Rozmowa z Michałem Pyszyńskim, Dyrektorem Biura Cyberbezpieczeństwa w Banku Gospodarstwa Krajowego.
–Dominika Utrata: Nasze życie coraz częściej przenosi się do wirtualnej rzeczywistości. Jakie są tego ryzyka?
–Michał Pyszyński: To prawda. Wielu z nas nie odwiedza już placówek pocztowych czy bankowych, wizyty lekarskie odbywamy w formie teleporady, a zakupy robimy przez Internet. Na każdym kroku towarzyszą nam rozwiązania płatnicze i identyfikujące naszą tożsamość, przykładowo nie musimy dziś nosić przy sobie dokumentów potwierdzających tożsamość – możemy „mieć” je w aplikacji.
Wiele usług stało się cyfrowych, przez co również komunikacja jest zdalna – aby móc funkcjonować w takim świecie każdy z nas ma cyfrową tożsamość: dowód mamy w aplikacji, identyfikacja naszej twarzy odbywa się na podstawie danych biometrycznych, a podpis elektroniczny potwierdzają certyfikaty. Wszystkie czynności, których dokonujemy w Internecie, opierają się aktualnie na polityce potwierdzania: „ja jako internetowa tożsamość (zbiór wszystkich moich cech) potwierdzam, że chcę dokonać konkretnej czynności poświadczając to swoimi danymi”. Taki rozwój i funkcjonowanie technologii wiąże się z większym ryzykiem kradzieży naszych danych i pieniędzy. Bardzo często odbywa się to niestety z naszym nieświadomym udziałem. Prawda jest taka, że oszustwa internetowe to już nie pojedyncze incydenty tylko nasza codzienna rzeczywistość.
–DU: Mamy coraz więcej cyfrowych rozwiązań finansowych: przelewy online, BLIK, przelewy na telefon – czy transakcje internetowe są bezpieczne?
–MP: Pierwszą kwestią, którą należy poruszyć jest fakt, że wiele elementów bezpieczeństwa wprowadzają już same instytucje finansowe, które kreują rozwiązania minimalizujące ryzyko próby oszustwa. Przykładowo jedną ze zmian, które wprowadzają banki, jest rezygnacja z wysyłania do klientów maili zawierających linki oraz załączniki. Taka praktyka minimalizuje ryzyko kliknięcia w linki, czy pliki przesłane przez oszustów. Zamiast tego banki odsyłają klientów do swoich oficjalnych platform, na których klient sam może zweryfikować informacje – jest to mniej wygodny, ale dużo bardziej bezpieczny sposób przekazywania informacji.
Innym elementem zapewniającym większe bezpieczeństwo, jest logowanie dwuskładnikowe, czyli tzw. podwójne uwierzytelnienie. Polega ono na tym, że podczas logowania musimy skorzystać z kilku kanałów składających się z różnych właściwości:
- to co wiem, czyli to, co mam w myślach – najczęściej są to wymyślone przez nas login, hasło czy kod dostępu;
- to kim jestem, czyli nasze fizyczne cechy – dane biometryczne;
- to co mam przy sobie – coś co fizycznie przy sobie posiadamy, najczęściej jest to telefon, token, aplikacja.
Te trzy elementy pozwalają na zachowanie bezpieczeństwa i pewności, że osobą dokonującą transakcji jesteśmy właśnie my, a nie ktoś, kto się pod nas podszywa. W świecie wirtualnym, ważne jest właśnie to „fizyczne” potwierdzenie tożsamości np. poprzez tylko nam znane informacje czy przedmioty, które fizycznie posiadamy.
Mówiąc o bezpieczeństwie płatności mamy na myśli głównie banki, ale przykładowo portale zakupowe typu marketplace również starają się w maksymalnym stopniu zadbać o bezpieczeństwo swoich użytkowników, np. weryfikując tożsamość osób sprzedających. Nie wszystkie ryzyka da się jednak wyeliminować, czy nawet ograniczyć. Pamiętajmy, że technologia nie jest niezawodna. Banki i sklepy internetowe dbają o bezpieczeństwo użytkowników, jednak musimy zdawać sobie sprawę, że za nasze bezpieczeństwo w sieci jesteśmy odpowiedzialni przede wszystkim my.
