasie dokonywania transakcji,
• autentyczność - możliwość stwierdzenia czy osoba podpisana pod transakcją jest w rzeczywistości osobą, która jej dokonała,
• niezaprzeczalność - brak możliwości zaprzeczenia nadania lub odebrania określonego komunikatu drogą elektroniczną,
• dostępność - nieprzerwany dostęp do systemu bankowości elektronicznej,
• niezawodność - poprawne działanie systemu.

Problematyka bezpieczeństwa bankowości elektronicznej jest bardzo szeroka i dotyczy zarówno technologicznych jak i prawnych i organizacyjnych interakcji pomiędzy bankiem a klientem. Kluczowe znaczenie ma jednak obszar ryzyka informatycznego. Konieczność sprostania wymogom klientów, konkurencji i otoczenia biznesowego z jednej strony, a otoczenia regulacyjnego i nadzorczego z drugiej, zmusiła banki do realizacji takich strategii informatyzacji, które mogą promować i wspomagać nowe kanały dystrybucji usług bankowych przy jednoczesnym zapewnieniu ich niezakłóconego i bezpiecznego funkcjonowania. Ze względu na liczne awarie portali bankowości elektronicznej w ciągu ostatniego roku temat bezpieczeństwa transakcji elektronicznych coraz częściej stawał się tematem publicznym.

Obserwując ten trend, firma doradcza KPMG we współpracy z "Miesięcznikiem Finansowym Bank" i pod patronatem Związku Banków Polskich, w ramach drugiej edycji badań funkcji IT w polskich bankach, opublikowała w 2011 roku dokument o nazwie "Bezpieczeństwo IT w bankach". Podstawowym celem badania była analiza bezpieczeństwa polskiego sektora bankowego. Badaniem został objęty szeroki wachlarz zagadnień z zakresu bezpieczeństwa IT. W szczególności zbadano kwestie obrazujące poziom dojrzałości bezpieczeństwa w polskich bankach, tj. jakie kanały transakcji elektronicznych udostępniane są klientom, jakie są główne czynniki powodujące zagrożenia bezpieczeństwa realizowanych transakcji oraz w jaki sposób banki im zapobiegają. W badaniu (prowadzonym w okresie od września do listopada 2010 roku) wzięło udział łącznie około 23 proc. banków komercyjnych działających w Polsce (na koniec listopada 2010 funkcjonowało 49 banków), które stanowią 29 proc. grupy banków komercyjnych udostępniających kanał bankowości internetowej.

Oznacza to, że w badaniu wziął udział blisko co trzeci bank komercyjny posiadający kanał bankowości internetowej. Analizy zawarte w ww. dokumencie wykazały, iż przedstawiciele banków w Polsce zajmują się problematyką bezpieczeństwa w sposób ciągły i kompleksowy. Aż 82 proc. badanych wskazało wzrost poziomu bezpieczeństwa kanałów elektronicznych, zaś 18 proc. stwierdziło, iż pozostał na niezmienionym poziomie. Ww. wyniki potwierdzają malejący wpływ kryzysu finansowego z lat 2008-2009 na funkcjonowanie banków i sukcesywne zwiększanie środków finansowych przeznaczanych przez banki na zapewnienie bezpieczeństwa systemów informatycznych (82 proc. respondentów wykazało 50-proc. wzrost wydatków związanych z bezpieczeństwem w skali roku, natomiast pozostali ich spadek o 30 proc.). Najbardziej popularnym kanałem bankowości elektronicznej udostępnionym klientom jest bankowość internetowa - wg badań KPMG kanał ten oferuje aż 91 proc. badanych respondentów. Na drugim miejscu, z wynikiem 82 proc., znajduje się dostęp telefoniczny realizowany przez centrum obsługi telefonicznej. Stosunkowo najmniej popularnymi kanałami realizacji transakcji elektronicznych okazały się usługi WAP oraz dedykowane aplikacje mobilne w telefonach komórkowych. Popularność WAP oraz aplikacji mobilnych z pewnością będzie rosła na przestrzeni lat ze względu na znaczny wzrost dostępności smartfonów w Polsce - jednakże mało prawdopodobne jest zastąpienie przez nie bankowości internetowej.

