Jedynie prawda jest ciekawa


Zagrożone konta właścicieli smartfonów

11.11.2015

Konta bankowe posiadaczy smartfonów, korzystających z bankowości mobilnej, są bardziej narażone na ataki cyberprzestępców, niż konta osób, które korzystają z tradycyjnych komputerów stacjonarnych - twierdzi dyrektor w Urzędzie Komisji Nadzoru Finansowego Tomasz Piwowarski.



Komisja Nadzoru Finansowego ostatnio przeprowadziła wśród banków ankiety na temat incydentów bezpieczeństwa IT oraz mechanizmów bezpieczeństwa usług IT. Doszło też do spotkania kierownictwa Urzędu Komisji z prezesami oraz członkami zarządów banków odpowiedzialnymi za IT w tej sprawie.

Tomasz Piwowarski, dyrektor Departamentu Inspekcji Bankowych, Instytucji Płatniczych i SKOK Urzędu Komisji Nadzoru Finansowego zwraca uwagę w rozmowie z PAP, że poziom wykorzystania technologii informatycznych w bankach wzrasta, tak jak w każdej dziedzinie życia. Ważne więc, zaznacza, by w miarę rozwoju technologii nie zapominać o standardach bezpieczeństwa. "Rolą nadzoru jest, aby kontrolować czy wraz z nowinkami technicznymi banki dostosowują standardy w zakresie bezpieczeństwa ich funkcjonowania" - podkreśla. 

Zwraca uwagę, że na przestrzeni ostatnich 3,5 roku liczba użytkowników bankowości mobilnej wzrosła
o ok. 250 proc. do ok. 4 mln 300 tys. Z kolei udział procentowy właścicieli smartfonów, korzystających z bankowości mobilnej w 2013 wynosił 12 proc., a 2015 już 43 proc.

"Te przyrosty są gigantyczne" - zaznacza Piwowarski. "Wraz ze skalą wykorzystywania nowoczesnych technologii rośnie też niestety skala i złożoność zagrożeń związanych z ich wykorzystywaniem. W konsekwencji ryzyko związane z obszarem IT nabiera coraz istotniejszego znaczenia i za chwilę może się okazać, że to jest podstawowe ryzyko w działalności banków, obok ryzyka kredytowego" - mówi.

Według Piwowarskiego, w odniesieniu do bankowości internetowej i mobilnej występują przypadki, w których systemy operacyjne wykorzystywane przez urządzenia mobilne mają poważne luki w zakresie bezpieczeństwa. Dlatego wykorzystywanie skutecznych systemów zabezpieczeń (w tym dokonywanie ich aktualizacji, stosowanie programów antywirusowych, etc.) ma krytyczne znaczenie - przekonuje.

Ponadto, według przedstawiciela KNF, "autoryzacja dostępu i inicjacja transakcji w jednym urządzeniu to dodatkowy czynnik ryzyka", z którym mamy do czynienia w przypadku bankowości mobilnej.

"Przy korzystaniu z bankowości internetowej za pomocą tradycyjnych komputerów autoryzacja transakcji w większości przypadków jest dokonywana za pomocą telefonu, a w przypadku urządzeń mobilnych (smartfonów) mamy wszystko w jednym miejscu. Dlatego jeżeli ktoś nie zadba o bezpieczeństwo telefonu wykorzystywanego do transakcji bankowych, jest narażony na istotne ryzyko" - podkreśla Piwowarski.

Popularną metodą cyberprzestępczości jest na przykład tzw. phishing, w ramach którego cyberprzestępcy wyłudzają poufne dane do logowania i autoryzacji przelewów. W przypadku gdy już zdobędą dane niezbędne do zalogowania w systemie i realizowania transakcji, w celu wyprowadzenia środków z banku często wykorzystują konta otwierane na tzw. "słupa", które powstają w ramach oferowanej przez banki możliwości zdalnego otwierania rachunku w innym banku za pomocą przelewu z banku w którym mają już rachunek.

Jak opisuje przedstawiciel UKNF, w ramach tej procedury przestępcy często otwierają konto, na które
są przelewane pieniądze skradzione klientom przy wykorzystaniu phishingu. Często mechanizm otwierania kont na tzw. "słupa" polega na tym, że przestępca ogłasza fikcyjną rekrutację do pracy i wskazuje, że w związku z rekrutacją potrzebuje danych osobowych zainteresowanych ofertą pracy.
Zainteresowane pracą osoby przesyłają swoje dane, które są wystarczające do zdalnego założenia konta w banku.

Złodziej ma więc dane niezbędne do założenia konta, ale by je aktywować, niezbędne jest dokonanie przelewu autoryzacyjnego z konta w innym banku osoby na podstawie których otwierane jest konto na tzw. "słupa".

