W ciągu ostatniego roku wzrosła skala nadużyć w sektorze finansowym – przyznaje większość przedstawicieli banków, firm pożyczkowych i leasingowych. Raport o nadużyciach, atakach hakerskich i wielkich pieniądzach, które idą na walkę z cyberprzestępczością zaprezentowano w czwartek podczas kongresu antyfraudowego organizowanego przez firmę doradczą EY oraz Związek Przedsiębiorstw Finansowych
Blisko 60% przedstawicieli banków, firm pożyczkowych i leasingowych uważa, że w ostatnim roku skala nadużyć się zwiększyła. Nadużyć, czyli wyłudzeń kredytów, cyberataków czy prania pieniędzy. Na jakiego typu nadużycia firmy z sektora finansowego są najgorzej przygotowane? Najczęściej wymieniano cztery obszary (wszystkie po 17% wskazań). To wyłudzenia kredytów, nadużycia z wykorzystaniem kart kredytowych oraz nadużycia wewnętrzne i fałszowanie sprawozdań finansowych. 13% instytucji nie jest wystarczająco przygotowana na korupcję, a 8% na pranie pieniędzy i tyle samo na cyberataki.
- Bezpieczna szkoła i bezpieczne dziecko w sieci, czyli czego nie robić, by nie „sprzedawać” swoich dzieci w internecie? [POWERED BY BNP PARIBAS]
- Wybory w USA: branża krypto wstrzymała oddech. W świecie finansów to ona ma najwięcej do ugrania. Po wyborach nowe otwarcie? [POWERED BY QUARK]
- Pieniądze w rodzinie, jak o nich rozmawiać, żeby nie było niemiło? Natalia Tur i Maciej Samcik [POWERED BY BNP PARIBAS / MISJA OSZCZĘDZANIE]
Większość banków, firm pożyczkowych i leasingowych przyznaje, że w tym roku zwiększyła wydatki na walkę z nadużyciami, ale jeśli zestawimy je ze stratami, jakie generują nadużycia, wniosek jest jeden: ta walka jest nieskuteczna. Dlaczego?
Przeczytaj też: Unijna dyrektywa PSD2 miała zwiększyć nasze bezpieczeństwo. Ale… chyba coś poszło nie tak. „Absurd. Pogorszyli zamiast poprawić”
Przeczytaj też: Oswajanie tygrysa? Banki proponują klientom „zakłady” o zmianę kursów walut i kuszą: zysk wyższy, niż na lokacie. Brać czy wiać?
Amerykański i izraelski sposób myślenia
Paweł Franka, prezes VT Cyber, w panelu poświęconemu cyberzagrożeniom, uważa, że firmy po prostu źle wydają pieniądze na ochronę przed atakami hakerskimi. Przekonywał, że nie chodzi o to, żeby na zabezpieczenia wydać fortunę, ale żeby robić to z głową. Z jego obserwacji wynika, że częstym błędem jest to, że wdrożone w firmie systemy często ze sobą nie współpracują, łatwiej więc znaleźć w zabezpieczeniach słaby punkt, a w przypadku ataku zwykle gasi się skutki, a nie przyczyny.
Nawet jeśli firmę stać na drogą ochronę, to z kolei brakuje odpowiednio przeszkolonych ludzi do obsługi tych systemów. To m.in. dlatego blisko 40% systemów bezpieczeństwa zakupionych przez firmy w ogóle nie zostało przez nie wdrożonych – mówi Paweł Franka.
Zna on zarówno podejście do cyberzabezpieczeń firm amerykańskich, jak i izraelskich. To dwa różne sposoby myślenia. Opowiadał, że firmy z USA tworzą bezpieczniki w taki sposób, żeby przede wszystkim działać zgodzie z prawem, firmy z Izraela mówią: „chcę mieć taką ochronę, żeby była skuteczna”. Czy na polskim podwórku da się pogodzić te dwa podejścia? Odpowiedź nie padła.
Na drodze w walce z hakerami wieje też absurdami. Paweł Franka podał przykład Biuletynu Informacji Publicznej, w którym zobowiązane firmy i instytucje muszą publicznie „spowiadać się” z różnych rzeczy, w tym z jakich zabezpieczeń korzystają. To przecież podkładanie się hakerom, totalny absurd – mówił Franka.
