Przejdź na stronę główną Interia.pl

Hakerzy częściej atakują klientów niż banki

- Wcześniej były głównie ataki na serwisy internetowe, a teraz częściej na aplikacje mobilne, zwłaszcza przez sklep Google. Z jednej strony cyberprzestępcy stosują bardziej zaawansowane metody, z drugiej jednak zabezpieczenia po stronie banków są coraz lepsze - mówi Adam Marciniak, wiceprezes PKO BP nadzorujący obszar informatyki i usług, w rozmowie z Moniką Krześniak-Sajewicz.

Monika Krześniak-Sajewicz, Interia: Coraz więcej klientów obsługuje swoje konto bankowe przez aplikację. Czy już wkrótce większość transakcji będzie przeprowadzana w ten sposób?

Reklama

Adam Marciniak, wiceprezes PKO BP: - Już teraz w niektórych momentach bankowość mobilna generuje 2/3 wielkości ruchu bankowości elektronicznej iPKO. Spodziewamy się, że w okolicach połowy tego roku ruch klientów w bankowości mobilnej zrówna się z aktywnością bankowości elektronicznej.

Czy to oznacza, że w IKO czyli aplikacji mobilnej PKO BP będą wszystkie funkcje dostępne w bankowości internetowej?

- Będziemy dążyć do tego, żeby bankowość mobilna miała jak najwięcej funkcji, ale tylko tych, które mają sens i są wykorzystywane przez klientów. Zbyt duża liczba opcji powoduje, że aplikacja staję się zbyt skomplikowana. Przykładowo nie ma sensu dodawać w niej wniosku o kredyt hipoteczny.

Ale jednocześnie pojawia się coraz więcej informacji o atakach na bankowość internetową i mobilną, a co ważne są one bardzo profesjonalnie przygotowane. W jakim kierunku powinien pójść system autoryzacji, skoro np. smsy uważane do niedawna za bezpieczne okazują się celem ataków, bo cyberprzestępcom udaje się nawet zrobić przekierowanie numeru telefonu? Czy banki będą przechodzić na autoryzację mobilną? Niektóre to już robią, a PKO BP też się do tego przymierza.

- Autoryzacja mobilna ma tę zaletę, że w całości odbywa się w środowisku bankowym, które jest odpowiednio zabezpieczone. Nie polega na zabezpieczeniach innych uczestników np. operatorów telefonicznych czy dostawców systemów operacyjnych telefonu. Mobilna autoryzacja będzie wypierać metody, które są oparte na udziale zewnętrznych podmiotów w całym procesie jak np. sms-y. Częściej stosowane będą kody typu OTP (one - time password) takie jak jednorazowe kody BLIK, które mają element unikalności i działają tylko przez chwilę po wygenerowaniu, nie można ich więc ponownie wykorzystać. Co ważne kody BLIK są generowane w aplikacji.

Czy prób cyberataków na bankowość elektroniczną jest coraz więcej?

- W relacji rok do roku liczba ataków jest porównywalna, utrzymuje się na stałym poziomie. Ważne jest również to, że na stabilnym, niskim poziomie utrzymuje się liczba skutecznych ataków. Obecnie ich odsetek jest na tyle niski, że można mówić o bezpiecznym poziomie.

To są ataki na banki czy na klientów?

- Głównie na klientów, choć zmieniają się ich typy. Wcześniej były to głównie ataki na serwisy internetowe, a teraz częściej na aplikacje mobilne, zwłaszcza przez sklep Google. Z jednej strony cyberprzestępcy stosują bardziej zawansowane metody, z drugiej jednak zabezpieczenia po stronie banków są coraz lepsze.

Gdzie trzeba jeszcze wzmocnić system bezpieczeństwa na linii bank - klient, jeśli chodzi o korzystanie z bankowości internetowej i mobilnej?

- Kluczowe jest zwiększanie świadomości klientów jeśli chodzi o zachowanie zasad bezpieczeństwa, a niestety unijna dyrektywa PSD2 idzie w przeciwnym kierunku (ułatwia zewnętrznym firmom obsługę płatności i dostęp do rachunków bankowych klienta-red.). PSD2 zakłada, że internetowe płatności nie mogą być realizowane jedynie na zasadzie przekierowania czyli jak np. pay-by-linki, które są bezpieczną metodą, bo posiadacz konta nie loguje się na obcych stronach. Dyrektywa wymusza dopuszczenie innych metod. To duże wyzwanie, a ochrona danych dostępowych to przecież podstawowa zasada bezpieczeństwa i banki przez lata wpajały swoim klientom, żeby nie podawali danych uwierzytelniających do bankowości elektronicznej podmiotom trzecim.

- Drugim ważnym elementem, który wzmocni bezpieczeństwo są systemy antyfraudowe, które na podstawie analizy zachowań i cech danego klienta będą rozpoznawały czy dana transakcja ma znamiona próby wyłudzenia. Dlatego sektorowe Bankowe Centrum Cyberbezpieczeństwa powinno zaimplementować odpowiednie narzędzia. Dwie kluczowe instytucje, które mogą odgrywać największą rolę w takim systemie to Krajowa Izba Rozliczeniowa oraz Biuro Informacji Kredytowej, zwłaszcza w sytuacji gdy wejdzie PSD2, która rozmiękcza dotychczasowe zasady bezpieczeństwa.