Ale i tę przeszkodę złodzieje obchodzą - ponieważ proszą, by zainteresowany rekrutacją przelał na nowo otwarte, na podstawie ich danych osobowych, konto niewielką kwotę środków na potrzeby rzekomej rekrutacji. "Nieświadome osoby w ten sposób autoryzują otwarcie konta na podstawie swoich danych osobowych, przy czym pełna kontrola konta jest po stronie przestępcy. Przestępcy mogą za pomocą kont otworzonych na tzw. słupa otwierać kolejne rachunki i przelewać na nie pieniądze. A potem wypłacać pieniądze skradzione za pomocą phishingu" - mówi Piwowarski.

Zresztą właśnie "infrastruktura klienta" (komputery, urządzenia mobilne) to sfera, na którą jest najwięcej ataków cyberprzestępców. "Z ankiet wynika, że łącznie około 40 procent incydentów to incydenty związane z infrastrukturą klienta" - mówi przedstawiciel UKNF. "Obecnie infrastruktura klienta jest najsłabszym ogniwem w zakresie usług bankowości internetowej i mobilnej" - dodaje.

Z ankiet komisji wynika też, że niektóre banki są bardziej zaawansowane jeżeli chodzi o standardy bezpieczeństwa, a niektóre mniej. Także wśród banków "istotnych systemowo" są takie, w których
standardy bezpieczeństwa IT powinny ulec wzmocnieniu i być dostosowane do wzrastającej skali i złożoności oferowanych klientom rozwiązań opartych na nowoczesnych technologiach - zaznacza dyr. Piwowarski. "To na pewno będzie podlegać ocenie nadzorczej" - zapowiada.

Przyznaje, że banki wprowadzają dziś bardzo szybko rozwiązania oparte o nowoczesne technologie i w niektórych przypadkach jest to robione "na skróty" - kosztem bezpieczeństwa. "Biorąc pod uwagę statystyki prezentowane przez podmioty specjalizujące się w zakresie zagadnień związanych z bezpieczeństwem IT liczba ataków cyberprzestępców będzie rosła, więc ważne, żeby banki w sposób ostrożny oferowały dostęp do kanałów bankowości elektronicznej" - mówi dyr. Piwowarski.

"Oferując dostęp do elektronicznych kanałów dostępu banki powinny w sposób jasny przedstawiać klientom wymagania związane z bezpieczeństwem ich używania oraz zagrożenia wynikające z ich nieprzestrzegania" - podkreśla przedstawiciel UKNF. "Trudno zaakceptować sytuację w której banki oferują klientom najnowsze nowinki technologiczne, ale nie uświadamiają ich, że muszą mieć oryginalne oprogramowanie, aktualne i skuteczne systemy antywirusowe oraz że jeśli nie będą spełniali określonych warunków, będą narażeni na utratę środków" - mówi.

Bo, jak dodaje, "w przypadku gdy takie ataki są skuteczne, to klienci nie tracą 300 czy 500 zł, tylko często kilkadziesiąt albo kilkaset tysięcy". "Dlatego w sytuacjach, gdy klienci nie spełniają na wejściu określonych wymogów, banki nie powinny im oferować tego kanału" - uważa Piwowarski.

Przedstawiciel UKNF zapowiada, że jeszcze w tym roku planowane jest wydanie przez KNF Rekomendacji w sprawie bezpieczeństwa płatności internetowych, która adresuje m.in kwestię zdalnego otwierania kont. Obejmować ona będzie nie tylko banki, ale również instytucje płatnicze i SKOK-i. Wprowadzony Rekomendacją standard, w naszej ocenie będzie wzmacniać bezpieczeństwo w zakresie zdalnego otwierania rachunków - mówi.

W ocenie dyrektora banki powinny np. wzmocnić bezpieczeństwo zdalnego otwierania rachunków,  by zminimalizować możliwość otwierania kont na "słupy", według wyżej opisanego mechanizmu.

"W najbliższym czasie w ramach sprawowanego nadzoru będziemy weryfikować, czy oferując klientom wszelkiego typu rozwiązania banki pomyślały o względach bezpieczeństwa" - mówi Piwowarski. "Czasem banki w pościgu za wygodą i szybkością zawierania umów decydują się na rozwiązania wątpliwe z punktu widzenia bezpieczeństwa" - dodaje.

Przykładem takiego działania był tzw. "screen scraping", który w przypadku banków polegał na pozyskiwaniu danych na temat obrotów na rachunkach klientów w innych bankach niezbędnych do oceny zdolności kredytowej. W procesie tym banki prosiły klientów o udostępnienie loginów i haseł do ich rachunków w innych bankach. Przedstawiciel KNF zaznacza, że banki które oferowały te rozwiązania otrzymały zalecenia nadzorcze wskazujące na konieczność zaniechania tego typu praktyki.

"To łamało podstawowy kanon: nie podawaj nikomu loginu i hasła" - mówi Piwowarski. "W przypadkach naruszających względy bezpieczeństwa kompromisów ze strony nadzoru nie będzie" - dodaje.

Przyznaje, że banki mogą niechętnie wdrażać niektóre procedury bezpieczeństwa, bo mogą one ograniczać wygodę klientów i przedłużać czas realizowanych transakcji. 

