O XXI wieku można powiedzieć, że to czas, gdy "komputery zawitały pod strzechy". Wraz z ich upowszechnianiem się, szybko rozwija się też m.in. bankowość elektroniczna. Kluczowym aspektem związanym z jej dalszym wdrażaniem jest bezpieczeństwo. Na ten temat z Włodzimierzem Gogołkiem, ekspertem ds. systemów teleinformatycznych rozmawia redaktor Comperii - Paweł Puchalski.
Współcześnie istotnym elementem finansów osobistych jest bankowość elektroniczna. Niemal wszystkim kojarzy się ona z dostępem do konta przez internet. Co tak naprawdę kryje się pod tym pojęciem?
- To ogół rozwiązań organizacyjnych i technologicznych, które umożliwiają komunikację na linii bank-klient oraz korzystanie z usług bankowych bez angażowania w to każdorazowo pracownika banku. Służą do tego rozmaite urządzenia teleinformatyczne, które przekazują dane elektroniczne za pośrednictwem łączności cyfrowej. Do bankowości elektronicznej zaliczyć należy więc zarówno infolinię
i esemesy, jakie otrzymujemy od banku, jak i bankomaty, punkty POS (ich częścią są znajdujące się
w każdym sklepie terminale do obsługi kart płatniczych i kredytowych) oraz wspomniany przez Pana internet. Oprócz nich warto byłoby wymienić tu: mało rozpowszechniony w naszym kraju homebanking, zapomnianą już dziś telegazetę oraz zaniechaną w Polsce bankowość poprzez telewizję interaktywną.
System alarmowy, sejfy, monitoring, grube plastikowe szyby z małymi „okienkami”, odporne na pęknięcia i niemrawy ochroniarz to widoczne dla zwyczajnych klientów środki, jakie banki stosują, aby uniemożliwić dokonanie klasycznego napadu.
A w jaki sposób chroniona jest bankowość elektroniczna?
- Istnieją dwa obszary chronienia bankowości elektronicznej: jeden tkwi po stronie banku, drugi po stronie użytkownika. Myślę, że warto skupić się na tym drugim obszarze, a o pierwszym zapamiętać tylko tyle, że standardy, jakie muszą spełnić banki są naprawdę wyśrubowane i w dużej mierze opierają się na regulacjach Bazylei II. Po stronie klienta mamy do czynienia z trzema kwestiami. Pierwszą jest identyfikacja, czyli mówiąc w skrócie, przekonanie bankowego systemu informatycznego, że „ja to ja,
a nie ktoś inny”. Naturalnie nie jest ona możliwa, jeśli bank nie zna naszych danych lub nie ma do nich dostępu. Jako klienci banku jesteśmy mu jednak dobrze znani – nierzadko lepiej niż nam się wydaje. Do identyfikacji nas służą loginy i hasła. Te ostatnie sprowadzić można w zasadzie do haseł jednorazowych otrzymywanych za pośrednictwem esemesów, tokenów lub w postaci zdrapek. Drugą kwestią jest bezpieczne połączenie między urządzeniem klienta a serwerem bankowym – taką łączność zapewnia protokół https. Trzecim zagadnieniem są określone praktyki korzystania z różnych form bankowości elektronicznej, tak aby była ona bezpieczna. Katalog tych praktyk jest bardzo szeroki, wymienię choćby dwa: automatyczne przerywanie sesji po okresie bezczynności czy też informowanie użytkownika
(w momencie udanego logowania się do systemu) o wszystkich wcześniejszych nieudanych próbach połączenia się z nim.
A kto czuwa nad bezpieczeństwem systemów teleinformatycznych? I jakich gwarancji bezpieczeństwa wymaga się od tych ludzi? Pytam o to w kontekście kradzieży majątku powierzanego instytucjom finansowym, o których co pewien czas można dowiedzieć się z prasy. Jesienią 2009 roku agencje prasowe informowały o pewnej pracownicy szwajcarskiego banku, która zabrała z sejfu łącznie prawie 3 mln dolarów. Proceder wyjmowania pieniędzy trwał 5 lat – tyle zajęło bankowi, zanim się zorientował, że w jego skarbcu brakuje gotówki. Czy to możliwe, aby pracownik banku (np. główny informatyk) mógł wyprowadzić z systemu elektronicznego pieniądze zdeponowane na wirtualnym koncie? Czy bank odda wtedy nam pieniądze?
