Polski sektor bankowy cechuje wysoki poziom innowacji. Polskie banki stawiają na innowacyjność m.in. w zakresie technologii mobilnych, sztucznej inteligencji i biometrii. Olbrzymie znaczenie ma także cyberbezpieczeństwo, szczególnie istotne w czasie trwającego konfliktu zbrojnego za naszą wschodnią granicą i prób destabilizacji systemów w Polsce, o czym w rozmowie z Haliną Karpińską, Dyrektor Departamentu Bankowości Elektronicznej w Banku Millennium oraz Łukaszem Ślęzakiem, Dyrektorem Departamentu Bezpieczeństwa w Banku Millennium.

Klaudia Ciesielska, BrandsIT: Jak ocenia Pani wpływ pandemii na tempo wdrażania innowacji w sektorze bankowym w Polsce?

Halina Karpińska, Dyrektor Departamentu Bankowości Elektronicznej w Banku Millennium: Pandemia znacząco przyspieszyła rozwój technologiczny, ale trzeba też pamiętać o tym, że polski sektor bankowy już wcześniej był bardzo zaawansowany technologicznie. To co na pewno się zmieniło, to podejście klientów do innowacji. Wielu z nich w czasie pandemii było niejako zmuszonych do korzystania z usług online. Szybko się przekonali, że to łatwe, wygodne i bezpieczne, dlatego te nowe nawyki klientów przetrwały pandemię i zostaną z nami na dłużej. Na koniec 1 kwartału 2022 już prawie 2,4 mln naszych klientów aktywnie korzystało z kanałów cyfrowych, co daje wzrost o 11% w stosunku do analogicznego okresu w zeszłym roku. Z tego ponad 2 mln naszych klientów korzysta z naszych usług wyłącznie na urządzeniach mobilnych, a udział kanałów elektronicznych w sprzedaży pożyczki gotówkowej wyniósł w 1Q2022 aż 78%. Takich liczb jest znacznie więcej.

K. C.: Według danych zebranych przez bankier.pl i PRNews.pl, prawie 20 mln osób w Polsce korzysta z bankowości mobilnej, w tym coraz więcej osób wyłącznie z aplikacji mobilnych. Jak Pani sądzi, co przemawia za zwiększającą się popularnością rozwiązań mobilnych w sektorze bankowym?

Halina Karpińska: Klienci lubią wygodne rozwiązania w każdej sferze życia. O przewadze banków decyduje to, że sfera finansowa przenika wiele innych. Płacimy za zakupy, za rozrywkę, za transport, odkładamy oszczędności albo zaciągamy zobowiązania, by realizować nasze plany i marzenia. Te wszystkie sprawy są wpisane w naszą codzienność, dlatego chcemy łatwo nimi zarządzać w jednej aplikacji. I aplikacje bankowe coraz częściej dają taką możliwość. Sprawdzanie salda czy zlecanie przelewu na telefonie to już standard – klienci szukają teraz czegoś więcej. W aplikacji banku można ubezpieczyć samochód, doładować telefon na kartę, kupić bilet na komunikację miejską, opłacić parking czy przejazd autostradą, a nawet wypełnić wniosek o świadczenie rodzinne czy kupić bilety do kina. W tym kierunku rozwija się bankowość mobilna.

K. C.: Dlaczego innowacyjność jest tak istotna dla sektora bankowości?

Halina Karpińska: Banki konkurują z innymi sektorami na tych samych zasadach, mimo że podlegają znacznie większym ograniczeniom regulacyjnym. Dla klienta jednak znaczenie ma to, czy może w aplikacji banku załatwić swoją sprawę do końca, czy musi przyjść do oddziału. Media społecznościowe, platformy streamingowe czy start-upy przyzwyczajają nas do pewnych standardów i takich samych doświadczeń klienci oczekują w kontakcie z bankiem. Dlatego musimy być „na czasie”, a nawet wyprzedzać niektóre trendy i sami je kreować.

Halina Karpińska

K. C.: A jak Pan ocenia poziom cyberbezpieczeństwa sektora finansowego  w Polsce?

Łukasz Ślęzak, Dyrektor Departamentu Bezpieczeństwa w Banku Millennium: Dla sektora finansowego to jedna z  najważniejszych kwestii. Zarówno banki, jak i inne jednostki sektora finansowego na bieżąco analizują i aktualizują plany działania na wypadek wystąpienia zdarzeń mogących mieć negatywny wpływ na bezpieczeństwo instytucji i środków oraz danych ich klientów. Dodatkowo, sektor finansowy objęto szeregiem regulacji co powoduje, że wdrożono w nich szereg zabezpieczeń na poziomie technicznym, procesowym i organizacyjnym, które działają w modelu wielowarstwowym (ang. defence in depth).

