Druga w tym roku awaria systemu kart Visa pokazuje, że transakcje elektroniczne nadal bywają zawodne. Ciągle zdarzają się też udane ataki hakerów na klientów banków. O systemach zabezpieczeń w bankach i koniecznej edukacji klientów rozmawiają uczestnicy debaty zorganizowanej przez Gazetę Prawną.
DEBATA
ROBERT LIDKE
Gdy w Polsce dane personalne kilkuset osób, które ubiegały się o pracę w banku, stają się nagle ogólnodostępne w internecie, gdy strony internetowe banków są podrabiane przez hakerów, a ich klienci nieświadomie dają przestępcom dostęp do swoich kont, opinia publiczna zaczyna się zastanawiać, czy operacje dokonywane przez internet są bezpieczne.

Strefy wyższego ryzyka

REMIGIUSZ KASZUBSKI
dyrektor Związku Banków Polskich
We wszystkich wspomnianych przypadkach zawiódł człowiek. Mamy tu do czynienia z błędami poszczególnych osób i brakiem zachowania zasad należytej staranności. W bankowości elektronicznej krytycznym ogniwem jest klient, ale tylko ten niewyedukowany, naiwny, niedbały. Natomiast jeśli oceniamy bankowe systemy zabezpieczeń, to należy stwierdzić, że są one solidne i wysoko oceniane. Banki stosują coraz bardziej wyrafinowane metody zabezpieczeń - kryptografię, a ostatnio nawet biometrię. Stale rozwijają metody ochrony swoich systemów. To, co jest potrzebne, to lepsza edukacja klientów. Szczęśliwie w Polsce większość klientów bankowości internetowej to ludzie dobrze wyedukowani. Stąd też liczba udanych oszustw jest niewielka w porównaniu z innymi krajami. Nie oznacza to jednak, że edukacja jest na właściwym poziomie.
ANDRZEJ KAWIŃSKI
prezes zarządu Wincor-Nixdorf
Zagrożeniem dla stosowania wynalazków jest mała świadomość ryzyka. Bezpieczne korzystanie z technologii wymaga niemałych umiejętności, a to oznacza, że kluczową rolę powinna odgrywać edukacja.
ROBERT KĘPCZYŃSKI
starszy konsultant IBM Polska
Nie zgadzam się z poglądem, że bardzo istotnym czynnikiem dojścia do bezpiecznej e-bankowości jest edukacja klientów. Zanim to uzasadnię, kilka uwag o specyfice przelewu internetowego. Po wykonaniu przelewu internetowego nie zostaje żaden trwały ślad materialny ani po stronie klienta, ani po stronie banku. Są tylko zapisy na dysku, które można łatwo zmienić. Także inne czynniki utrudniają szukanie winnych nieautoryzowanego przelewu. W transakcjach kartowych i czekowych, w których także nie ma bezpośredniego kontaktu między stronami transakcji, ryzyko klienta jest prawnie ograniczone, pod warunkiem że klient w bezpieczny sposób posługuje się kartą lub czekiem. Takiego ograniczenia nie ma w przelewach internetowych. Co więcej, typowy klient nie jest w stanie skutecznie zabezpieczyć swojego komputera. Medialne nagłośnienie sporów między bankami internetowymi a klientami, kto jest winny i kto powinien ponieść koszty oszukanych przelewów, stanie się głównym czynnikiem erozji zaufania do tego typu usług bankowych.
SEBASTIAN PTAK
dyrektor zarządzający Blue Media
W e-bankowości wyróżniłbym cztery strefy: bezpieczeństwo samej technologii, bezpieczeństwo działania jej dostawców i serwisantów, komunikacja z jej użytkownikami i ich edukowanie oraz osobiste poczucie bezpieczeństwa użytkowników. Jeśli pierwsze trzy strefy obiektywnie gwarantują bezpieczeństwo, a klient nie korzysta z e-bankowości, to oznacza, że nadal nie czuje się bezpiecznie. W Polsce poziom bezpieczeństwa technologicznego jest wysoki. Nigdy nie zdarzył się przypadek, aby dokonano włamania na e-konto i zadysponowano znajdującymi się tam środkami wbrew woli właściciela. Jeśli słyszymy o oszustwach, to takie przypadki zawsze są efektem błędu użytkownika, który oszukany przekazał swój login i hasło. Dlatego edukacja klienta, która nauczy go omijać pułapki oszustów, odgrywa kluczową rolę.
PODSUMOWANIE
Banki stosują coraz nowocześniejsze systemy zabezpieczeń, ale muszą więcej uwagi poświęcać edukowaniu klientów

Komunikacja perswazyjna

JERZY CICHOWICZ
W ostatnich dziesięcioleciach funkcjonowanie banków zmieniło się diametralnie. Jednak wraz z przeniesieniem tradycyjnych operacji dokonywanych przy okienku w oddziale banku do internetu banki przerzuciły dużą część odpowiedzialności za przeprowadzane transakcje na klientów. Przekazy edukacyjne o zagrożeniach w e-bankowości nie odnoszą pożądanego skutku. Dlaczego? Bo nie są wyrażane językiem ciekawym i zrozumiałym dla przeciętnego użytkownika e-bankowości. Zbyt często pojawia się inżynierski bełkot, który dla klienta jest nudny - wywołuje wrażenie, że nie sposób pojąć spraw, których ten przekaz dotyczy. Owszem, edukacja jest potrzebna, ale należy ją starannie przemyśleć i przygotować. Jeśli edukacja prowadzona przez poszczególne banki ma być skuteczna, należy najpierw wypracować nowy język mówienia o bezpieczeństwie bankowości internetowej. Chodzi o stworzenie komunikacji perswazyjnej, która mówiąc o rzeczach technicznych w sposób obrazowy i sugestywny ma szansę nie tylko dotrzeć do odbiorców - klientów bankowości elektronicznej, ale w istotny sposób wpłynąć też na ich zachowania.
ROBERT LIDKE
W szkołach uczy się obsługi komputera i poruszania się po internecie. Czy nie należy też uczyć młodych ludzi zasad bezpiecznego korzystania z takich dobrodziejstw e-gospo- darki, jak np. bankowość elektroniczna?
REMIGIUSZ KASZUBSKI
Z realizacją transakcji w internecie jest jak z jazdą na rowerze. Nie wystarczy dać komuś rower, bo jeśli ta osoba nie wie, gdzie są pedały i hamulce, do czego służy kierownica i tego, że jeśli nie usiądzie na siodełku i nie pokręci pedałami, nie pojedzie. Istotą jest edukacja. W każdej szkole powinny być takie lekcje, które oswajają młodych z innowacjami, pozwalają im być na bieżąco np. z e-bankowością, czy uczą kontaktowania się z urzędem on-line.
SEBASTIAN PTAK
Trudność polega na tym, że każdy bank ma własną technologię, co sprawia, że bankowość elektroniczna działa w każdym z banków inaczej. Dlatego kształcenie klientów przez poszczególne banki ma sens.

Uregulowanie ryzyka

ROBERT KĘPCZYŃSKI
Bank nie powinien zakładać, że klient ma odpowiednią wiedzę o bezpieczeństwie komputera osobistego i internetu. Jednak aktualna praktyka zakładania e-kont pokazuje, że powszechnie przyjmuje się założenie, iż klient doskonale wie, jak się posługiwać przekazanymi gadżetami do bezpieczeństwa i aplikacją bankową. Formalny wymóg odpowiedniej wiedzy klienta o mechanizmach bezpieczeństwa przelewów internetowych prowadzi wprost do nieuzasadnionego przerzucenia na klienta kosztów oszukanych transakcji elektronicznych.
ANDRZEJ KAWIŃSKI
Świadomość potencjalnych zagrożeń u użytkowników e-bankowości rośnie jako skutek użytkowania. Większość z nich podziela jednak przekonanie, że elektroniczna bankowość jest relatywnie bezpieczniejsza od bankowości tradycyjnej, w której łatwiej o kradzież dokumentów czy wprost pieniędzy.
KRZYSZTOF KOWALSKI
dyrektor departamentu alternatywnych kanałów dystrybucji w Getin Bank
Z usług e-banków korzystają też ludzie, którzy nie znają zasad bezpieczeństwa. Dlatego to na bankach spoczywa obowiązek edukowania klientów. Wiele współczesnych ataków na klientów e-banku polega na próbie wydobycia od nich numerów kont i PIN. Okazuje się, że coraz mniej ludzi daje się na to nabrać. Jeszcze kilka lat temu ofiar tego rodzaju ataków byłoby więcej. Poziom wyedukowania rośnie, również poziom zabezpieczeń. Dziś banki współpracują z klientami i ze sobą nawzajem. Każda zidentyfikowana próba kradzieży danych (loginów, haseł) w ciągu kilku kwadransów stawia wszystkie banki w stan alarmu.
PODSUMOWANIE
Coraz więcej osób potrafi prawidłowo zareagować na nielegalna próbę wydobycia numeru konta czy loginu, a każda zidentyfikowana próba kradzieży danych stawia bank w stan alarmu

Licencja na użytkowanie

ROBERT LIDKE
A może warto wprowadzić w e-bankach coś w rodzaju prawa jazdy - chodzi mi o certyfikat warunkujący korzystanie z tego rozwiązania?
JERZY CICHOWICZ
prezes zarządu Elkart
Uczciwy sprzedawca piły motorowej do wycinki drzew nie sprzeda tego urządzenia, zanim nie nauczy klienta posługiwania się nim. Bez wstępnej edukacji taka piła jest zbyt niebezpieczna. Bankowość internetowa też jest niebezpieczna, o ile jej użytkownik nie przestrzega zasad bezpiecznego postępowania. Celem edukacji powinno tu być wypracowanie konkretnych umiejętności. Na razie poszczególne banki konkurują ze sobą i zapewniają klientów o zaletach ich systemów bezpieczeństwa. Jednak klient sam musi się uczyć bezpiecznego korzystania z ich oferty. Słysząc o wyciekaniu danych i atakach hakerów może dojść do wniosku, że tradycyjne powiedzenie o bezpieczeństwie depozytów złożonych do banku nie obowiązuje w e-bankach.
ROBERT KĘPCZYŃSKI
Powtórzę: niewiele da edukacja klienta, skoro nie dokonano podziału ryzyka transakcji internetowej między bankiem i klientem. Zdefiniowanie tego podziału pozwoli określić potrzebny zakres wiedzy, którą klient powinien posiąść. I w konsekwencji sprecyzować zakres odpowiedzialności obu stron w umowie. Przez kilkanaście miesięcy z kont elektronicznych jednego z banków w Szwecji wyciekło ponad 8 mln koron. Ten przykład po winien dać bankowcom wiele do myślenia.
SEBASTIAN PTAK
Statystyki dowodzą, że w przypadkach kradzieży pieniędzy chodzi na ogół o fizyczną napaść i kradzież. Pieniądze zdeponowane w e-banku są o wiele bardziej bezpieczne.
PODSUMOWANIE
Zdefiniowanie podziału ryzyka transakcji internetowej między bankiem a klientem pozwoli sprecyzować zakres odpowiedzialności obu stron w umowie

