Cyfrowy świat pochłonął życie ludzi, musi być bardziej bezpieczny

- Świat cyfrowy wkroczył w życie ludzi i stał się miejscem realizacji ich potrzeb - mówił podczas zdalnej dyskusji w ramach "Kwadransa z Europejskim Kongresem Finansowym" Piotr Alicki, prezes Krajowej Izby Rozliczeniowej.

Czy ktoś jeszcze parę lat temu słyszał o "internetowym koncie pacjenta", e-recepcie albo e-skierowaniu? To brzmiało jak bajki. A dziś wybrzydzamy, jeśli po papierek trzeba przespacerować się do przychodni, bo coś tam z czymś innym jeszcze nie zostało połączone. Jeszcze kilka lat temu w Polsce było kilkadziesiąt tysięcy profili zaufanych, bo nikomu to nie było potrzebne. Dziś jest ich ponad 9 milionów.

To wszystko - cały cyfrowy świat - opiera się na jednym fundamencie. Jest nim potwierdzenie tożsamości. Aptekarz musi mieć pewność, że wydaje lekarstwa dla osoby, której przepisał je lekarz. Gdyby było inaczej, ludzie by się potruli jedząc nieprzepisane im leki jak cukierki.   

Dlatego kluczowo ważny jest sposób "potwierdzenia tożsamości" i model w jakim taki proces działa. Piotr Alicki wspomina, że w latach 2015-16 w Polsce trwała nad tym gorąca dyskusja. Faktycznie, w tym czasie władza chciała za wszelką cenę, żeby był to model "centralny", bo nie chciała wypuścić z rąk tak ważnej metody nadzoru na społeczeństwem. Ale na przeszkodzie stanął zbieg okoliczności. Po pierwsze rząd z budową "centralnego" systemu nie za bardzo potrafił sobie poradzić. A po drugie - trzeba było ludziom szybko rozdać 500+.

To przesądziło, że zadanie potwierdzania tożsamości powierzono bankom i wybrano model "federacyjny". Polega on na tym, że istnieje wielu różnych "dostawców" poświadczania tożsamości. Wybór padł na banki dlatego, że to one już dawano już zbudowały dobrze działająca bankowość elektroniczną, która nie może się obyć bez identyfikacji i uwierzytelnienia klienta.

- Został wybrany model oparty o rozwiązania bankowości elektronicznej - mówił Piotr Alicki.

Bankowość elektroniczna ma w Polsce historię sięgającą ostatnich lat zeszłego stulecia. Cyfrowe usługi bankowe przez lata zwiększały dystans do pozostałej części "analogowej" gospodarki, a przede wszystkim usług publicznych, wymagających stania w kolejkach do okienka. W końcu, także dzięki KIR - która stała się z izby rozliczeniowej banków hubem rozwiązań technologicznych służącym nie tylko bankom, ale administracji i całej gospodarce - cyfrowa bankowość pociągnęła za sobą znaczną część cyfryzujących się stopniowo usług publicznych.

- Bankowość cyfrowa była już bardzo popularna (przed pandemią), ale okazało się, że cała sfera usług publicznych staje się też cyfrowa. Okazało się, że załatwienie sprawy z urzędem jest możliwe do cyfryzacji - mówił Mirosław Skiba, prezes SGB Banku, zrzeszającego banki spółdzielcze.

I dodaje, jak SGB Bank jeszcze przed wybuchem pandemii planował wprowadzenie dla swoich klientów możliwości dostępu do usług administracji publicznej. To nie był jednak najważniejszy priorytet. Miało to zająć dziewięć miesięcy. Gdy wybuchła pandemia prace przyspieszyły, bo pojawił się gigantyczny popyt na e-recepty, e-skierowania, e-zwolnienia a w końcu także na zapisy na szczepienia. Cyfrowe ID dla klientów zrzeszonych banków spółdzielczych SGB wprowadził w niespełna trzy miesiące.

- To było gigantyczne przyspieszenie - powiedział Mirosław Skiba.

