Banki. Cyberterroryzm to nowa rzeczywistość
Banki do walki o klienta szykują całe arsenały nowej technologicznej broni, ale pandemia, a teraz wojna pokazały, że najważniejszym polem bitwy jest to o cybernetyczne bezpieczeństwo instytucji i ludzi. Państwo niestety nie pomaga. Tworzy stosy marnych ustaw, a pomija kwestie kluczowe dla bezpiecznego rozwoju technologii i ich stosowania.
BIZNES INTERIA na Facebooku i jesteś na bieżąco z najnowszymi wydarzeniami
- W coraz większym stopniu kwestie cyberbezpieczeństwa decydują o tym, jakie rozwiązania wybieramy - mówił podczas Forum Bankowego Związku Banków Polskich Mirosław Skiba, prezes SGB Banku.
Kiedy wybuchła pandemia setki tysięcy klientów banków rozpoczęło przyspieszony kurs dokonywania zdalnie płatności, innych operacji, zakładania rachunków, zdalnej komunikacji z bankowcami, rozmów z chatbotami. Uaktywnili się cyberprzestępcy poszukujących słabych punktów i możliwości kradzieży pieniędzy.
Napaść Rosji na Ukrainę i wojna spowodowały, że polskie banki prawdopodobnie po raz pierwszy na taką skalę doświadczyły cyberterroryzmu. Doznały zmasowanych ataków DDoS, polegających na wysyłaniu zapytań po to, żeby zająć wszystkie wolne zasoby i uniemożliwić działalność operacyjną. Fakt, że banki działały nawet w czasie najbardziej dotkliwych ataków świadczy o odporności polskiego sektora.
- Cyberterroryzm okazał się nową skalą zjawiska - powiedział Marcin Giżycki, wiceprezes ING Banku Śląskiego.
- To jest wyścig z przestępcami, staranie się, by być przed nimi i podwyższać koszty ataków, bo to jeden z podstawowych warunków obrony - dodał.
A równocześnie klienci dostrzegli korzyści z tego, że banki świadczą coraz więcej usług zdalnie i zaczęli się domagać ich rozszerzania. Marcin Bartoszewski, dyrektor w firmie doradczej EY na podstawie badań przeprowadzonych wśród klientów mówi, że podejście wielu z nich do usług bankowych całkowicie się zmieniło. Usługa ma być dostępna na zawołanie. No - powiedzmy - na kliknięcie.
- Myślą tak: jeśli jestem w stanie jednym kliknięciem zamówić ubera, to dlaczego nie mogę dostać kredytu hipotecznego? Presja klientów, żeby przyspieszać procesy i je upraszczać będzie olbrzymia - powiedział Marcin Bartoszewski.
Tymczasem upraszczanie i przyspieszanie procesów wiąże się często z pokusą odejścia od twardych zasad bezpieczeństwa. Dlatego europejskie prawo w dyrektywie PSD2 wprowadziło zasadę dwuskładnikowego uwierzytelnienia, żeby nie wystarczyło jednym kliknięciem otworzyć drzwi do banku.
- Klient oczekuje łatwości w kontakcie z bankiem, a im łatwiej, szybciej, tym bardziej niebezpiecznie - powiedział Piotr Kwiatkowski, prezes Credit Agricole Bank Polska.
Dlatego bankowcy rozróżniają dwa obszary kryjące się pod jednym hasłem - cyberbepieczeństwo. Jeden to ataki na banki. Drugi - to socjotechniczne ataki na klientów, wykorzystujące najczęściej na naiwność, nieuwagę, pośpiech, niewystarczającą dbałość czy też brak wiedzy. Skutek jest taki, że ludzie instalują na swoich urządzenia zdalny pulpit, zwierzają się rzekomemu pracownikowi banku z haseł, logują się na oszukańcze platformy itp. Banki mają świadomość, że musza inwestować w oba te obszary ogromne pieniądze.
Ale klient nie tylko chce szybciej i łatwiej. Chce, żeby cały świat (a przynajmniej bank) kręcił się wokół niego. Marcin Bartoszewski mówi, że oprócz upraszczania i przyspieszania obsługi równocześnie lawinowo rosną oczekiwania konsumentów co indywidualizacji (zdalnej) obsługi i oferty produktowej. Oczekuje tego już ponad 40 proc. klientów banków. To równocześnie okazja dla banków na zwiększenie wartości transakcji przypadających na jednego klienta. Na czym to ma polegać?