Dopracowanie systemu

REMIGIUSZ KASZUBSKI
Każdy postęp wiąże się z ryzykiem. Początki korzystania z energii elektrycznej czy motoryzacji zostały okupione ofiarami. W e-bankowości zaś nigdy nie doszło do włamania się na konto i kradzieży zdeponowanych tam pieniędzy z winy niedoskonałości technologii i zabezpieczeń. Za każdym przypadkiem kradzieży stoi człowiek - jego błąd lub słabość. Odpowiednim remedium jest więc edukacja. Z badań przeprowadzonych na zlecenie Związku Banków Polskich wynika, że przeciętny użytkownik e-banków ma wyższe wykształcenie i pochodzi z dużego miasta. Z kolei przeciętny użytkownik handlu w internecie również pochodzi z dużego miasta i ma minimum średnie wykształcenie. Zastanawiajmy się, jak z naszymi przestrogami trafić pod strzechy do ludzi wykluczonych cyfrowo, którzy na razie nie znają komputera i nie mają dostępu do internetu, ale wkrótce to może się zmienić. Dla nich wciąż obowiązuje zasada, że coś jest pewne jak w banku. Naszym zadaniem jest nauczenie ich, że mogą być również pewni bezpieczeństwa bankowości internetowej, pod warunkiem wszakże zachowania ostrożności i przestrzegania zasad bezpiecznego postępowania.
ROBERT KĘPCZYŃSKI
Klient e-banku powinien być prawnie chroniony górnym limitem kosztów, które może ponieść w wyniku oszukanego e-przelewu. Wtedy transakcje w bankowości internetowej upodobnią się formalnie do transakcji kartowych i czekowych. Póki co to ryzyko jest nieograniczone. Ponadto e-banki powinny tak konstruować swoje e-produkty, aby możliwe było ograniczenie ryzyka związanego z możliwością wystąpienia masowych zautomatyzowanych ataków na konta klientów do poziomu, który daje się kontrolować. Wtedy zamiast zapewnień o bezpieczeństwie przelewów internetowych, będzie można rzetelnie podzielić ryzyko nieautoryzowanych przelewów.
REMIGIUSZ KASZUBSKI
Polskie banki elektroniczne są w świecie liderami pod względem wdrożonych w nich zabezpieczeń. Pod względem zastosowania technologii mogą dziś dawać przykład nie tylko innym branżom, ale i administracji publicznej. Gdyby przełożyć obowiązujące w nich standardy na działanie administracji, Polska wykonałaby cywilizacyjny skok, a tempo rozwoju społeczno-gospodarczego osiągnęłoby nieznane dotąd przyspieszenie.
PODSUMOWANIE
Banki powinny wprowadzić regulacje, które określą maksymalny poziom strat w wyniku kradzieży z e-konta. Wtedy transakcje w bankowości internetowej upodobnią się formalnie do transakcji kartowych i czekowych

