Člena představenstva Komerční banky Marguse Simsona, který je také jejím Chief Digital Officerem, jsme se zeptali, co všechno banka v oblasti kybernetické bezpečnosti dělá nebo jak to vypadá s finančně-bezpečnostní gramotností jejích klientů.
Jak se v meziročním srovnání vyvíjí počet kyberútoků na Komerční banku? A je možné říct třeba i to, kolik peněz klientů jste ochránili?
Počítání kybernetických útoků je vždy trochu komplikované, protože tu spoustu malých útoků, k nimž dochází neustále, obvykle eliminuje naše automatická obrana. Závažnější pokusy o proniknutí a útoky typu odepření služby pak zažíváme zřídka.
Celkově počet preventivních akcí, které provádíme, meziročně vzrostl přibližně o 50 %, ale množství zjištěných událostí zůstalo většinou stejné. Vyjádřit to vše v penězích je také obtížné. Jelikož jsme byznys založený na důvěře, pak to, že zabráníme pokusu o narušení, má spíše nevyčíslitelnou hodnotu. Jak pro banku, tak pro klienty.
Změnilo se v této věci něco v důsledku častějšího využívání bankovní identity?
Zatím ne. Každá nová technologie, kterou používáme, potenciálně zvyšuje rizika, protože se objevují nové příležitosti k nalezení nových slabých míst. Ovšem pokud by klienti více využívali BankID, z dlouhodobého hlediska by podle mého názoru rizika spíše poklesla. Protože s tím, jak by si zákazníci zvykli používat jedno řešení, došlo by k omezení možností pro spáchání podvodu. Používání služby BankID je však zatím spíše na začátku.
Útočníci jsou stále sofistikovanější. Co to pro vás znamená, jaké nové bezpečnostní prvky jste například byli v Komerční bance nuceni zavést?
Udělali jsme toho hodně. Nejviditelnější změnou pro uživatele je plošné používání dvoufaktorové autentizace. Ovšem současně jsme – a to klienti nevidí – pilně pracovali na segmentaci sítě, abychom tak hackerům v případě úspěšného průniku ztížili přechod ze serveru na server. Také jsme prováděli penetrační testy pro každou aplikaci, která je připojena k internetu, či pracovali na snížení potenciálu úniku dat. Provádíme také tzv. cvičení Red Team, tedy zkoušíme útočit na vlastní systémy, abychom našli jejich případná slabá místa. Seznam těchto aktivit je velmi dlouhý.
Jak byste popsal nedávný vývoj v této oblasti z hlediska přístupu vašich klientů, a to jak jednotlivců, tak i firem? Zlepšuje se jejich finančně-bezpečnostní gramotnost?
Ano, povědomí zákazníků o zásadách bezpečnosti se každým rokem zlepšuje. Špatnou zprávou ale je, že se zločinci a sofistikovanost jejich útoků vyvíjí stejně rychle. Celkově vzato, z hlediska zajištění peněz uživatel vždy byl a stále je nejslabším místem. Lidé se stávají oběťmi podvodů, které je stále těžší a těžší jako podvody identifikovat. Staly se totiž mnohem osobnějšími, zločinci používají širší škálu postupů a využití nových technologií umožnilo dělat falešné věci tak realisticky, že je těžké rozlišit lež od pravdy. To vše nutí uživatele neustále se o kybernetických hrozbách učit. Je ovšem zřejmé, že to pro lidi v jejich každodenním životě není to nejdůležitější.
Někteří odborníci také říkají, že se útočníci v posledních letech zaměřili na bankovní klienty, a ne tolik na samotné banky. A že lze v této souvislosti mluvit o společenské úloze bank, které by se měly zasadit o to, aby jejich klienti svým chováním neohrozili bezpečnost vlastních peněz. Souhlasíte s tím?
Je pravda, že samotné banky je mnohem těžší napadnout, a proto se zločinci zaměřují spíše na uživatele. Snažíme se naše uživatele o kybernetických hrozbách vzdělávat, neustále o nich mluvíme, na naší domovské stránce kb.cz zveřejňujeme varování a kybernetické rady, systematicky analyzujeme transakce, abychom porozuměli potenciálně podvodným transakcím, omezujeme uživatelům možnost provádět transakce, pokud cítíme, že hrozba existuje, vyvíjíme nové funkce, které uživateli umožní zvýšit úroveň zabezpečení a porozumět novým možnostem. Jenže pokud člověk převede osobě, s níž si chatoval a která ho požádala o pomoc, velkou částku peněz a nakonec se ukáže, že to byl zločinec, pak stejně nemůžeme dělat nic.
Jaký je postup v případě, že klient banky přijde v důsledku kyberútoku na banku o své peníze?
Kybernetický útok proti bance se obvykle nezaměřuje na peníze konkrétního uživatele, ale spíše na výkupné při útoku ransomwaru. Pokud je napaden konkrétní zákazník, pak se útočníci zaměřují na uživatele, jeho autentizační nástroje, zkoušejí sociální inženýrství, podvody atd. Je-li napaden konkrétní uživatel, pak se případ vyšetřuje ve spolupráci s policií, aby se zjistilo, co a proč se skutečně stalo, čí je to vina a jaké jsou možnosti získání peněz zpět. Banka k těmto situacím vždy přistupuje s maximální pozorností, aby zákazníkovi pomohla dostat zpět své peníze. Ale protože každý útok je poněkud jiný, pak je těžké dát jeden konkrétní recept, jak to bude vypadat příště.
Vícestupňový systém zabezpečení
„Systém ochrany platebních transakcí je výsledkem několika kroků,“ vysvětluje Jan Seifert, Chief Risk Officer Komerční banky. Předně, banky dodržují směrnici PSD2, v jejímž rámci se musí klient mj. prokázat minimálně dvoufázovým ověřením. Dále je to vzdělávání klientů a také jejich informování o aktuálních hrozbách, protože, jak konstatuje Jan Seifert, nejslabším prvkem v celém zabezpečení je uživatel, který často v rámci sociálního inženýrství předá své citlivé údaje útočníkům. Komerční banka rovněž soustavně zvyšuje zabezpečení přístupu do online bankovnictví přidáváním bezpečnostních prvků, jako je např. technologie Cronto kódu. A v neposlední řadě je pak každá platební transakce validována tzv. Fraud Detection System, který využívá nejmodernějších technologií, statistických metod a dalších bankovních informací.
0 komentářů