Jakie zagrożenia niesie ze sobą PSD2? Banki muszą wystawić specjalną "wtyczkę" tzw. interfejs API, przez którą podmioty płatnicze (TPP) będą otrzymywać potrzebne dane z rachunku klienta. Na czym więc będzie polegać główna trudność?

- Z samym API nie powinno być problemu, bo skoro jesteśmy w stanie zapewnić bankowość elektroniczną na tak wysokim poziomie, to podobne standardy będzie spełniać API.

Jednak na razie standard Polish API opiera się na modelu redirection czyli przekierowania (tak jak pay-by-link), ale jeśli zaczną obowiązywać RTS-y czyli techniczne wytyczne do dyrektywy, to trzeba będzie zaoferować dodatkowo inną metodę. Jaką?

- Z przebiegu konsultacji z naszymi rodzimymi TPP (czyli niebankowymi podmiotami, które realizują płatności-red.), wynika że zdają sobie one sprawę z tego, że redirection jest w Polsce postrzegana jako metoda już dobrze znana, bezpieczna, zaakceptowana i satysfakcjonująca klientów.

- Natomiast rzeczywiście, jeśli zostaną przyjęte RTSy będziemy musieli zastosować alternatywną metodę, która może być oparta na one - time password jak np. kod BLIK. Chcemy wypracować rozwiązanie, które spełni oczekiwania Komisji Europejskiej, ale nie będzie sprzeczne ze standardami bezpieczeństwa i nie będzie zachęcać klientów do przekazywania danych uwierzytelniających poza bezpieczne środowisko bankowości internetowej czy mobilnej.

- Pamiętajmy, że od wielu lat komunikujemy klientom żelazną zasadę, że login i hasło to dane, których nie można przekazywać, bo w ten sposób narażają się na fraudy. Dyrektywa PSD2 burzy ten przekaz, bo zgodnie z jej założeniami podmiot trzeci (TPP) realizujący płatność może poprosić klienta o jego login i hasło do rachunku. Tymczasem klient nie jest w stanie odróżnić który z takich podmiotów ma odpowiednią certyfikację, a który jest podstawionym hakerem, a dodatkowo same wymogi stawiane TPP, delikatnie rzecz ujmując, nie są wyśrubowane.

Nie wszyscy uczestnicy systemu finansowego są tak nastawieni do screen scrapingu (przekazywania haseł dostępowych podmiotom trzecim, które się logują w imieniu klienta do jego rachunku). Dlaczego pana zdaniem jest to aż tak niebezpieczne?

- PSD2 i ustawa, która implementuje tę dyrektywę na polskim rynku, określa pewien zakres danych, który ma być udostępniony na potrzeby danej transakcji czy usługi. W przypadku zastosowania screen scrapingu musimy uwierzyć na słowo, że dany TPP skorzysta tylko z tych danych, których potrzebuje, a przecież w zasobach dostępnych na rachunku klienta jest dużo większy zakres i klienci nawet nie będą świadomi, jakie dane firmy zewnętrzne zaciągnęły z ich rachunku i w jaki sposób będą je gromadzić i przechowywać, a co więcej, nie będą w stanie w żaden sposób tego zweryfikować. Dlatego standard API jest tak ważny bo określa dokładnie, które z tych danych może wykorzystać. Natomiast dyrektywa zostawia furtkę i mówi, że jeśli API nie działałoby prawidłowo, to firmy trzecie będą miały prawo do bezpośredniego dostępu do rachunku klienta, oczywiście pod pewnymi warunkami.

W Polsce dane dostępowe do bankowych kont elektronicznych służą też do potwierdzania tożsamości przez Profil Zaufany. Czy PSD2 i jej techniczne wytyczne, które dopuszczają udostępnianie loginów podmiotom trzecim, narażają ten system na ryzyko? Trzeba zastrzec, że w takiej sytuacji byłaby zasada identyfikacji czyli bank ma wiedzieć kto się loguje w imieniu klienta.

- Oczywiście, że jest takie ryzyko. Jeśli prawo dopuszcza podawania loginu i haseł w innym miejscu niż bank, to obniża poziom zaufania tej metody identyfikacji, przez co może się okazać, że będzie on niewystarczający do tego, żeby założyć Profil Zaufany i trzeba będzie tę usługę wyłączyć. Mamy wątpliwości, czy skrajne zaimplementowanie wytycznych do PSD2 wynikające z RTS nie spowoduje, że staną one w sprzeczności z europejskim rozporządzeniem eIDAS regulującym identyfikację elektroniczną i usługi zaufania w transakcjach elektronicznych.

Rozmawiała Monika Krześniak-Sajewicz

Dowiedz się więcej na temat: Hakerzy | bank | RTS-y | systemy antyfraudowe | PSD2 | cyberataki

Reklama

Najlepsze tematy

Partnerzy serwisu

PKO BP KGHM