Przewodniczący Komisji Nadzoru Finansowego w liście skierowanym do sektora bankowego napisał, że obserwowany jest dynamiczny rozwój elektronicznych kanałów dostępu do usług bankowych - szczególnie teraz w dobie pandemii - gdzie nieprofesjonalni uczestnicy rynku przenoszą swoją aktywność z tradycyjnych form kontaktu i współpracy z dostawcami tych usług na rzecz kontaktu drogą elektroniczną.
"Oprócz oczywistych korzyści dla klienta związanych z możliwością efektywnego zarządzania finansami poprzez m.in. redukcję czasu i kosztów związanych z kontaktami z bankiem, taka praktyka niesie za sobą również szereg ryzyk mających wpływ na bezpieczeństwo środków finansowych klientów" - podkreślił szef KNF.
Zwrócił uwagę, że monitoring, prowadzony przez Komisję, jak i płynące sygnały z mediów jednoznacznie wskazują o utrzymującej się niskiej świadomości klientów w obszarze zagrożeń i ryzyk związanych z korzystaniem z nowoczesnych technologii oraz niedostatecznej znajomości podstawowych zasad bezpieczeństwa przy korzystaniu z takich kanałów.
"W ocenie Komisji, pomimo prowadzonych od wielu lat kampanii i działań edukacyjnych, których inicjatorami są m.in. podmioty rynku finansowego, obserwowana jest tendencja wzrostowa liczby oszustw, których ofiarami padają konsumenci, niejednokrotnie tracący oszczędności całego życia. Konkluzja ta dotyczy zarówno osób aktywnie korzystających z nowoczesnych technologii i form komunikacji, jak również osób starszych, które z usług bankowości elektronicznej korzystają sporadycznie" - czytamy w liście.
Dlatego też - według Jastrzębskiego - banki stosując zasadę "security first", czyli bezpieczeństwo przede wszystkim, powinny prowadzić pogłębione analizy ryzyka, które uwzględnią nie tylko bezpieczeństwo środowiska teleinformatycznego zapewnianego przez dostawców, ale również ryzyka związane z korzystaniem z usług finansowych przez klientów. Takie analizy powinny też dotyczyć warunków świadczenia usług zdalnych.
"Dostawcy usług bankowych powinni mieć świadomość, że podejmowane przez nich indywidualne inicjatywy, które w ich ocenie nie wpływają negatywnie na poziom ryzyka w obszarze prowadzonej działalności biznesowej, w tym także na bezpieczeństwo środków finansowych klientów, w kontekście całego rynku finansowego i w konsekwencji wszystkich klientów tego rynku, mogą już takie ryzyko generować i stanowić czynnik ryzyka systemowego w obszarze cyberbezpieczeństwa. W kontekście powyższego, zaniepokojenie Komisji budzą obserwowane w ostatnim czasie działania dostawców mogące negatywnie wpływać na profil i poziom ryzyka związanego z bezpieczeństwem danych oraz środków finansowych klientów" - wskazał Jastrzębski.
Szef KNF przypomniał, że zgodnie z przepisami europejskimi, dopuszczalne jest wyłączenie stosowania silnego uwierzytelnienia w przypadku konkretnej płatności niskokwotowej, w oparciu o indywidualną ocenę ryzyka, z uwzględnieniem właściwych w tym zakresie przepisów RTS.
"KNF oczekuje, że rozwiązania wpływające na bezpieczeństwo środków finansowych klientów, a w oczywisty sposób za takie należy uznać decyzję o możliwości niestosowania silnego uwierzytelnienia w odniesieniu do zdalnych elektronicznych transakcji płatniczych, które dostawca uznaje za charakteryzujące się niskim poziomem ryzyka zgodnie z mechanizmami monitorowania transakcji, będą wdrażane jedynie w sposób pozostawiający klientom celową i świadomą decyzję, podjętą z wykorzystaniem elektronicznego kanału dostępu lub innej zdefiniowanej w umowie z klientem formy komunikacji, o generalnym wyłączeniu silnego uwierzytelniania dla wszystkich transakcji niskokwotowych w proponowanym przez dostawcę zakresie" - pisze w liście szef KNF.
Dodał, że przed podjęciem takiej decyzji, klient banku powinien zaakceptować informację o potencjalnym ryzyku utraty środków finansowych, w tym przypadku związanym z wyłączeniem silnej autoryzacji dla transakcji niskokwotowych.