Bezpieczeństwo danych

ROBERT LIDKE
Można nie korzystać z internetu, a nawet nie mieć konta w banku, a i tak paść ofiarą e-przestępców. Przecież jeśli ktoś przechwyci nasze dane, może założyć konto w banku, wziąć kredyt i zniknąć.
KRZYSZTOF KOWALSKI
Przechwycenie danych jest o wiele łatwiejsze z papierowych kopii dokumentów, jakie często wykonujemy i pozostawiamy w różnych instytucjach. Dane zapisane w systemie informatycznym są solidniej zabezpieczone.
ROBERT KĘPCZYŃSKI
W Polsce PESEL jest powszechnie stosowanym unikalnym identyfikatorem osoby. Oznacza to, że haker dysponując nim może z różnych baz danych (w urzędach, szkołach, zakładach pracy, bankach, a nawet sklepach) wyciągać informacje dotyczące określonej osoby. Potem, gdy wcieli się w jej tożsamość, może korzystać z dobrodziejstw m.in. e-bankowości. W Niemczech i Austrii obowiązuje zakaz powszechnego stosowania unikalnych identyfikatorów obywateli.
ANDRZEJ KAWIŃSKI
Gdybyśmy już mieli dowody osobiste z danymi biometrycznymi zapisanymi na chipie, trudniej byłoby przechwycić dane osobowe, a nasze bezpieczeństwo byłoby większe. Nasze prawo jest mocno zapóźnione w stosunku do praktyki. Wspomniana sytuacja jest tego przykładem.
REMIGIUSZ KASZUBSKI
Polskie ustawodawstwo dotyczące transakcji elektronicznych jest bodaj najbardziej restrykcyjnym prawem w całej Europie. Dane klientów e-ban- ków objęte są tajemnicą bankową, a to oznacza, że osobom winnym wycieku tych danych grozi kara do trzech lat pozbawienia wolności, a bankowi - kara grzywny do 1 mln zł. Ponadto polskie banki najpóźniej od 1 listopada 2009 r. będzie obowiązywać nowe prawo będące skutkiem wdrożenia dyrektywy europejskiej o usługach płatniczych (Payment Services Directive). Regulacja nakłada na banki dużo obowiązków informacyjnych i restrykcji za niewłaściwe traktowanie klienta. Nie możemy więc twierdzić, że klient e-banku nie jest chroniony. Klientom zależy, by prowadzić transakcje łatwo, szybko i bezpiecznie. Banki wychodzą tym oczekiwaniom naprzeciw, bo zależy im na reputacji. Dążą do tego, by rozwiązania prawne, organizacyjne i technologiczne zapewniały klientom poczucie bezpieczeństwa. Oby inne branże i administracja publiczna potrafiły pójść w ich ślady.
PODSUMOWANIE
Ochronę danych osobowych wykorzystywanych w sieci mogłoby zwiększyć wprowadzenie dowodów osobistych z danymi biometrycznymi
PROBLEMY SYSTEMU VISA
W tym roku system Visa miał już dwie awarie, pierwsza w styczniu, kolejna kilka dni temu. W jej wyniku wypłaty części klientów z bankomatów zostały zaksięgowane podwójnie. Poszkodowani zostali głównie klienci Kredyt Banku, PKO BP, GE Money Banku i BZ WBK. Przed skutkami awarii tym razem uchroniły się instytucje, które bardziej ucierpiały w styczniu, n.p.: MultiBank i mBank wdrożyły rozwiązania pozwalające na bieżąco weryfikować poprawność przesyłanych plików z zapisem transakcji.
KRZYSZTOF KOWALSKI
dyrektor departamentu alternatywnych kanałów dystrybucji w Getin Bank
Przechwycenie danych jest o wiele łatwiejsze z papierowych kopii dokumentów, jakie często wykonujemy i pozostawiamy w różnych instytucjach. Dane zapisane w systemie informatycznym są solidniej zabezpieczone
ROBERT KĘPCZYŃSKI
starszy konsultant IBM Polska
Medialne nagłośnienie sporów między bankami internetowymi a klientami, kto jest winny i kto powinien ponieść koszty oszukanych przelewów, stanie się głównym czynnikiem erozji zaufania do tego typu usług bankowych
REMIGIUSZ KASZUBSKI
dyrektor Związku Banków Polskich
Dane klientów e-banków objęte są tajemnicą bankową, a to oznacza, że osobom winnym wycieku tych danych grozi kara do trzech lat pozbawienia wolności, a bankowi - kara grzywny do 1 mln zł
ANDRZEJ KAWIŃSKI
prezes zarządu Wincor-Nixdorf
Bezpieczne korzystanie z technologii wymaga niemałych umiejętności, a to oznacza, że kluczową rolę powinna odgrywać edukacja
SEBASTIAN PTAK
dyrektor zarządzający Blue Media
Jeśli słyszymy o oszustwach, to takie przypadki zawsze są efektem błędu użytkownika - to oszukany przekazał swój login i hasło
JERZY CICHOWICZ
prezes zarządu Elkart
Wraz z przeniesieniem tradycyjnych operacji dokonywanych przy okienku w oddziale banku do internetu banki przerzuciły dużą część odpowiedzialności za przeprowadzane transakcje na klientów
Debata odbyła się w Związku Banków Polskich. Prowadził ją ROBERT LIDKE, redaktor naczelny GP, opracował Krzysztof Polak
GP RADZI