Piotr Kwiatkowski tłumaczy, że bank ma ok. 10 tys. partnerów, którzy oferują różne zniżki. Oczywiście żaden klient nie będzie miał ochoty przeglądać 10 tys. ofert. Ale kiedy klient szuka jakiegoś konkretnego produktu, bank mógłby przysłać mu reklamę od swoejego partnera. Osoba, która przechodzi koło sklepu może dostać do apki informacje, na jakie może liczyć w nim rabaty. Narzędziem do tego jest analiza behawioralna, czyli zachowania klienta.
Grupa Polsat Plus i Fundacja Polsat razem dla dzieci z Ukrainy
Marcin Bartoszewski dodaje, że banki stosujące zaawansowane techniki personalizacyjne i analizę behawioralną odnotowują potężny wzrost zainteresowania klientów finansowaniem. Szybka odpowiedź banku na to, czego klient szuka i gotowość udostępnienia mu finansowania spowodowała w brytyjskich gigantach jak HSBC czy RBS wzrost wniosków o kredyt aż 4-5 razy.
Analiza behawioralna może też pomóc bankom w weryfikacji tożsamości klienta. Chodzi o takie odruchy, jak sposób posługiwania się muszką, czy pisania na klawiaturze.
- Może to spowodować odejście od tradycyjnych metod (weryfikacji tożsamości). Zachowanie klienta jest nie do podrobienia - powiedział Piotr Kwiatkowski.
Santander Bank Polska dostrzegł, że zwykła rozmowa wideo może być sposobem nie tylko na nawiązanie relacji klienta z bankiem, ale także potwierdzeniem autentyczności osoby, jeśli zastosować biometrię twarzy i głosu.
Kolejną rakietą, którą z arsenału wyciągają banki jest sztuczna inteligencja. Obecnie operacje bankowe - a jest ich setki tysięcy w ciągu sekundy - kontrolowane są przez systemy automatyczne, ale automaty to jeszcze nie sztuczna inteligencja. Przykłady? Automaty zatrzymują operacje, kiedy dostrzegą tzw. czerwone flagi, a więc odstępstwa od normy pozwalające sądzić, że w operacji jest coś podejrzanego. Te odstępstwa dotyczą możliwości wyłudzeń, prania brudnych pieniędzy czy też prób obchodzenia sankcji. W sumie w średnim banku takich alertów dziennie jest 500-600. Potem ich analizą zajmują się ludzie.
I tu właśnie pojawia się miejsce dla sztucznej inteligencji, bo ludzi mogłyby zastąpić automaty, które uczą się same. Mogłyby poddawać dane analizie i dzięki temu znacznie lepiej profilować działania przestępców.
- Cyberbepieczeństwo idzie wskroś przez wszystkie te obszary - powiedział prezes Krajowej Izby Rozliczeniowej Piotr Alicki.
Największy kłopot, jaki mają banki, to nie walka z cyberprzestępczością i dostarczanie klientom coraz bardziej dopasowanych usług do ich rosnących oczekiwań, ale prawo. Brzmi to paradoksalnie, ale wynika to z tego, że prawo nie nadąża ani za koniecznością zapewnienia bankom i ich klientom bezpieczeństwa, ani też za potrzebami tworzenia zautomatyzowanych i zdalnych usług. A równocześnie w Polsce galopuje inflacja prawa.
Według ostatniej edycji raportu "Barometr prawa" firmy Grant Thornton, produkcja prawa znowu przyspieszyła, a równocześnie pogarsza się jego jakość. W 2021 roku wprowadzono w Polsce 20960 stron nowego prawa, czyli o 40,5 proc. więcej niż przed rokiem. Raport wskazuje na pośpiech, brak konsultacji i łamanie standardów, co spowodowało m.in. chaos związany z tzw. Polskim Ładem.
A równocześnie mimo tysięcy nowych przepisów Polska pozostaje jednym krajem w Unii, który nie zdefiniowanej w Kodeksie Pracy pracy zdalnej. Nie ma przepisów dotyczących komunikacji elektronicznej. Przy zmianie stóp procentowych banki musiałyby co miesiąc wysyłać do klientów miliony listów, gdyby nie opinia urzędu, że mogą wysyłać je mailem.
- Prawodawstwo nie stanęło na wysokości zadania (...) wszystko działa na zasadzie prawa powielaczowego - mówił wiceprezes ZBP Tadeusz Białek.
"Barometr prawa" Grant Thornton pokazuje, ze 2021 roku wprowadzono w życie o 44 proc. więcej stron rozporządzeń niż w 2020 roku. Rozporządzenia miły objętość 16,8 tys. stron.
Jacek Ramotowski
***