"Przypadki, w których banki będą szły na skróty i w imię bycia bardziej +elastycznym+ i +przyjaznym+ i nie będą stosować wymaganych standardów bezpieczeństwa, będą spotykać się ze zdecydowaną reakcją ze strony nadzoru" - zapowiada przedstawiciel UKNF. "Innowacje i rozwój tak, ale nie kosztem bezpieczeństwa" - dodaje Piwowarski.

Według niego ważne dla oceny bezpieczeństwa banków jest także to, jak wyglądają ich komórki bezpieczeństwa w tym tzw. SOC - "Security Operations Center" - odpowiedzialne za bieżące monitorowanie bezpieczeństwa banku i klientów. Zdaniem Piwowarskiego obecnie takie komórki ma około 20 procent banków. "Istotne jest to, czy ta komórka działa 24 godziny przez 365 dni, czy od 8 do 16 i ile osób w niej pracuje oraz czy ma niezbędne narzędzia wspomagające proces identyfikacji zagrożeń" - zwraca uwagę.

Przedstawiciel UKNF dodaje, że przy Związku Banków Polskich powstaje też Bankowe  Centrum Cyberbezpieczeństwa, w ramach którego banki będą współpracować w zakresie obrony przed cyberprzestępczością. "To bardzo dobry kierunek, bo przedmiotem ataku może być zarówno jeden bank i
jego klienci, jak i grupa banków. W takim przypadku bieżąca współpraca i wymiana informacji mają kluczowe znaczenie" - ocenia.

Warto poczytać

  1. ropa14092018 14.09.2018

    USA ponownie liderem w wydobyciu „płynnego złota”. Wyprzedziły Rosję i Arabię Saudyjską

    Stany Zjednoczone, po raz pierwszy od roku 1973, są znów największym producentem ropy naftowej na świecie - poinformowało amerykańskie Ministerstwo Energii opierając się na szacunkowych danych o wydobyciu ropy naftowej w USA w tym roku.

  2. justice05092018 05.09.2018

    Były minister finansów nie odpowie za skandaliczną wypowiedź o SKOK?

    Tak wygląda sprawiedliwość według polskich sądów!

  3. costa31082018 31.08.2018

    To będzie jedna z największych transakcji roku. Coca-Cola kupi sieć kawiarni Costa Coffee

    Amerykański producent napojów Coca-Cola przejmie brytyjską sieć kawiarni Costa Coffee - poinformował w piątek właściciel marki, międzynarodowy koncern Whitbread. Transakcja została wyceniona na 3,9 miliarda funtów.

  4. kwiecinski-27082018 27.08.2018

    Kwieciński w Budapeszcie: Nasza siła negocjacyjna wzrośnie, jeśli odpowiedzią na komisyjne „nożyce” będzie wyszehradzki „kamień"

    Wzmocnienie współpracy w negocjacjach dot. budżetu UE na lata 2021-27 i rozmowy o przyszłości polityki spójności, to cel poniedziałkowej wizyty w Budapeszcie szefa MiiR Jerzego Kwiecińskiego

  5. zakupy-18082018 18.08.2018

    Prezes Polskiej Izby Handlowej o wolnych niedzielach: Nie spowodowały spadku w obrotach

    Wolne od handlu niedziele nie spowodowały zmniejszenia obrotów sieci handlowych - powiedział PAP prezes Polskiej Izby Handlu Waldemar Nowakowski. Ustawa ograniczająca handel weszła w życie 1 marca br

  6. 1270frankowiecz 17.08.2018

    Jesienią ustawa o wsparciu frankowiczów

    Jesienią powinna zostać przyjęta przez parlament nowa ustawa o wsparciu kredytobiorców - zapowiedział w piątek szef sejmowej komisji finansów Andrzej Szlachta (PiS).

  7. orlen-14082018 14.08.2018

    Orlen również poza Polską? Koncern zainteresowany rozwojem stacji w Europie

    PKN Orlen jest zainteresowany akwizycjami stacji paliw w krajach, w których jest już obecny, ale poza Polską - poinformował prezes Orlenu Daniel Obajtek. W Polsce płocki koncern powiększy sieć detaliczną o 25 stacji paliw w tym roku i o około 40 stacji w 2019 roku

  8. orlen10082018 10.08.2018

    Orlen i PGNiG odkryły ogromne złoże gazu w Wielkopolsce

    PKN Orlen i PGNiG odkryły nowe złoże gazu w Wielkopolsce. Wyniki testu produkcyjnego potwierdzają bardzo dobrą wydajność odwiertu. Możliwości produkcyjne złoża oszacowano na 50 mln metrów sześc. gazu rocznie - podał w czwartek płocki koncern.

Wiadomości z kraju

więcej

Wiadomości ze świata

więcej
CS-159fotoMINI

Czas Stefczyka 159/2018

PDF (5,69 MB)

pobierz najnowszy numer
archiwum numerów

Facebook