Ryzyko w bankowości elektronicznej
Temat: Ryzyko w bankowości elektronicznej.
Celem przedstawienia ryzyka w bankowości elektronicznej należy wyjść od wytłumaczenia samego pojęcia bankowości elektronicznej. Jest to bowiem forma usług dzięki, której mamy dostęp do naszego rachunku dzięki urządzeniom elektronicznym takim jak: bankomat, komputer, czy terminal POS (terminal umożliwiający dokonywanie operacji bankowych przy pomocy kart płatniczych) oraz linii telekomunikacyjnej. Daje nam to możliwość dokonywania operacji: pasywnych (dostęp do wszelkich informacji o finansach konta), półaktywnych (operacje bankowe pomiędzy własnymi rachunkami w tym samym banku) oraz aktywnych (operacje umożliwiające przelewanie pieniędzy na rachunki obce).
Zakorzenienie historyczne takich form bankowości sięga dalej niż mogłoby się wydawać, bowiem pierwszy bankomat na świecie został uruchomiony w Stanach Zjednoczonych w 1964 roku, a pierwszy w Europie w 1967 roku i nastąpiło to w Wielkiej Brytanii. W 1984 roku w Finlandii wprowadzono możliwość kontaktu z bankiem za pomocą komputera, a w 1995 roku Security First Network Bank w USA wprowadził system bankowości internetowej.
Gdy wiadomo już co to jest bankowość elektroniczna wiadomo również, że może być ona związana z dosyć dużym ryzykiem. Okazuje się bowiem, że odręczny podpis traci na tym polu swoją prawomocność. Bardzo ważne okazują się działania ochronne i to działania skierowane głównie na operacje aktywne, bowiem to one w przeciwieństwie do pozostałych powodują wypływy z konta. Pomocą w ich wyznaczaniu mogą być „Zasady zarządzania ryzykiem w bankowości elektronicznej” ustanowione przez Bazylejski Komitet ds. Nadzoru Bankowego, które są niewątpliwym zbiorem wskazówek.
Do bankowości, a w tym również i tej elektronicznej oraz jej ochrony odnoszą się cztery bardzo ważne akty prawne. Pierwszym z nich jest Ustawa Prawo Bankowe (w tym art. 7 dotyczy regulacji składania oświadczeń woli w postaci elektronicznej, a związanych z dokonywaniem czynności bankowych). Dalej jest to Kodeks Cywilny oraz Karny (przestępstwa przeciwko ochronie informacji oraz przeciwko mieniu). Ostatnim z nich jest Ustawa o elektronicznych instrumentach płatniczych. Do wyżej wymienionych przestępstw przeciwko mieniu w kontekście bankowości zaliczamy m.in.: bezprawne uzyskanie programu komputerowego w celu osiągnięcia korzyści majątkowych oraz bezprawne wpływanie na automatyczne przetwarzanie, gromadzenie i przesyłanie informacji na komputerowym nośniku informacji lub wprowadzenie nowego zapisu na tym nośniku.
Przechodząc do ścisłego omówienia ryzyka w bankowości elektronicznej należy zaznaczyć jego rozróżnienie na ryzyko operacyjne i prawne.
Ryzyko operacyjne jest to ryzyko wynikające z nieodpowiedniego lub błędnego działania systemu, ludzi lub zdarzeń zewnętrznych. Związane jest ono z trzema elementami, a mianowicie: zagrożeniem wywołanym działalnością ludzką, zagrożeniem związanym z oprogramowaniem i vis maior (siła wyższa).
Pierwszym z zagrożeń wywołanych działalnością ludzką jest hacking, czyli komputerowe włamanie do systemu. Kolejnymi formami może być sniffing, czyli „podsłuchiwanie” transmisji, dzięki któremu możliwe jest przejęcie przesyłanych informacji, czy spoofing, czyli „podszycie” się pod inny komputer, w celu przejęcia całej sesji użytkownika z daną maszyną. Network snooping jest to wstępne badanie parametrów sieci pod kątem stosowanych zabezpieczeń. Następnymi zagrożeniami mogą być: trap doors, czyli uzyskanie dostępu do systemu dzięki „furtkom” pozwalającym na nieudokumentowane i omijające zabezpieczenia wejście do legalnych programów, czy back door, który jest instalacją oprogramowania przy pomocy, którego wejdziemy do systemu nie logując się. Ostatnim zagrożeniem wywołanym działalnością ludzką jest to pochodzące bezpośrednio od pracownika. Jak wiadomo „nie ma idealnego człowieka” z czym wiąże się pojawianie się błędów oraz niekompetencji, które to mogą wpłynąć na zwiększenie ryzyka.