K. C.: Jak wygląda mechanizm podszywania się pod pracowników banku?

Łukasz Ślęzak: W tym scenariuszu przestępstwa oszust najczęściej dzwoni do swojej ofiary, przedstawia się jako pracownik banku z działu bezpieczeństwa i przekonuje, że na koncie klienta bank zaobserwował podejrzaną aktywność czy wyciek danych. Klient zostaje zmanipulowany do tego stopnia, że często podaje przestępcy swoje dane do logowania, a nawet przelewa pieniądze na nieznany numer konta. W sytuacji kiedy ktoś informuje nas, że nasze pieniądze są zagrożone, niestety często działamy pod wpływem emocji – i trudno się dziwić. Wtedy nawet najlepsze zabezpieczenia po stronie banku nie sprawdzą się, bo zadziała socjotechnika. Czasem dochodzi również do sytuacji, w których do klienta dzwoni osoba podszywająca się przez pracownika banku, w którym klienci nie mają kont, ale tutaj również zdarzają się przypadki, że emocje biorą górę i klienci zostają skutecznie zmanipulowani. Dlatego tak ważne jest edukowanie i ostrzeganie klientów, żeby byli świadomi zagrożenia. Od początku pandemii znacząco zwiększyliśmy liczbę kampanii edukacyjnych skierowanych do naszych klientów. Wprowadziliśmy też rozwiązania technologiczne, aby chronić klientów przed vishingiem, w tym notyfikację na telefon klienta, w której potwierdzamy tożsamość pracownika banku, który do niego dzwoni.

K. C.: Z jakimi wyzwaniami w zakresie cyberbezpieczeństwa będzie mierzył się sektor bankowy w tym roku?

Łukasz Ślęzak: Odnotowujemy jako sektor coraz więcej sytuacji, w których klienci banków padają ofiarą oszustów. W większości przypadków sytuacje te wynikają z braku przestrzegania przez klientów podstawowych zasad bezpieczeństwa, takich jak np. niepodawanie danych do logowania czy nieściąganie aplikacji z nieznanych źródeł. Coraz częściej klienci padają ofiarą przestępstw wykorzystujących socjotechnikę. W każdym z tych przypadków kluczowa jest świadomość klientów dlatego banki, w tym Bank Millennium, wspólnie z ZBP, KNF oraz indywidulanie prowadzą intensywną edukację swoich klientów, stale przypominają o zagrożeniach w sieci i konieczności przestrzegania reguł bezpieczeństwa. Publikujemy ostrzeżenia i rekomendacje dotyczące zasad bezpieczeństwa. W sytuacji gdy otrzymujemy informacje o nowym sposobie oszustwa, natychmiast wysyłamy też klientom ostrzeżenia za pośrednictwem różnych kanałów komunikacji – opisujemy metodę działania przestępców i edukujemy, w jaki sposób można uniknąć zagrożenia. Reagujemy na każdy sygnał, który może być próbą wyłudzenia informacji lub środków od klientów. Jesteśmy w stałym kontakcie z organami ściągania – m.in. policją, prokuraturą  i deklarujemy w każdym przypadku pełną gotowość do współpracy z nimi.

Początek roku i kryzys w Ukrainie pokazały dodatkowo, jakich trendów będziemy mogli się spodziewać w tym roku. Największymi zagrożeniami dla banków w tym roku będą: ataki DDoS, kampanie phishingowe oraz złośliwe oprogramowanie. Ataki DDoS są skutecznie niwelowane poprzez szereg wewnętrznych, odpowiednio dostosowanych rozwiązań IT oraz korzystanie z najlepszych usług zewnętrznych w tym zakresie. Wpływ kampanii phishingowych banki skutecznie niwelują poprzez wprowadzenie odpowiedniej komunikacji dla klientów oraz ciągły rozwój rozwiązań wewnętrznych, które minimalizują ewentualne straty klientów. Dodatkowo, w zakresie phishingu banki również są wspierane przez firmy zewnętrzne specjalizujące się w obsługiwaniu tego typu zagrożeń (np. usuwanie stron phishingowych). Jeśli chodzi o ataki związane ze szkodliwym oprogramowaniem, banki już teraz są bardzo silnie chronione co jest między innymi skutkiem wymagań nadzorczych, natomiast można zaobserwować ciągły rozwój tego typu rozwiązań oraz uszczelniania polityk  antymalware.

Z punktu widzenia klientów najistotniejsze jest jednak maksymalne przestrzeganie zasad bezpieczeństwa, dlatego tak kluczowe są działania edukacyjne, które prowadzimy.

Łukasz Ślęzak