Jak zabezpieczyć transakcje bankowe

Czy w razie kradzieży karty płatniczej podczas pobytu za granicą należy, nie czekając na powrót do kraju, zgłosić to zdarzenie do banku?
Tak
W razie utraty karty jej posiadacz powinien niezwłocznie skontaktować się z bankiem lub organizacją, która ją wydała. Musi to zrobić od razu, nawet wówczas, gdy do kradzieży doszło za granicą. Nie wolno czekać ze zgłoszeniem na powrót do kraju, ponieważ złodziej w tym czasie może opróżnić konto.
Powinien zadzwonić do dostępnego przez całą dobę centrum autoryzacji kart, do którego numer zapisany jest na odwrocie karty. Natomiast wydawca karty ponosi odpowiedzialność za przeprowadzone nią transakcje dopiero od momentu zgłoszenia jej utraty. Maksymalna odpowiedzialność właściciela karty za transakcje przeprowadzone przed zgłoszeniem jej utraty wynosi równowartość 150 euro, pod warunkiem przestrzegania umowy o wydanie karty oraz regulaminu karty, który stanowi integralną część umowy.
Podstawa prawna
• Ustawa z 12 września 2002 r. o elektronicznych instrumentach płatniczych (Dz.U. nr 169, poz. 1385) oraz ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. nr 144, poz. 1204 z późn. zm.).
Chcę robić zakupy przez internet i płacić kartą. Czy przy dokonywaniu płatności zawsze muszę przekazywać numer karty?
Nie
Numer karty należy przekazywać rozważnie i tylko wówczas, gdy żąda go osoba mająca do tego uprawnienia. Odradzam odpowiadać na pytania w poczcie elektronicznej dotyczące karty oraz na maile, które zapraszają do odwiedzenia strony internetowej w celu weryfikacji danych o karcie. O takiej sytuacji należy zawiadomić bank, który wystawił kartę. Nie należy też udostępniać numeru karty przez telefon nawet wówczas, gdy osoba dzwoniąca informuje, że chce zweryfikować dane, bo na przykład ma problemy z komputerem. Bank nigdy nie wysyła do swoich klientów pytań dotyczących aktualizacji danych.
Podstawa prawna
• Ustawa z 12 września 2002 r. o elektronicznych instrumentach płatniczych (Dz.U. nr 169, poz. 1385) oraz ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. nr 144, poz. 1204 z późn. zm.).
Czy płacić przez internet można z każdego komputera? Czy bezpiecznie jest przekazywać pieniądze ze swojego konta z komputerów znajdujących się w miejscach publicznych?
Nie
Aby ochronić pieniądze znajdujące się na koncie, płatności przez internet należy dokonywać tylko korzystając z pewnych komputerów, a nie na przykład w kawiarniach internetowych lub w innych miejscach publicznych. Bezpiecznym komputerem lub telefonem komórkowym podłączonym do internetu jest tylko ten, który ma zainstalowany program antywirusowy, w dodatku na bieżąco aktualizowany. Trzeba też zadbać o aktywizację istotnych modułów w pakiecie ochronnym, np. monitora antywirusowego lub skanera poczty. Nie wolno też wyłączać tych modułów po to tylko, aby na przykład zredukować obciążenia systemu.
Informacje o tym, czy usługa internetowa ma zapewniony bezpieczny kanał dystrybucji, można uzyskać u swojego dostawcy internetu. W dodatku warto instalować w swoim komputerze tylko legalne oprogramowania, ponieważ programy niewiadomego pochodzenia mogą być przygotowane przez hakerów i na przykład mieć wirusy.
Podstawa prawna
• Ustawa z 12 września 2002 r. o elektronicznych instrumentach płatniczych (Dz.U. nr 169, poz. 1385) oraz ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. nr 144, poz. 1204 z późn. zm.).
Czy wchodząc na stronę banku przez internet w celu wykonania transakcji można zabezpieczyć swój komputer? Dokonywanie przelewów przez internet z mojego konta w banku bardzo ułatwiłoby dokonywanie płatności moich zobowiązań. Czy istnieje możliwość zabezpieczenia komputera przed wejściem na stronę internetową banku, aby osoby postronne nie pobrały z mojego konta pieniędzy?
Tak
Należy zainstalować program antywirusowy i wykonywać okresowe skanowanie komputera przed wejściem na stronę internetową banku i wykonywaniem transakcji. Jednak większość tych programów przy włączonym monitorze antywirusowym ma taką samą wykrywalność jak skaner. Dlatego w takich przypadkach nie ma potrzeby skanowania komputera. Natomiast w tych programach, gdzie tzw. detekcja komputera jest niższa niż w skanerze, może powstać luka w programie bezpieczeństwa.n
Podstawa prawna
• Ustawa z 12 września 2002 r. o elektronicznych instrumentach płatniczych (Dz.U. nr 169, poz. 1385) oraz ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. nr 144, poz. 1204 z późn. zm.).
DGP
DGP
DGP
DGP
DGP
ST