Kolejnym z elementów ryzyka operacyjnego są zagrożenia związane z oprogramowaniem. Zalicza się do nich m.in.: wirusy, czyli programy, które dopisują się do innych programów i ujawniające się w momencie ich uruchomienia; bakterie, które gdy dostaną się do systemu powielają się i niszczą go poprzez jego zablokowanie; robaki, które przenoszą się z systemu na system i przeważnie pozostawiają po sobie bakterie lub wirusy. Bardzo niebezpieczne są konie trojańskie, które pod „przykrywką” poprawnego wykonywania bezpiecznych operacji naruszają bezpieczeństwo systemu. Kolejnymi z niebezpieczniejszych zagrożeń są programy skanujące, które w wyniku badania portów serwera określają słabe strony zabezpieczeń systemu oraz ataki odmowy usług, czyli program blokujący system komputerowy.
Zagrożenie związane z siłą wyższą, jak z pewnością wie każdy, jest niemożliwe do przewidzenia, ani zaplanowania.
Ryzyko prawne natomiast wynika ze zmian, naruszeń lub nieprzestrzegania przepisów ustaw, aktów wykonawczych lub umów. Niesie ono ze sobą dosyć poważne konsekwencje, bowiem może wytworzyć się sytuacja, w której ważność i wiarygodność transakcji bankowości elektronicznej może być kwestionowana. Konsekwencje takie wynikać mogą z niepełnego określenia zasad (zobowiązania i prawa) związanych z bankowością elektroniczną.
Jak już zostało to wcześniej wspomniane istnieje możliwość obniżenia ryzyka. W przypadku ryzyka operacyjnego zaprojektowane są specjalne systemy. Pierwszym z nich jest Visiona Cash Management Suite. Jest to zintegrowany, wszechstronny i kompletny pakiet aplikacji, obsługujący procesy związane z nowoczesnym zarządzaniem gotówką i może być wykorzystany w różnych modelach biznesowych. Następnym systemem bezpieczeństwa jest wykorzystywanie protokołu SSL, który odpowiada za szyfrowanie transmisji danych między komputerem klienta a serwerem banku. Za bezpieczeństwem takiego rozwiązania opowiada jednorazowy klucz sesji oraz sprawdzany przez przeglądarkę internetową cyfrowy certyfikat serwera bankowego. W przypadku logowania się do systemu bankowego przy użyciu komputera, również mamy do dyspozycji wiele zabezpieczeń. Na samym początku musimy podać swój numer klienta i hasło. Na ogół znamy je tylko my, ale gdyby nastąpiła możliwość, że ktoś do nich dotarł i tak nie daje to wielkiego pola manewru, bowiem do wykonania każdej transakcji wymagane jest wpisanie hasła jednorazowego. Jest ono generowane przez token, czyli niewielkie urządzenie zawierające algorytm, zsynchronizowane z serwerem banku i chronione kodem PIN lub występuje w formie karty kodów, na której znajduje się lista haseł.
Ciężko jest natomiast określić sposoby obniżenia ryzyka prawnego, czyli tego związanego z pełnością lub nie przepisów określających zasady działania bankowości elektronicznej. Ciężko jest to zrobić, bowiem nawet odpowiedni wybór (oparty o jakieś sprecyzowane kryteria czynności ekonomicznej, czy też bankowej kandydata) przy urnie wyborczej nie gwarantuje, że wystąpi inicjatywa ustawodawcza w kierunku uregulowania tych spraw tak, aby nie pozostało miejsce na niedomówienia.
Konsekwencją wszystkich negatywnych zjawisk związanych z ryzykiem w bankowości elektronicznej jest utrata dobrej reputacji. Bank traci zaufanie klientów, co często doprowadza to rezygnacji z jego usług. Często pojawia się również spadek wartości przedsiębiorcy (w tym przypadku banku) w oczach klientów.