- Zacznijmy od tego, że nad bezpieczeństwem tych systemów czuwają administratorzy oraz inspektorzy. Są to osoby zatrudnione przez banki specjalnie po to, aby uniemożliwić zdarzenia, o jakich Pan wspomniał. Nie potrafię powiedzieć, jak sprawdza się uczciwość takich ludzi, natomiast mogę co nieco rzec o tym, w jaki sposób weryfikuje się ich kompetencje. W instytucjach państwowych (np. BGK), obligatoryjne jest spełnienie określonych wymagań przez owych inspektorów. Muszą oni skończyć i zaliczyć(!) specjalne kursy organizowane przez ABW oraz posiadać stosowne certyfikaty dostępu do informacji niejawnych. Mogę się domyślać, że odpowiednie służby sprawdzają także – w sobie znany sposób – uczciwość tych osób. Przyznaję natomiast, że nie mam wiedzy, jak to się odbywa w sektorze prywatnym. A co do kradzieży… Cóż? Nie ma rzeczy niemożliwych. Do takich zdarzeń dochodzi mimo, że przez cały czas trwają prace nad pogłębieniem bezpieczeństwa. Odnosząc to pytanie do bankowości elektronicznej, poruszę kwestię haseł jednorazowych. Wydawałoby się, że jak jest jednorazowe hasło,
to nie da się zrobić niczego, co zaszkodziłoby klientowi – bo mam jednorazowe hasło i nawet jak je ktoś ujrzy, to już drugi raz nie może go użyć. Ale znane jest przestępstwo o nazwie „man in the middle”. Polega ono na tym, że ktoś przechwytuje jednorazowe hasło i naszym w imieniu robi inną transakcję.
Jak temu zaradzić? Koniecznie należy sprawdzać certyfikat bezpiecznego połączenia z bankiem. Gwarancji stuprocentowych praktycznie nie mamy.
A co z pieniędzmi, które w wyniku kradzieży zniknęły z naszego konta? Czy bank je odda je nam?
- Ależ oczywiście. Tak przynajmniej deklarują banki, mamy też gwarancję transakcji. Pytanie brzmi: kiedy? Czy od razu czy dopiero po pewnym czasie? Nie zawsze się da zidentyfikować osobę, która dokonała przestępstwa, ale poszkodowani są znani. Informacje o takich kradzieżach banki trzymają
w tajemnicy, bo konsekwencją ich ujawnienia jest utrata wiarygodności i reputacji. Jeżeli tylko bank nie zbankrutuje (tu w grę wchodzi jeszcze kwestia gwarancji bankowych do wysokości określonej kwoty),
to poszkodowany klient może być pewien, że prędzej czy później otrzyma swoje pieniądze.
Jakie zabezpieczenia instaluje się w bankomatach?
- Głównym jest PIN, który powinniśmy zmieniać przynajmniej raz w miesiącu i nie dać nikomu podejrzeć, zwłaszcza kamerze, która może być ukryta gdzieś w pobliżu. Kolejnym jest karta – tu pragnę powiedzieć, że lepiej jest korzystać z kart chipowych, bo te z paskiem magnetycznym jest znacznie łatwiej podrobić. Ponadto jest jeszcze parę innych zabezpieczeń przed intruzami – chodzi o to, aby nie ukraść całego bankomatu, lub się do niego nie włamać (urządzenia wandaloodporne). Ale to jest bezpieczeństwo fizyczne, natomiast jak z każdych urządzeniem mechanicznym i elektronicznym, także z bankomatami bywają problemy. Czasami np. zdarzy się, że bankomat wypłaci nam mniej lub więcej niż powinien, niekiedy pomyli banknoty, lecz przeważnie jest to błąd operatora, który błędnie umieszcza banknoty
w kasetach bankomatu.
Skąd bankomat wie, do którego konta przypisać obciążenie, kiedy przykładowy Kowalski wybiera zeń gotówkę?
