Rosnąca liczba ataków na użytkowników bankowości internetowej i mobilnej powoduje, że nadzór przygląda się tym rozwiązaniom coraz baczniej. Co z tego może wyniknąć?
Jak pewnie zdążyliście się zorientować, Komisja Nadzoru Finansowego jest dość konserwatywna w swoim podejściu do nowoczesnych rozwiązań technologicznych. Jej przedstawiciele wielokrotnie podkreślali, że działające u nas banki zbyt ochoczo wdrażają różnego rodzaju nowinki. Robią to na tyle szybko, że trudno ocenić, czy poszczególne rozwiązania nie kryją w sobie jakichś luk i ryzyka dla całego sektora bankowego.
W przeszłości w wyniku takiej oceny, KNF wydał na przykład wytyczne i rekomendacje dotyczące płatności kartami w internecie, zakładania rachunków osobistych przelewem aktywacyjnym z innego banku, wirtualnych portmonetek, itd. Teraz coraz częściej nadzór z niepokojem zwraca uwagę na rosnącą liczbę ataków cybernetycznych na użytkowników bankowości internetowej i mobilnej. Kolejny raz dał temu wyraz Tomasz Piwowarski, dyrektor departamentu inspekcji bankowych, instytucji płatniczych i spółdzielczych kas oszczędnościowo-kredytowych w KNF, podczas zakończonego dziś Forum Technologii Bankowości Spółdzielczej.
Przeczytajcie także: CERT ostrzega przed nowym atakiem na bankujących z komórki
Zdaniem Piwowarskiego banki powinny zastanowić się, czy ich klienci są należycie przygotowani do korzystania z tych rozwiązań. – Kilka ostatnich wyroków sądów pokazuje, że zdaniem wymiaru sprawiedliwości takich sytuacji jak udostępnienie danych logowania przestępcom w wyniku phishingu nie można już uznać za rażące niedbalstwo po stronie klienta. Odpowiedzialność za takie sytuacje przesuwa się więc w kierunku banków – powiedział przedstawiciel KNF.
Dodał, że w pierwszej kolejności banki powinny dokonać przeglądu formularzy umów oraz regulaminów, by sprawdzić, czy wszelkie ryzyka związane z korzystaniem z bankowości elektronicznej są należycie opisane i czy klienci są odpowiednio o nich poinformowani. Piwowarski zwrócił też uwagę, że tylko niewielka część banków posiada systemy sprawdzające czy urządzenia, z których korzystają klienci, są bezpieczne.
Nie chciałbym z tych słów wyciągać zbyt daleko idących wniosków. Znając jednak dotychczasową, wysoce ostrożną politykę KNF jestem w stanie wyobrazić sobie wytyczne czy rekomendacje, w których nadzór zobowiązuje banki do wyposażania klientów w odpowiednie programy antywirusowe lub inne narzędzia zwiększające bezpieczeństwo zdalnych form korzystania z usług bankowych.
Przeczytajcie także: To bank ma dbać o to, by klienta nie zhakowano
A czy można wyobrazić sobie sytuację, w której KNF rekomenduje bankom rezygnację z oferowania dostępu do rachunku za pośrednictwem aplikacji np. na urządzeniach z Androidem, które mają opinię podatnych na ataki? O tym, że w skrajnym scenariuszu taka opcja może być brana pod uwagę przez nadzór, usłyszałem ostatnio podczas tzw. rozmów kuluarowych z przedstawicielami branży finansowej. Wydaje mi się to mało prawdopodobne, ale zaintrygowany tą informacją postanowiłem poprosić o komentarz do niej biuro prasowe KNF. Wyraźnego zaprzeczenia nie usłyszałem.
Oto treść odpowiedzi: "Ryzyka związane z nowymi technologiami wysuwają się w działalności banków na jedną z kluczowych pozycji, dlatego wdrażając nowe rozwiązania banki powinny efektywnie zarządzać ryzykami zarówno po swojej stronie, jak i po stronie klienta, w szczególności w obszarze jego infrastruktury. KNF od dłuższego czasu zwraca uwagę banków na konieczność zapewnienia bezpieczeństwa w bankowości elektronicznej, w tym w bankowości mobilnej. Jest to kanał, który rozwija się bardzo dynamicznie, a w ślad za tym pojawiają się nowe zagrożenia, które na bieżąco monitorujemy i analizujemy. Wszystkie niepokojące działania będą spotykać się z naszą reakcją, tak jak to miało miejsce dotychczas".
Jeżeli miałbym te słowa interpretować po swojemu, to pewnie doszedłbym do wniosku, że KNF, w myśl zasady "nigdy nie mów nigdy", rezerwuje sobie możliwość każdego rodzaju działania. Mam jednak nadzieję, że uśmiercenie bankowych aplikacji mobilnych to ostateczność, do której nigdy nie dojdzie. Nie wyobrażam sobie sytuacji, w której za każdym razem, gdy chce sprawdzić saldo na rachunku, będę musiał siadać do komputera...