–DU: W jaki sposób my, jako użytkownicy, możemy dodatkowo się zabezpieczyć?
–MP: Ograniczmy zaufanie. Podstawowa zasada Internetu to nie klikać w nieznane linki. Ciekawość nie powinna przeważać nad rozsądkiem, powstrzymajmy się od klikania w kuszące promocje, informacje o wygranej. Bądźmy czujni, gdy dzwoni do nas bank, policjant czy przysłowiowa ciocia z Ameryki. Nie otwierajmy też załączników ani plików z podejrzanych źródeł – jeśli nie oczekujemy przesyłki, nie otwierajmy maili od firmy kurierskiej ze śledzeniem paczki.
Podejmujmy rozsądne i przemyślane decyzje. Przy tak szybkim rozwoju technologii ważna jest ciągła edukacja na temat działania systemów: ich zalet i zagrożeń.
Jako bank prowadzimy akcje edukujące w zakresie cyberbezpieczeństwa jak np. Zostań Ninja! Chroń swoje dane – na naszej stronie można zapoznać się z głównymi zasadami cyberbezpieczeństwa. Na podstawie opisu prawdziwych historii można przeczytać o najpopularniejszych metodach oszustów i dowiedzieć się jak sobie radzić w podobnych sytuacjach.
Jako użytkownicy bankowości elektronicznej przestrzegajmy też kilku kluczowych zasad bezpieczeństwa:
1.Sprawdźmy, czy połączenie jest szyfrowane (przy adresie banku powinna być kłódka).
2.Upewnijmy się, że logujemy się na właściwej stronie sprawdzając certyfikat strony (klikając w kłódkę przy adresie banku).
3.Podczas logowania przez stronę korzystajmy z logowania dwuskładnikowego.
4.Regularnie zmieniajmy hasła.
5.Korzystajmy z uwierzytelnienia przelewu za pomocą sms, aplikacji, czy kodu.
6.Włączmy mailowe/smsowe powiadomienia o dokonaniu transakcji, logowaniu na konto.
7.Pamiętajmy o ustawieniu limitów transakcji.
8.Warto wyłączyć kanały, z których nigdy nie korzystamy (przykładowo jeśli wyłączymy opcję infolinii mamy pewność, że infolinia nigdy do nas nie zadzwoni, a jeśli tak się stanie zapali nam się „czerwona lampka”).
–DU: Może się zdarzyć, że mimo przestrzegania zasad przez chwilę nieuwagi padniemy ofiarą oszustwa czy kradzieży. Co zrobić, gdy podejrzewamy, że doszło do takiej sytuacji?
–MP: Jest kilka dobrych zachowań, które powinno się zastosować w takich sytuacjach najważniejsze praktyki to:
- Zastrzeżenie zgubionych dokumentów (np. dowód, paszport, karta kredytowa) – należy to zrobić w banku. Wskazówki dotyczące zastrzegania dokumentów znajdują się np. TUTAJ.
- W sytuacji, która wydaje nam się podejrzana np. telefon z banku czy z policji zawsze najlepiej się rozłączyć i samemu zadzwonić pod znany nam numer (112 lub kontakt z oficjalnej strony naszego banku). Podobnie powinniśmy postąpić w przypadku otrzymania powiadomienia o płatności, której nie dokonaliśmy.
- Każdy podejrzany incydent należy natychmiast zgłosić.
–DU: A co z bankowością w smartfonach?
–MP: W większości aplikacji bankowych możemy zarządzać naszymi kontami, kartami i zlecać przelewy. Smartfony pomagają również dbać o nasze bezpieczeństwo w sieci: są elementem dwuskładnikowego uwierzytelniania, naszym zaufanym urządzeniem, wspomnianym wcześniej „tym co mamy”.
Jeśli przestrzegamy podstawowych zasad cyberbezpieczeństwa korzystanie z bankowości w smartfonie jest bezpieczne. Można nawet powiedzieć, że jest to najbezpieczniejszy sposób bankowania, a system BLIK można uznać najbezpieczniejszy sposób płatności za zakupy internetowe oraz wypłaty w bankomacie.
Materiał partnera. Autor: Dominika Utrata, Bank Gospodarstwa Krajowego