Problem zmniejszania ryzyka przez bank ściśle wiąże się z problemem zarządzania tym ryzykiem. Jest to pojęcie jeszcze bardziej pierwotne niż zapobieganie samym zagrożeniom. Na samym początku, czyli przed wprowadzeniem takiej usługi, ryzyko powinno być oszacowane, powinny być wprowadzone systemy jego oceny oraz monitoring sytuacji. Należy wyznaczyć również granicę tolerancji, która powinna być integralnym elementem długofalowej polityki banku. Jeżeli wszystkie powyższe procedury zostaną dochowane zarządzanie i kontrola wysokości ryzyka przez bank będzie nie tylko o wiele łatwiejsza, ale i sprawniejsza.
Zaznaczyć trzeba również, że rzeczywisty poziom bezpieczeństwa w usługach bankowości elektronicznej nie jest tożsamy z poczuciem bezpieczeństwa u klientów banku. Aby zrównać te poziomy potrzebna jest akcja edukacyjna skierowana do konsumentów, w której można pozwolić sobie na wykorzystanie mediów i ich ogromnego potencjału. Jej celem byłoby wyjaśnienie jakie mogą występować zagrożenia i jak ich unikać, wygenerowanie wśród klientów odpowiednich nawyków oraz wskazanie szablonu postępowania w przypadku reklamacji. Ważnym aspektem takiej akcji byłoby również zaprzyjaźnienie i zaznajomienie klientów z tym niewątpliwie ułatwiającym życie i nowatorskim rozwiązaniem, bowiem jak wiadomo bardzo często w obiegowych opiniach wokół nowych rozwiązań pojawia się element strachu przed nieznanym.
W celu maksymalnej niwelacji ryzyka konieczna jest również analiza całego systemu od strony pracownika banku. W stosunku do tego ogniwa należy zastosować dwa rozwiązania. Z jednej strony powinna to być zwiększona kontrola dostępu do systemu bankowego przez pracowników banku, z drugiej natomiast akcja edukacyjna. Jak wiadomo im wyższy poziom wiedzy pracowników, tym wyższe są ich kwalifikacje i fachowość, za czym idzie również zmniejszenie ryzyka.
Na sam koniec pokażę jeszcze statystykę dotyczącą zagrożenia bezpieczeństwa systemów informatycznych w bankowości, do której udało mi się dotrzeć . Na podstawie wyników wskazywane są następujące dane: 54 % zagrożeń spowodowały ludzkie pomyłki, 20 % problemy fizyczne, 10 % nieuczciwy personel, 9 % niezadowolony personel, 4 % wirusy, 3 % ataki z zewnątrz. Jasno to pokazuje, w którym kierunku powinny iść działania banków. Jako że ponad połowę zagrożeń spowodowały ludzkie pomyłki, najpierw powinna zostać uruchomiona wyżej wspomniana akcja promocyjna wśród klientów. Mimo iż powinni być najbardziej zainteresowani mechanizmami kierującymi korzystaniem z takich rozwiązań, to nadal oni popełniają najwięcej błędów. Kolejnym krokiem w celu niwelacji ryzyka powinno być przejrzenie systemu, który obsługuje bankowość elektroniczną pod kątem sprawności technicznej. Na trzecim miejscu działań w kolejności ważności powinna znaleźć się akcja edukacyjna oraz akcja podnosząca autorytet pracodawcy wśród pracowników. Dopiero na końcu (oczywiście nie można napisać o marginalności tego zjawiska) należy długotrwale, o ile nie ciągle dbać o uszczelnienie systemu pod względem dostępu przez osoby niepowołane do tego.
Bibliografia:
- A. Gospodarowicz, Bankowość elektroniczna, Polskie Wydawnictwo Ekonomiczne, Warszawa 2004, s. 72 – 79.
- J. Grzywacz, Podstawy bankowości. System bankowy. Kredyty i rozliczenia. Ryzyko i ocena banku. Marketing., Difin, Warszawa 2002, s. 71 – 87.
- http://pl.wikipedia.org/wiki/Bankowo%C5%9B%C4%87_elektroniczna
- http://www.nbportal.pl/library/pub_auto_B_0100/KAT_B4842.PDF
- W. L. Jaworski, Z. Krzyżkiewicz, B. Kosiński, