Ujawnienie danych klientów Plus Banku może zatrząść naszymi relacjami z bankami. A jak?

Ujawnienie danych klientów Plus Banku może zatrząść naszymi relacjami z bankami. A jak?

Czy to początek nowej ery w polskiej bankowości? Złodziej opublikował w sieci – niby tylko na płatnym forum w Tor, ale kto chce, to bez trudu znajdzie – dane 500 klientów firmowych Plus Banku i zapowiedział, co tydzień na weekend będzie „wypuszczał” kolejne pakiety danych. Na razie są to informacje o saldach, rachunkach, kontrahentach i przelewach firm, ale niewykluczone, że po nich swoje wyciągi z rachunków zobaczą w sieci także klienci detaliczni. Bank w dalszym ciągu zapewnia, że z przestępcami nie negocjuje, że włamanie to „stara” sprawa i dziś systemy są zabezpieczone znacznie lepiej. Wyraża też nadzieję, że haker trafi wkrótce za kraty i ani słowem nie wspomina o tym w jaki sposób zamierza zrekompensować klientom straty wynikające z upublicznienia ich danych. W ogóle bank zdaje się nie zauważać tego, że oprócz kasy w grze są też bezcenne dane klientów, które dostały się w niepowołane ręce. I, szczerze pisząc, to ignorowanie przez bank istoty problemu wkurza mnie najbardziej. Prawda jest taka, że klienci zaufali bankowi, a ten dopuścił do wycieku wrażliwych danych. A tymczasem klienci – przynajmniej w komunikacji publicznej – nie usłyszeli od banku nawet głupiego „przepraszam”, nie mówiąc już o innych możliwościach zadośćuczynienia. 

plusbankkomunikatsobota

Zobacz również:

Złodziej też nie lepszy. Do tej pory kompromitował środowisko hakerskie rozpowiadając na prawo i lewo, że bank ma mu zapłacić 200.000 zł i że jest to niewielka kwota w porównaniu z tą, którą już ukradł (i którą bank klientom pokrył), czyli prawie milionem złotych. Wyszedł tym samym na zwykłego szantażystę lub – jak wolicie – terrorystę. Dopiero w piątek poszedł po rozum do głowy z zmodyfikował żądania – bank ma zapłacić te 200.000 zł przelewem na wybrany dom dziecka. Czy złodziej jest w stanie jeszcze ocalić wizerunek hakerów, którzy do tej pory uchodzili za swoistych „testerów luk” w systemach bezpieczeństwa? Po aferze z Plus Bankiem będą się kojarzyli milionom ze zwykłymi internetowymi terrorystami, których od tych „w realu” dzieli tylko to, że nie przystawiają zakładnikom pistoletu do skroni, tylko publikują ich dane. Poranny komunikat Plus Banku, opublikowany już po ujawnieniu pierwszej „paczki” danych o klientach, brzmi dość jednoznacznie – bank nie będzie płacił, nawet na dom dziecka. W sobotę po południu Plus Bank opublikował jego uzupełnienie:

„Od samego początku celem przestępcy jest wyłącznie przysporzenie osobistej korzyści majątkowej. Próba zmiany strategii przestępcy, polegająca na wymuszeniu wpłaty banku na cel charytatywny odwraca jedynie nieskutecznie uwagę od rzeczywistej, nagannej, wymagającej napiętnowania motywacji sprawcy. Zachowanie przestępcy traktujemy jako nieudolne usiłowanie zmiany nastawienia opinii publicznej wobec jego osoby, a także liczenie na łagodniejsze potraktowanie przez wymiar sprawiedliwości w przypadku zatrzymania przez organy ścigania. Uważamy, że działanie przestępcy jest z gruntu złe i nie powinno znajdować żadnego zrozumienia”

Szczerze pisząc, wolałbym, żeby bank skupił się na odbudowywaniu własnej wiarygodności i przygotowaniu wsparcia dla klientów, których naraził na szwank, niż tracił czas na zajmowanie się wiarygodnością sprawcy włamania. Wcześniej bank tracił go na zastraszaniu blogera, który sprawę zamierzał opisać (i ostatecznie opisał). Jedno jest pewne- złodziej postawił w trudnej sytuacji bank, który ma do wyboru – pokazać, że zależy mu na ochronie danych klientów i zarazem ugiąć się przed szantażem, albo pozostać twardym i tym pokazać, że dobro i prywatność klientów, których pozwolił ukraść, ma w głębokim poważaniu. Czyli tam, gdzie dotychczas ;-))

JAKIE KONSEKWENCJE DLA BANKU I KLIENTÓW? Jeśli chodzi o klientów to konsekwencje włamania mogą być poważne i wielowymiarowe. Mogą być z tego nieszczęścia – nie chcę być złym prorokiem, ale może jakaś firma zbankrutuje, jakieś małżeństwo się rozpadnie, ktoś zachoruje ze zgryzoty. I nie na miejscu są w tym przypadku zapewnienia, że „pieniądze klientów są i były bezpieczne”, bo to już niestety nie tylko o pieniądze chodzi. Ponurym żartem jest natomiast opowiadanie przez przedstawicieli Związku Banków Polskich, że „klienci mogą być pewni, że ich dane są bezpieczne”. Gołym okiem widać, że nie mogą być pewni.  Nie można też wykluczyć, że komplet danych udostępnionych w internecie posłuży komuś do wyłudzenia pieniędzy, czyli np. zaciąganie zobowiązań na koszt Bogu ducha winnych klientów. Można się przed tym próbować zabezpieczyć, ale to kosztuje czas i pieniądze. Konsekwencje dla banku? Oczywiście kara finansowa, którą może nałożyć Główny Inspektor Ochrony Danych Osobowych (to mogą być setki tysięcy, a nawet miliony złotych). Bank już stracił milion złotych, które ukradł złodziej i które trzeba było zrefundować klientom. Prawdopodobnie niektórzy klienci wytoczą bankowi procesy sądowe (zwłaszcza ci, którzy poniosą straty finansowe). Jest też pytanie: ilu klientów straci bank po tej katastrofie, jak dużą skalę będzie miało wycofywanie depozytów i likwidowanie rachunków. A może klienci uznają, że po czymś takim Plus Bank będzie teraz zabezpieczony lepiej, niż Fort Knox, więc nie ma się czym przejmować? 😉

Czytaj też: A jeśli ktoś włamie się do twojego banku? Oto historia mrożąca krew

CO POWINIEN ZROBIĆ BANK I KLIENCI? Uważam, że w zaistniałej sytuacji każdy klient powinien otrzymać nie tylko nowy numer rachunku i nową kartę, ale i ufundowaną przez bank usługę „ochrony tożsamości” we wszystkich czterech bazach danych, z których korzystają instytucje finansowe (BIK, Infomonitor, KRD, ERIF), a także finansową rekompensatę na wypadek, gdyby chciał np. zmienić dowód osobisty. A być może bank także powinien zobowiązać się do wsparcia prawnego klienta w sytuacji, gdyby z powodu tego wycieku danych musiał w sądzie bronić swojego imienia lub pieniędzy. Wydaje mi się też, że konieczne byłoby przedstawienie przez bank jakichś audytów, opinii, certyfikatów lub niezależnych raportów, z których wynika, iż poziom zabezpieczeń systemów informatycznych jest dziś najwyższy z możliwych. Dziś Plus Bankowi nikt nie uwierzy na słowo, że pieniądze i dane klientów są bezpieczne. Wiarygodność banku jest zerowa i tylko zewnętrzny audytor może tę wiarygodność wyprowadzić nad wodę. A co powinni zrobić klienci? Monitorować swoją tożsamość (mieć wykupione SMS-owe powiadomienia o tym, że ktoś o nich pytał lub składał na ich dane wnioski kredytowe lub pożyczkowe), wymienić karty, być może też zastrzec dowód osobisty, wyjechać z kraju i zrobić operację plastyczną twarzy (przepraszam, ponury żart). „Niebezpiecznik” zaleca też pechowym klientom, których dane ujawniono, poinformowanie kontrahentów o niemiłej sytuacji, żeby wzmógł czujność.

Czytaj też: To niestety nie żart. Karta w kieszeni, a złodziej płaci nią w sieci

PIENIĄDZE SĄ BEZPIECZNE? TO JUŻ NIE WSZYSTKO. Do tej pory wiarygodność banków opierała się o zapewnienia, że pieniądze klientów w banku są bezpieczne jak… w banku. A więc jak włożę je na konto, to mam gwarancję, że dostanę z powrotem z odsetkami (wyjątek: bankructwo banku i depozyt powyżej limitu gwarantowanego przez państwo). Jeśli bank wyda mi kartę, to mam pewność, że nikt poza mną nie zna kompletu danych pozwalających autoryzować transakcje tą kartą. Wywiązanie się z tej obietnicy nastręczało w przeszłości niektórym bankom trochę trudności – np. wydawały karty z funkcją zbliżeniową, nie dając możliwości wyłączenia tej funkcji, a potem nie chciały pokryć strat wynikających z serii transakcji bez PIN-u – ale generalnie system działał dość sprawnie. Nawet jeśli z banku ginęły pieniądze klienta, to najczęściej było to wynikiem nieuczciwości pracownika i banki przeważnie oddawały klientom pieniądze. A jeśli nawet nie oddawały, to miały mocne wytłumaczenie: „musimy poczekać na wynik sprawy w prokuraturze, żeby mieć pewność, że klient nie współpracował przy kradzieży”.

Teraz wszyscy uświadamiamy sobie, że tym, co jest znacznie cenniejsze od pieniędzy i co powierzamy bankowi, by pilnował jak oka w głowie, są nasze dane. Nie tylko PIN-y i hasła oraz numery kart, bo te można w każdej chwili zmienić. To też imię, nazwisko, adres zamieszkania, numer PESEL i numer dowodu osobistego (ten ostatni można wymienić), czasem i skan tego dowodu, a więc elementy tożsamości, które są bezcenne. Bankowi powierzamy też numer telefonu, który jest o tyle istotny, że można za jego pośrednictwem przejąć kontrolę nad naszymi pieniędzmi (służy do autoryzowania transakcji). A przede wszystkim powierzamy bankowi salda i historię transakcji. Czy ktoś z nas chciałby, żeby cały świat dowiedział się gdzie mieszkamy, ile zarabiamy, a przede wszystkim na co wydajemy pieniądze? To jest właśnie miękkie podbrzusze każdego banku. Jeśli ktoś ukradnie klientom pieniądze, bank je zwróci. Jeśli ktoś ukradnie klientom ich dane, bank nie może zrobić nic. Jego wiarygodność jest wówczas żadna, bo jeśli nie potrafi uchronić prywatności klientów, to dlaczego miano by go nazywać instytucją zaufania publicznego? A jeśli nie jest instytucją zaufania, to dlaczego trzymać tam pieniądze?

Czytaj też: Zostali okradzeni w podróży. Mieli polisę i pecha, bo złodziej nie dał im wycisku

Czytaj: Bank pomoże w walce z internetowymi złodziejami. Zainstaluje nam… robaka

GWARANCJE DLA DEPOZYTÓW? JUŻ NIE NAJWAŻNIEJSZE. Nadchodzi era, w której zniszczyć bank będzie bardzo łatwo. Wystarczy ukraść to, co w każdym banku najcenniejsze, czyli wrażliwe dane o jego klientach. Do tej pory wydawało się, że wszystkie banki są takie same. Jeśli pożyczam od nich pieniądze, to powinna liczyć się przede wszystkim cena, no i może również warunki na jakich ten bank umożliwia spłatę rat (elastyczność), a w niektórych przypadkach znaczenie może mieć też sposób windykowania długów nie spłaconych w terminie (są banki, które zachowują się bardzo nieprzyjemnie). Jeśli powierzam bankowi pieniądze, liczy się wyłącznie oprocentowanie, bo wszystkie banki mają takie same gwarancje, rządowe. To wszystko? No właśnie nie, to dopiero początek. Przypadek Plus Banku pokazał, że są banki i banczki. Różnią się między sobą nie oprocentowaniem depozytów i kredytów, lecz podejściem do kwestii bezpieczeństwa, renomą i zaufaniem. Sądzę, że w najbliższych tygodniach, miesiącach i latach zaczniemy zwracać uwagę na to komu powierzamy nasze dane i historię płatności. Do tej pory wydawało się, że każdy może sobie otworzyć bank i że małe jest piękne. Rynek przebojem zdobywały banki młode, o nieznanych markach, wykorzystujące najnowsze, często kontrowersyjne technologie, walczące głównie dobrym marketingiem. Czy w nowej erze naprawdę będziemy chcieli powierzać nasze dane bankowi typu no-name, tylko dlatego, że dobrze płaci i tanio daje?