"Dodatkowo uwzględniając stosowanie zasady +security first+, nadzór oczekuje wdrożenia w systemie transakcyjnym funkcjonalności dającej klientowi możliwość ustawienia potwierdzenia silnym uwierzytelnieniem każdej płatności" - podkreślił prezes KNF.Jastrzębski dodał, że główną metodą ataków na klientów instytucji finansowych są działania socjotechniczne, wykorzystywane przez cyberprzestępców do podszywania się pod legalnie działające instytucje finansowe i inne organizacje w celu pozyskania danych i poświadczeń klientów do logowania do bankowości elektronicznej, wykorzystywane następnie do kradzieży środków finansowych. Takie działania realizowane są przez przesyłane SMS-y, czy maile.
"W związku z powyższym, organ nadzoru stoi na stanowisku, że wysyłanie aktywnych linków do stron internetowych w wiadomościach mailowych (włącznie z osadzaniem takich linków w grafikach) oraz wiadomościach SMS adresowanych do klientów, stoi w sprzeczności z tworzonym i od lat komunikowanym klientom przekazem związanym z ryzykiem utraty danych i środków finansowych i powinno zostać wyeliminowane z praktyki na rzecz informacji statycznych, nie generujących wskazanego wyżej ryzyka oszustwa lub na rzecz przekazywania klientom informacji poprzez aplikacje mobilne oraz portale bankowości elektronicznej" - ocenił Jastrzębski.
Według szefa Komisji kolejnym czynnikiem ryzyka dotyczącym bezpieczeństwa środków finansowych i danych klientów jest sposób zabezpieczania komunikacji z klientem, prowadzonej z wykorzystaniem poczty elektronicznej.
Zwrócił uwagę, że stosowane przez dostawców praktyki polegające na zabezpieczaniu załączników przekazywanych w korespondencji mailowej prostymi hasłami, składającymi się np. z fragmentów numeru PESEL klienta, kombinacji elementów numeru PESEL z datą urodzenia, numerem telefonu lub innymi hasłami, które są możliwe do odgadnięcia przy pomocy ogólnodostępnych narzędzi informatycznych w skończonym czasie, "organ nadzoru uznaje za nieakceptowalne ze względu na fakt, że informacje te noszą znamiona informacji chronionych bądź też zawierają dane osobowe, a budowanie prostych haseł jest sprzeczne z dobrymi praktykami w zakresie bezpieczeństwa".
Według KNF, korespondencja mailowa zawierająca załączniki, zwłaszcza z danymi osobowymi, powinna być szyfrowana w sposób zapewniający poufność informacji, a hasło niezbędne do jej odszyfrowania powinno być przekazywane osobnym kanałem komunikacji, np. przez portal bankowości elektronicznej, aplikacje mobilną lub SMS.
"Z kolei umożliwienie klientowi ustawienia w bankowości internetowej indywidualnego hasła do załączników przekazywanych drogą mailową, uwzględniającego powyższe założenia i zgodnego z polityką haseł przyjętą przez dostawcę, bądź informacja o umieszczeniu załącznika w systemie bankowości elektronicznej, są rozwiązaniami, które mogą przyczynić się do pogodzenia potrzeby zapewnienia bezpieczeństwa informacji z wygodnym dostępem klienta do tych informacji. Takie rozwiązania przyczynią się do zwiększenia bezpieczeństwa danych klienta bez zmniejszenia użyteczności zdalnych kanałów dostępu" - ocenił szef Komisji.
Jastrzębski zwrócił uwagę, że edukacja i świadomość w obszarze cyberbezpieczeństwa są kluczowe w kwestii zabezpieczenia środków klientów banków i takie działania powinny być prowadzone.
"Jednakże dotychczasowe działania w tym obszarze są w ocenie nadzoru niewystarczające i nie przynoszą spodziewanych efektów, o czym świadczy skala skutecznych ataków na użytkowników usług bankowych i związany z tym poziom fraudów" - podkreślono w liście.
Według KNF banki nie powinny się koncentrować wyłącznie na swoich klientach, ale prowadzić szeroką kampanię dot. cyberbezpieczeństwa.
Jak dodano, wskazane w liście zagadnienia odnoszą się również do dynamicznie rozwijających się elektronicznych kanałów dostępu do usług bankowych w spółdzielczych kasach oszczędnościowo-kredytowych i krajowych instytucjach płatniczych.
"Informacje pozyskane w trybie nadzorczym wskazują na niską świadomość członków kas w obszarze zagrożeń i ryzyk związanych z korzystaniem z nowoczesnych technologii. Kasy i krajowe instytucje płatnicze powinny wdrożyć działania edukacyjne podnoszące świadomość istnienia zagrożeń w obszarze cyberbezpieczeństwa wśród swoich członków i klientów" - zaznaczono.
Według Komisji instytucje finansowe powinny wzmocnić wspólne działania w zakresie budowania świadomości klientów w obszarze cyberzagrożeń związanych z wykorzystaniem nowoczesnych technologii, co przełoży się na wyższy poziom bezpieczeństwa środków finansowych.