Cyberprzestępcy kierujący się zasadą tzw. nisko wiszących owoców zwykle zajmują się w pierwszej kolejności słabszymi systemami w bankach. Z drugiej strony instytucje finansowe muszą spełniać wymogi coraz bardziej prokonsumenckiego prawa. Czy technologie rzeczywiście zapobiegają utracie danych, czy kradzieży ważnych informacji?
Sprawa zaczęła od jednego z klientów Sygma Banku, który wystąpił o zamianę posiadanej przez niego tzw. żółtej karty kredytowej jednego z supermarketów na kartę srebrną. Bank odmówił. W tej sytuacji zdenerwowany klient zażądał usunięcia swych danych z systemu informatycznego. Spór między bankiem a klientem na tyle się zaostrzył, że wmieszał się Generalny Inspektor Ochrony Danych Osobowych (GIODO). Bank ostatecznie usunął wszystkie dane klienta ze swego systemu. Pozostały one jedynie w elektronicznych kopiach zapasowych (tzw. backup) i są przechowywane w celach archiwalnych oraz dla bezpieczeństwa banku. Jednak GIODO nakazał usunięcie także kopii. Argumentował, że skoro nie było podstawy do wydania karty, to tym bardziej nie ma powodów do przechowywania danych klienta. Bank zaskarżył tę decyzję do sądu, argumentując, że przechowywanie danych w kopiach zapasowych nie narusza w żaden sposób interesu klienta, a z usunięciem danych z backupu mógłby mieć duży kłopot.
Dane z ograniczeniami
Na początku tego roku Wojewódzki Sąd Administracyjny w Warszawie przyznał jednak rację GIODO i uznał, że banki powinny usuwać z kopii zapasowych dane swych byłych klientów. WSA uzasadnił, że praktyka banku narusza art. 26 ust. 1 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem administratorzy danych mają dopilnować m.in., aby dane były zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami. Ten wyrok może zmusić banki do przebudowy systemów informatycznych i pokazuje, jak ważne przy tworzeniu systemów IT w bankach jest uwzględnianie przepisów prawa w zakresie danych osobowych.
Muszą o tym także pamiętać firmy informatyczne, które współpracują na tym polu z bankami. – Rzeczywiście to wyjątkowy klient, bo regulacje prawne dotyczące instytucji finansowych w Polsce nakładają na nie wiele obowiązków zapewnienia bezpieczeństwa danych klientów i przeprowadzanych transakcji. Banki zobowiązane są do budowania specjalnych systemów kontroli dostępu do bankowych systemów IT – mówi Bartosz Stebnicki, dyrektor generalny EMC Poland, firmy oferującej informatyczne rozwiązania do zarządzania informacjami.
Instytucje finansowe, projektując swe systemy informatyczne, muszą zwracać uwagę na szczegółowe przepisy związane z ochroną danych o klientach, takie jak ustawa o ochronie danych osobowych z 29 sierpnia 1997 r. Ale to zazwyczaj nie wystarcza. Procedury stosowane przez większość banków oraz systemy ochrony informacji pozwalają osiągnąć nawet wyższy stopień bezpieczeństwa danych osobowych niż wymagany w ramach wspominanej ustawy. To dlatego, że choć regulacje prawne określają główne zasady odnośnie utrzymania systemów informatycznych, to dobrą praktyką jest zabezpieczenie powyżej średniej. Cyberprzestępcy kierujący się zasadą tzw. nisko wiszących owoców zwykle zajmują się w pierwszej kolejności systemami słabszymi.
Najniebezpieczniejszy własny pracownik!
Nawet szefowie firm informatycznych nie próbują jednak przekonywać, że da się zbudować system informatyczny w 100 proc. nie do przejścia. Nawet jeśli wdrożymy dostępne na rynku technologie zabezpieczające, nie mamy gwarancji, że ktoś nie skopiuje danych, na przykład używając aparatu fotograficznego wbudowanego w telefon. – Na system bowiem składa się zarówno sprzęt, jak i oprogramowanie, a nie ma programu bez błędów, są tylko takie, w których jeszcze nie wykryto wszystkich uchybień – mówi Andrzej Marcol, dyrektor ds. rozwoju technologii w firmie Archidoc. Częste wpadki bywają bardzo dotkliwe. Przykład mieliśmy okazję zaobserwować w styczniu, kiedy przydarzyła się wpadka centrum rozliczeniowemu Visa, które przekazało do banków błędne dane o transakcjach kartowych. Luki w systemie informatycznym powodują, że bank może ponieść dwa rodzaje szkód. Pierwsze te bezpośrednie straty materialne, związane z uszkodzeniem zasobów teleinformatycznych, koniecznością ich odtworzenia i – co jest z tym związane – niemożnością świadczenia usług drogą elektroniczną. Drugi rodzaj to straty pośrednie, takie jak negatywny wpływ na wizerunek i wiarygodność instytucji finansowej. Nic więc dziwnego, że poszkodowane instytucje zwykle nie chcą upubliczniać informacji w obawie przed utratą klientów. Dzisiaj raczej nie zdarzają się włamania do systemów bankowych skutkujące przejęciem nad nimi kontroli przez włamywaczy. Zabezpieczenia typu „firewall” oraz bieżący monitoring są w stanie wcześnie wykryć próby włamania do systemu. Bardziej niebezpieczne są usiłowania wykradania informacji poprzez podszywanie się przestępców pod pracowników banku bądź preparowanie stron internetowych do złudzenia przypominających strony bankowe, czyli phishing. Specjaliści twierdzą, że najgroźniejsze jest wykradanie poufnych danych, takich jak loginy, hasła, numery kart kredytowych. Metodą obrony przed takimi atakami są: określenie ścisłych procedur, a przede wszystkim informowanie klientów o tych procedurach i uczulenie ich, że jakiekolwiek odstępstwo powinno być traktowane jako potencjalne zagrożenie.
Wielkie zagrożenie dla systemów informatycznych instytucji finansowych stanowią ataki dokonywane przez pracowników placówek wewnątrz sieci. Systemy zabezpieczenia danych, stosowane przez banki są stale doskonalone, podlegając rygorystycznym przepisom i procedurom. Jednak nie są one w stanie wyeliminować zagrożenia płynącego z niefrasobliwego czy też niezgodnego z prawem działania pracowników. Wykorzystując uprawniony dostęp do systemów, mają oni możliwość dokonania wielu nadużyć, takich jak: wyprowadzenie danych na zewnątrz poprzez e-mail czy skopiowanie do pamięci USB, umyślne lub nieumyślne wprowadzenie do systemu niepożądanego oprogramowania (konie trojańskie) służącego kradzieży danych.
Rynek systemów ochrony danych w Polsce rozwija się w podobnym stopniu jak w Europie Zachodniej i USA. I z dumą możemy stwierdzić, że poziom zabezpieczeń bankowości elektronicznej w Polsce jest wyższy niż w niektórych krajach Europy Zachodniej.
Marek Jaślan – Miesięcznik Bank
www.alebank.pl
Odwiedź również:
Spis treści blisko 400 porad zawartych na stronach serwisu,
Katalog praktycznych publikacji z zakresu inwestowania i nie tylko,
www.inwestorlink.pl – dodawaj i oceniaj informacje finansowe
{mosgoogle}