UWAGA NA BIG DATA I PROGRAMY LOJALNOŚCIOWE. Przypadek Plus Banki i podobne do niego, które być może będą miały miejsce, zapali też żółte światło dla banków, których strategia opiera się w jakimś stopniu na wykorzystywaniu danych swoich klientów do zarabiania pieniędzy na tym, że owi klienci zrobią zakupy w tym, a nie innym sklepie. Klienci będą teraz bardziej wrażliwi na próby „handlowania” ich danymi przez banki (prawo nie pozwala bankowcom robić tego wprost, można sprzedawać tylko zanimizowane dane, albo samodzielnie składać klientowi dopasowaną do jego potrzeb ofertę np. tankowania w określonej stacji, bez udostępniania sieci paliwowej danych o kliencie), rzadziej będą zgadzali się na ich przetwarzanie w celach marketingowych. Dziś wielu z nas jest gotowych przejść z banku, który się zajmuje wyłącznie rozliczaniem transakcji i przechowywaniem pieniędzy do takiego, który wyskakuje z każdej lodówki, daje rabaty na zakupy i generalnie ma mnóstwo pomysłów na wykorzystanie tego, co wie o kliencie. Po sprawie Plus Banku to może być dla części klientów problem, bo mogą dojść do wniosku, że nie tylko ich pieniądze lubią ciszę, ale też i ich dane o tym co kupują i co mogliby kupić 😉.

JAK SIĘ OCHRONIĆ? POWRÓT DO GOTÓWKI? CYFROWY PIENIĄDZ? To, co wykręcił Plus Bank, potencjalnie może przynieść niepowetowane straty dla całej branży bankowej, poprzez poderwanie zaufania konsumentów do pieniądza „deponowanego” w systemach informatycznych banków i rozliczanego przez te systemy. Okazuje się – w sumie to wszyscy to wiemy, przecież 85% transakcji płatniczych w Polsce to transakcje z udziałem gotówki – że jeśli nie chcę, żeby cały świat dowiedział się na co wydaję pieniądze, to nie ma najmniejszego sensu płacić kartą. Jak spowodować popularyzację kart płatniczych, skoro nie zapewniają one już dyskrecji, nawet jeśli są piękne i zbliżeniowe? Takie afery jak ta obecna to woda na młyn dla tych, którzy uważają, że plastik to zło i pieniądz bezgotówkowy to zło, bo służby specjalne za jego pośrednictwem mogą o nas wiedzieć wszystko. Myślę, że jedynymi, którzy cieszą się z przypadku Plus Banku, są dziś ci, którzy zajmują się kartami typu pre-paid (anonimowy sposób płacenia, bo te karty są na okaziciela) oraz ci, którzy „rzeźbią” przy cyfrowym pieniądzu, takim jak Bitcoin. To bowiem ten rodzaj pieniądza, który nie jest przechowywany w bankowych bazach danych, lecz na naszych smartfonach. I nie zabezpieczają go bankowi spece od IT, lecz kryptografia. Decentralizacja zabezpieczeń powoduje, że cyfrowy pieniądz może być w przyszłości pomysłem – także dla banków – na to jak przestać się bawić z hakerami w policjantów i złodziei w zabawę pt. „jak najlepiej zabezpieczyć bankowe bazy danych”.

Subscribe
Powiadom o
0 komentarzy
Inline Feedbacks
View all comments

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss top-search top-menu