- Dzięki sieci teleinformatycznej, czyli połączeniu bankomatu z centralą. Dawniej bankomaty były off-line'owe, to znaczy, że bankomat miał (lub nie miał) w sobie informacje o klientach i na tej podstawie wypłacał środki lub nie. Obecnie odbywa się to w trybie on-line: każda transakcja wygląda tak, że dane urządzenie łączy się z serwerem i następuje sprawdzenie, czy mam wystarczającą ilość pieniędzy (lub wolnego kredytu) na koncie i czy można mi potracić taką sumę (kwestia stosowanych limitów transakcji) z rachunku. Jeśli płacę lub wyjmuję gotówkę w innej walucie, to po drodze jest dokonywane stosowne przeliczenie. Nawet będąc na drugim końcu świata, cała operacja trwa zazwyczaj sekundy,
a sprawdzanie „kto jest kto?” odbywa się na bieżąco.
Kilka tygodni temu świat obiegła następująca wiadomość: „Z jednego z japońskich banków zniknęły pieniądze po tym, jak tsunami spowodowało awarię systemu bezpieczeństwa. Z otwartych sejfów ktoś wziął sobie 40 mln jenów (500 tys. dolarów)”. Wszelka elektronika i systemy o których Pan mówi wymagają zasilania – co jeśli nagle go zabraknie?
- W Europie centrum zapasowe (miejsce, w którym przechowuje się dane elektroniczne o kontach bankowych i operacjach finansowych, także coraz częściej całe uproszczone zaplecze serwerowe) musi być oddalone od siedziby danej instytucji o co najmniej 3 km. Ale w Kalifornii i Japonii o minimum 300 km. Jeżeli ta zasada była przestrzegana, to na pewno nic się nie stało z informacjami o pieniądzach należących do klientów tego banku. Przywołany przez Pana przykład dotyczy sejfów, a więc zabezpieczeń mechanicznych, z których zginęła gotówka o wartości pół miliona dolarów. W porównaniu do dziennych przepływów finansowych w samej choćby Japonii, to śmieszna sumka, o której nie warto
w ogóle wspominać. Ale jeśli muszę skomentować tę sprawę, powiem tak – ktoś zapewne oszczędził na sejfie i kupił taki, który zasilany był bieżącym prądem i nie miał awaryjnego zasilania. A przecież są specjalne urządzenia zwane UPS-ami, które wytrzymują nawet kilkadziesiąt godzin bez prądu. Lepszą ciekawostkę dla czytelników stanowić może wzmianka o setkach milionów dolarów, jakie spaliły się przy okazji dramatu z 11 września. O tym nikt nie mówi, ale warto powiedzieć, dlaczego mimo wszystko wydarzenie to nie doprowadziło do załamania się sytuacji
w amerykańskim sektorze bankowym. Raz, że sumy te nie były wystarczająco wielkie, a dwa, że zniszczeniu uległy pieniądze w postaci gotówki. Pieniądze elektronicznym nic się nie stało, bo centra zapasowe tamtejszych instytucji finansowych – zakładam, że każda je miała – znajdowały się na zewnątrz, w znacznym oddaleniu od World Trade Center.
Największą korzyścią z bankowości elektronicznej, jaką dostrzegają zwykli ludzie, jest wygoda. W końcu, aby przelać pieniądze lub dokonać ich wypłaty, nie trzeba wychodzić z domu, jechać do siedziby banku, stać w kolejce, i rozmawiać z mniej lub bardziej życzliwymi pracownikami. Co może Pan powiedzieć o bezpieczeństwie takiego korzystania z takich usług?
- Świadome korzystanie z tego dobrodziejstwa to praktycznie zerowe ryzyko. W praktyce sprowadza się ono do kilku ogólnych wytycznych. Przede wszystkim należy uważać na PIN-y i zmieniać je, dbać o hasła jednorazowe, nie powierzać ich nawet członkom rodziny. Nie dlatego, że ktoś z rodziny nas okradnie, tylko po to, by uniknąć kłopotów gdyby ten ktoś je zgubił lub wyjawił osobie trzeciej. Dzięki rozsądkowi i przestrzeganiu kilku prostych reguł używanie bankowości elektronicznej jest bezpieczniejsze niż chodzenie do banku z gotówką bądź po jej odbiór. W tym drugim przypadku istnieje większe ryzyko, że możemy zostać okradzeni z pieniędzy, które otrzymaliśmy z rąk kasjerki. Warto pamiętać, że gotówka jest całkowicie „anonimowa” – udowodnienie zmiany właściciela (bez specjalnych zabiegów – oznaczenia, numery banknotów) jest praktycznie niemożliwa. Z tego też względu odchodzimy od transakcji gotówkowych, a coraz więcej płatności dokonujemy drogą elektroniczną.
A w jaki sposób starałby się Pan „przekonać nieprzekonanych”, wśród których gros stanowią osoby starsze, nieufne już wobec samych tylko komputerów?
- Przede wszystkim trzeba poznać podstawy technologii informacyjnych, bo taka nieufność nie wynika wyłącznie z nieumiejętności obsługi komputera, ale też z nieznajomości sieci. Dużo dobrego w tym względzie dzieje się za sprawą nauczania tzw. III wieku. To jeden z kilku sposób, aby przyswoić sobie minimum wiedzy teleinformatycznej, które to minimum wystarczy, by bezpiecznie korzystać
z bankowości elektronicznej. Tych nieprzekonanych zapytałbym: a właściwie czemu nie? Przecież jest łatwiej, szybciej i bezpieczniej. Ponadto niekiedy też nowoczesne usługi bankowe są bardziej opłacalne. Weźmy na przykład wyżej oprocentowane rachunki ROR lub lokaty internetowe. Można z nich czerpać większe zyski niż z wielu tradycyjnych depozytów bankowych, które wymagają od nas przynajmniej dwukrotnego wizytowania placówki bankowej. Co więcej, podczas tych wizyt jesteśmy zmuszeni mieć przy sobie większy plik banknotów. A przecież gotówkę można ukraść, może się zgubić, zniszczyć. Poza tym gotówka nie pracuje na siebie, odłożona w portfelu lub trzymana w pudełku nie przyrasta i nie rozmnaża się w cudowny sposób. Taki kapitał nie tylko nie jest oprocentowany, ale wręcz – z miesiąca na miesiąc – traci na wartości z powodu rosnącej inflacji. Wreszcie, korzystając z bankowości elektronicznej otwierają się przed nami nowe kanały płatności np. płacenie przelewem z konta bankowego za zakupy dokonywane w internecie.
W jednym z artykułów ogólnie dostępnych dla czytelników serwisu Comperia.pl mój redakcyjny kolega napisał tak: „Jesteśmy też narażeni na ataki hackerów. Może się zdarzyć, że nasz komputer zostanie „zainfekowany”, a nasze konto ogołocone.” Jakby Pan odpowiedział na taki argument?
- Za ogołocone przez hakera konto odpowiada bank, który musi oddać te pieniądze klientowi, jeśli nie chce, by ten fakt niekorzystnie wpłynął na reputację instytucji finansowej. Znam taki przykład sprzed wielu lat – mam tu na myśli tzw. „kradzież na salami”. Akurat nie haker, ale konstruktor oprogramowania liczącego odsetki od wkładu sprawił, że program zaokrąglał centy w dół po którejś tam pozycji po przecinku i wpłacał sobie te ułamki centów na swoje konto. To są jednak przypadki incydentalne, a jeśli nawet zajdą – to banki nie mówią o tym publicznie i prędzej wyrównają straty klienta (są do pewnych kwot ubezpieczone) niż dopuszczą do sytuacji, w której na tym ucierpi ich marka.
Jak się ustrzec przez opisywanymi przez Pana zjawiskami (phising, pharming, smishing, etc.)? Jakie miałby Pan rady dla przeciętnych internautów?
- Przede wszystkim edukacja. Nigdy żaden bank nie będzie oczekiwał od nas potwierdzenia hasła lub identyfikatora pocztą elektroniczną – to trzeba przyjąć jako pewnik. Gdy już się połączymy, to upewnijmy się, że jesteśmy połączeni z naszym bankiem, a nie z inną witryną, która się podszywa pod bank. Przed adresem www powinien widnieć skrót https://, a w razie wątpliwości nie wahajmy się sprawdzić certyfikatu. Aby to zrobić, należy kliknąć na kłódeczkę u dołu ekranu – uzyskamy informacje o uwierzytelnieniu połączenia. Token oraz karty ze zdrapkami należy trzymać w ukryciu, nie chwalić się nimi nawet członkom najbliższej rodziny, transakcje bezgotówkowe przeprowadzać samodzielnie, zmieniać hasła dostępu (co najmniej raz w miesiącu). Ponadto nie należy otwierać witryn banku poprzez odnośniki lub odsyłacze; najlepiej jest wejść na stronę główną wpisując w okno przeglądarki adres banku, a dopiero później skierować się na podstronę, na której się logujemy. Nikomu, nawet pracownikom banku nie można zdradzać swoich haseł i PIN-ów, ani tym bardziej potwierdzać ich via e-mail. Nie powinno się też korzystać z bankowości internetowej z komputerów ustawionych w miejscach publicznych, np.
w kafejkach internetowych. Jeżeli mamy na koncie większe sumy pieniędzy, to ustalmy limity płatności,
a nade wszystko kończąc sesję, pamiętajmy o wylogowaniu się, a nie tylko zamknięciu okna przeglądarki. Ponadto, im lepiej zabezpieczony jest nasz komputer (programy antywirusowe, firewall itp.), tym większa pewność, że nie padniemy ofiarą ataku ze strony hakerów. W razie problemów
z komputerem lub wątpliwości innego rodzaju zrezygnujmy z operacji, a jeśli mamy podejrzenia co do działania systemu, to postarajmy się o nich powiadomić bank. Lepiej dmuchać na zimne, niż sparzyć się ciepłym.
Również pracodawcy wolą rozliczać się z pracownikami dokonując comiesięcznych transferów wirtualnych złotówek. Czy konta dużych firm i korporacji (także tych obracających olbrzymim kapitałem) są jakoś specjalnie chronione?
Nie sądzę by tak było, wszędzie jest podobna technologia. Bankowość elektroniczna i wielki biznes były ze sobą od dawna połączone. Duże przedsiębiorstwa mają terminale u siebie – to tak, jakby kawałek banku był w firmie, a wszystkie transakcje są dokonywane z siedziby, bo tak jest wygodniej. Kadra zarządzająca takich gigantów tylko sporadycznie pojawia się w bankach, O płaceniu gotówką wielomilionowych kwot oczywiście nie mamy mowy – odbywa się to drogą elektroniczną.
Obecny system bankowy opiera się w głównej mierze na wirtualnych pieniądzach. Mając w pamięci przeszłość (swoje wieloletnie doświadczenie zawodowe i życiowe),
a równocześnie patrząc w przyszłość, czy dostrzega Pan jakieś zagrożenia dla finansów osobistych Polaków, związane z coraz większą wirtualizacją życia? (mam na myśli fakt, że kolejne obszary aktywności człowieka przenoszone są do sieci i stają się zależne od danych zgromadzonych na dyskach serwerów i szybkości ich przesyłu)
- Nie dostrzegam zagrożeń, a wręcz przeciwnie. Rodzi się bowiem nadzieja na to, że ludziom – bardziej oswojonym z technologią – w przyszłości łatwiej będzie korzystać z tych usług. Lepsze poznanie sieci, częstsze z niej korzystanie stwarza lepsze warunki dla rozwoju bankowości elektronicznej. Przykładem tego jest liczba deklaracji podatkowych złożonych drogą elektroniczną. Z raportu przeprowadzonego na zlecenie Ministerstwa Finansów wynika, że w ubiegłym roku w ten sposób rozliczyło się niemal 320 tys. Podatników, w tym zapewne będzie ponad milion. Z roku na rok ta grupa wzrasta i nie jest to jedynie potrzeba wykreowana faktem częstszego przebywania w sieci. Po prostu ludzie widzą korzyści w oszczędzaniu czasu, który mieli by poświęcić na dojazd i stanie w kolejce. Sam wypełniałem takie zeznanie i powiem Panu, że to żaden problem. Tym, co może sprawiać kłopot jest konieczność wprowadzenia wszystkich danych w odpowiednie rubryki – w przypadku większej liczby PIT-ów (gdy ktoś ma więcej różnych źródeł dochodu) – lepiej jest zlecić komuś przygotowanie rozliczenia, a samemu
w tym czasie zająć się czymś, co przyniesie nam większy pożytek.
Dziękuję za rozmowę.
Paweł Puchalski
Comperia.pl