KPMG analizując popularność kanałów transakcji elektronicznych wskazała, że bankowość internetowa udostępniana przez banki stanowi aż 43 proc. wszystkich udostępnianych kanałów elektronicznych. Tak duży udział spowodowany jest rosnącym zasięgiem internetu w Polsce, jak również zwiększającą się świadomością technik informatycznych wśród Polaków. Struktura udostępnianych kanałów elektronicznych znajduje swoje odzwierciedlenie w badaniach zachowań klientów banków. Obecnie 53 proc. użytkowników internetu w Europie korzysta z bankowości internetowej. Polscy klienci w tym zakresie mają wiele do nadrobienia - należy jednak pamiętać, że tylko 52 proc. gospodarstw domowych w Polsce posiada dostęp do internetu, podczas gdy średnia w UE wynosi 57 proc. W Polsce bardziej istotny wydaje się wzrost odsetka dorosłych osób korzystających z bankowości internetowej, który z poziomu 5 proc. w 2005 roku zwiększył się do 19 proc. w 2009 roku.

Mimo dojrzałości usług bankowości internetowej na rynku wciąż brakuje świadomości dotyczącej bezpieczeństwa. W ostatnich latach widoczność incydentów związanych z elektronicznymi kanałami realizowania transakcji elektronicznych wzrosła. Sytuacja ta dotyczy w szczególności kanałów bankowości internetowej. Jak wskazują wyniki badania prowadzonego przez KPMG, główną przyczyną incydentów bezpieczeństwa w kanałach elektronicznych jest niska świadomość klientów. Zagrożenie to wskazało ponad 90 proc. banków uczestniczących w badaniu, co w przełożeniu stanowi blisko 50 proc. udzielonych odpowiedzi. Mamy tu do czynienia z sytuacją, w której klienci banków uważają bezpieczeństwo bankowości internetowej za bardzo ważne, a jednocześnie nie przykładają się do zapewnienia stosownego bezpieczeństwa swoim komputerom. Łatwo dojść do wniosku, że wynika to z niedostatecznej świadomości większości klientów, zarówno w zakresie zagadnień związanych z bezpieczeństwem bankowości internetowej, jak i zagadnień związanych z bezpieczeństwem komputerów i ich higienicznym użytkowaniem. Banki zauważając tę sytuację, inwestują w działania mające na celu zwiększanie świadomości klientów kanałów elektronicznych w zakresie bezpieczeństwa realizowanych przez nich transakcji. Stosowane metody w tym zakresie to publikowanie ostrzeżeń i rekomendacji bezpośrednio w interfejsach dostępu do kanałów elektronicznych (73 proc.) oraz akcji marketingowych promujących bezpieczeństwo na stronach banku (64 proc.). Innym, najczęściej wskazywanym zagrożeniem bankowości elektronicznej są luki w bezpieczeństwie oferowanych rozwiązań (blisko 30 proc. wszystkich zagrożeń) oraz niewystarczające mechanizmy bezpieczeństwa zaimplementowane w kanałach elektronicznych. Problemy te mogą wynikać z wielu powodów. Główne z nich to dostarczanie przez dostawców oprogramowania niedostatecznie przetestowanego, niewystarczającej jakości (niespełniającego powszechnie uznanych standardów bezpieczeństwa). Z historycznego punktu widzenia nowe aplikacje bankowe wprowadzane były w ciągu relatywnie długich okresów oraz po dogłębnym przetestowaniu. Obecnie banki doświadczają presji ze strony konkurencji na przygotowanie nowych aplikacji operacyjnych w bardzo ograniczonych ramach czasowych, częstokroć w ciągu zaledwie kilku miesięcy od koncepcji do produkcji.