Ta historia sukcesu cyfryzacji usług prywatnych i publicznych (a do tego dodać trzeba jeszcze ogromną rzeszę klientów, którzy ruszyli na zakupy internetowe) ma swoją niepokojącą stronę. To cyberprzestępczość. Skoro fundamentem cyfrowego świata jest identyfikacja tożsamości, fundamentem cyberprzestępczości staje się kradzież tożsamości lub podszycie się pod cudzą.     

- Upowszechnienie usług cyfrowych i wykorzystywanie usług zdalnych, wymagających wzajemnej identyfikacji partnerów, niesie za sobą wzrost cyberprzestępczości. Obserwujemy wzrost wszelkiego rodzaju cyberataków - mówił Piotr Alicki.

- Okazało się, ze cyberbepieczeństwo staje się jednym z najważniejszych zagadnień w instytucjach finansowych - dodał Mirosław Skiba.

Piotr Alicki mówi, że cyberataki skoncentrowane są przede wszystkim na klientach. Polegają głównie na tym, że przestępcy, poprzez rozmaite socjotechniki, próbują klienta banku przekonać do wykonania pewnych czynności pod ich dyktando. Ktoś dzwoni podszywając się pod pracownika banku i mówi o włamaniu na twoje konto? Udostępnij mu pulpit zdalny. I jesteś w pułapce.

- Socjotechniki nie przełamują zabezpieczeń technicznych, ale przekonują do wykonania rożnych czynności, których skutków klient nie jest nawet świadom - mówił prezes KIR.

Co w tej sytuacji mogą zrobić banki, które nie tylko dają klientom dostęp do ich pieniędzy, ale także do całego cyberświata różnego rodzaju usług? A same chcą także czerpać zyski z tego, że będą dostarczać swoim klientom usługi różnych partnerów tworząc takie platformy. Muszą wciąż zwiększać czujność i doskonalić zabezpieczenia. A do tej pory konkurowały ze sobą szybkością i łatwością korzystania z własnych usług.

Piotr Alicki uważa, że wymogi bezpieczeństwa są ważniejsze niż pozytywne doświadczenie klienta polegające na szybkości i łatwości korzystania z płatności, robienia przelewów, czy dostępu innych usług. Być może klient będzie musiał poświęcić nieco więcej czasu, by zapłacić, niż samo przyłożenie telefonu do terminala, być może będzie musiał przejść przez jedną więcej bramkę identyfikacyjną by zatwierdzić przelew. Ale bank nie może mu tego w nieskończoność ułatwiać kosztem bezpieczeństwa.

Niedawno opublikowany przez Warszawski Instytut Bankowości raport "Środowisko bezpieczeństwa klientów bankowości elektronicznej" napisany przez zespół naukowców z Morskiego Centrum Cyberbepieczeństwa Akademii Marynarki Wojennej, kierowany przez profesora Jerzego Kosińskiego, zwraca uwagę, że banki muszą inaczej spojrzeć na edukację swoich klientów pod względem bezpieczeństwa. 

Naukowcy stwierdzają, że w kwestiach bezpieczeństwa klienci musza polegać na informacjach przekazywanych przez banki, a te bywają niejasne. Te ważne znikają w szumie rozmaitych, niekoniecznie istotnych wskazówek, wymagań i ostrzeżeń. Choć klienci banków teoretycznie wiedzą, że zagrożeń jest dużo, potrafią je nawet wymienić, to nie potrafią się przed nimi bronić. Raport stwierdza, że banki muszą diagnozować środowisko, w jakim funkcjonują ich klienci oraz ich zachowania.

Mirosław Skiba dodaje, że banki potrzebują danych klienta w celu ochrony go przed tymi, którzy chcą go ograbić. I przyznaje, że banki profilują klientów pod katem bezpieczeństwa ich zachowań i tego, czy ich transakcje nie mają charakteru podejrzanego. 

- Klient wie, jak chronić gotówkę w portfelu, ale jak ważna jest kwestia ochrony własnych danych, to nie dla wszystkich jest oczywiste. Banki muszą (...) rozmawiać z klientem językiem zrozumiałym, wziąć na siebie podniesienie jego świadomości i świadomości tego, jak się zachowuje - dodał prezes SGB Banku.

Jacek Ramotowski