A propos podkładania się hakerom, jakiś czas temu byłem na spotkaniu w firmie działającej w branży finansowej. Przy okazji zapytałem, czy mógłbym wejść do serwerowni i zrobić kilka zdjęć. Mój rozmówca zadzwonił do szefa IT, ale ten się nie zgodził. Dlaczego? Bo już informacja o tym, z jakiego modelu serwera firma korzysta, byłaby cenną wskazówką dla hakerów.
Przeczytaj też: Bank rozpozna Cię po sposobie pisania na klawiaturze i używania myszki. Czy biometria behawioralna ochroni nas przed oszustami?
Przeczytaj też: Klient zapytał bank: „ile kosztuje ubezpieczenie, które ode mnie pobieracie?”. Bank odpowiada: „to zbyt skomplikowane”
Przede wszystkim edukacja
To grzechy firm w walce z nadużyciami. A zaniedbania klientów firm finansowych? Marcin Konopka z firmy iovation mówił, że z ochroną przed hakerami często bywa tak jak z najmem mieszkania. Najemca daje klucze nieznajomej osobie, z mieszkania znikają meble, a potem pretensje ma do właściciela mieszkania, bo źle je zabezpieczył przed włamaniem.
Przekazanie kluczy to podatność na wykorzystywane przez oszustów ataki socjotechniczne, np. przekazywanie wrażliwych danych komuś, kto podaje się za pracownika banku, albo wręcz logowanie się do banku na podstawionej przez oszustów stronie internetowej.
Jak z tym sobie radzić? Uczestnicy debaty byli zgodni – potrzebna jest edukacja. Najlepiej od małego i przez zabawę – na taki pomysł wpadli ludzie z PKO BP. W ubiegłym tygodniu bank udostępnił w komunikatorze Messenger grę edukacyjną z zakresu cyberbezpieczeństwa. „Bitwa o Neta” – bo tak ją nazwano – jest kompilacją mikrogier, czyli kilkusekundowych zadań, które gracze rozgrywają w smartfonach jedno po drugim.
Pobawiłem się chwilę. Warstwa graficzna, forma – nie moja bajka, ale uważam, że gra może uczulać dzieciaki na kwestie związane z bezpieczeństwem w sieci, na to, jak ważna jest ochrona danych osobowych, instalacja programów antywirusowych na komputerach i telefonach, czy z jakim ryzykiem może wiązać się otwieranie załączników wiadomości z nieznanych źródeł.
Przeczytaj też: Jedni zabrali klientom zlecanie przelewów przez telefon, inni wycinają debet w koncie… „Bo klienci nie korzystają”
Przeczytaj też: „Traktują nas jak terrorystów”. Dlaczego mBank wypowiada niektórym przedsiębiorcom umowy o prowadzenie rachunku firmowego?
Społeczna znieczulica, a policja śpi
W dyskusji o bezpieczeństwie cyfrowym zdumiewa mnie jedna rzecz. Wyobraźcie sobie grupę ludzi, do których podchodzą bandziory i ich okradają. Fizyczny rozbój oceniony byłby przez każdego normalnego człowieka jako coś strasznego, niedopuszczalnego. Tymczasem „rozbój cyfrowy”, czyli wyłudzenie naszych danych i kradzież pieniędzy – mam wrażenie – zaczyna się traktować jak codzienność, zjawisko, do którego po prostu powinniśmy się przyzwyczaić. Uważam, że za mało społecznie piętnuje się „cyfrowe rozboje”.
Druga sprawa, na którą też zwrócili uwagę autorzy raportu, to nieprzygotowanie polskich organów ścigania do cyberzagrożeń. Prawie 60% ankietowanych przedstawicieli instytucji finansowych jako największą trudność we współpracy np. z policją wskazuje na niską skuteczność rozwiązywania spraw. Połowa narzeka na długi czas oczekiwania na reakcję czy schematyczne podejście do zgłaszanych przestępstw.
Źródło zdjęcia: Pixabay