Jednym z podstawowych mechanizmów wykorzystywanych przez banki w celu podniesienia poziomu bezpieczeństwa kanałów elektronicznych są tzw. okresowe testy penetracyjne. Testy penetracyjne pozostają bardzo popularną metodą oceny bezpieczeństwa kanałów elektronicznych i sposobem identyfikacji ich potencjalnych słabości. Ponad 90 proc. banków uczestniczących w badaniu prowadzonym przez KPMG wykonuje zewnętrzne testy penetracyjne infrastruktury informatycznej (testy wykonywane z sieci), a ponad 80 proc. testy aplikacji webowych. Jedynie 45 proc. z ankietowanych wykonuje testy wewnętrzne infrastruktury informatycznej. Może to oznaczać, że banki postrzegają środowisko zewnętrzne jako bardziej ryzykowne niż środowisko wewnętrzne. O ile sam fakt wykonywania testów penetracyjnych jest bardzo ważny, nie bez znaczenia jest częstotliwość ich wykonywania. Periodyczność realizacji testów bezpieczeństwa ma kluczowe znaczenie, gdyż są one ważne jedynie w określonym momencie (ich realizacji). Oznacza to tym samym, że już po dniu wykonania testów bezpieczeństwa pojawiają się zagrożenia nowego typu. Najważniejszym wnioskiem dotyczącym testów bezpieczeństwa wg KPMG jest to, że banki dostrzegają ryzyka związane z bankowością elektroniczną i stosują podejście proaktywne mające na celu identyfikowanie ewentualnych luk zanim zostaną odkryte i wykorzystane przez "świat zewnętrzny" i objawią się w formie naruszenia bezpieczeństwa. Dlatego też nieodłącznym elementem budowy bezpiecznego środowiska informatycznego, obok podstawowych mechanizmów zabezpieczeń (tj. haseł dostępu, haseł jednorazowych, tokenów fizycznych), są odpowiednie mechanizmy bezpieczeństwa natury technicznej. Banki stosują zazwyczaj kilka rodzajów zapór (tzw. firewall) oraz systemy detekcji intruzów (IDS - Intrusion Detection Systems).

Bankowość w Polsce podlega podobnym mechanizmom jak bankowość w innych krajach, w tym globalizacji, konsolidacji i elektronizacji rynków finansowych. Wzrost konkurencyjności banków prowadzących działalność operacyjną zależy dziś w dużej mierze od rozwoju bankowości elektronicznej. Banki wykorzystujące nowoczesne technologie informacyjne (IT), na których opiera się e-banking, zyskują przewagę konkurencyjną i budują wizerunek nowoczesnych, wychodzących naprzeciw potrzebom klientów. Wdrażanie bankowości elektronicznej, opartej na technologii IT to:

• żywa reakcja banków na zmiany dokonujące się na rynku finansowym;
• podjęcie wyzwania wzrastającej konkurencji w obliczu utraty swej dotychczasowej uprzywilejowanej pozycji na rynku;
• odpowiedź na zmieniające się potrzeby i oczekiwania klientów.

Postęp technologiczny stworzył niespotykane wcześniej możliwości, a obok scalonego rynku finansowego umożliwił ukształtowanie się globalnego rynku elektronicznego - przejrzystego, pozbawionego barier odległości, czasu i dostępu, o niskich kosztach transakcyjnych. Problem zapewnienia szeroko rozumianego bezpieczeństwa jest nieodzownym elementem bankowości. Stworzenie odpowiednich mechanizmów ochrony stanowi jeden z kluczowych czynników pozwalających bankom funkcjonować sprawnie i bez większych zakłóceń. Działania banków w kierunku bezpieczeństwa IT powinny ulegać ciągłej intensyfikacji. Technologie informatyczne są jedną z najszybciej rozwijających się dziedzin, co w konsekwencji prowadzi do rosnącej liczby zagrożeń oraz ryzyk z nimi związanych. Przeniesienie działań bankowych na platformę globalnej sieci przyniosło całkiem inne oblicze zagrożeń. Pojawiły się nowe, nieznane do tej pory metody oszustw i przestępstw charakterystyczne dla internetu, który jest siecią otwartą, szczególnie podatną na ingerencję z zewnątrz. Konieczne stało się wypracowanie mechanizmów ochrony, które będą odpowiadały specyfice niebezpieczeństw czyhających w ogólnodostępnej sieci oraz przekonanie społeczeństwa o ich skuteczności. Ograniczanie ryzyka wyraża się także w edukacji klientów banku w zakresie właściwego korzystania z usług bankowych przez internet. Istotnym warunkiem prowadzenia właściwej polityki bezpieczeństwa bankowych operacji elektronicznych jest opracowanie przez bank odpowiednich procedur bezpieczeństwa, a podmioty korzystające z tych usług bezwzględnie powinny przestrzegać tych zabezpieczeń. Im wyższa będzie świadomość klientów w obszarze bezpieczeństwa korzystania z bankowości internetowej, tym niższe będzie w tej sferze ryzyko po stronie banków.

Wojciech Trójca

doktorant Uniwersytetu Ekonomicznego w Katowicach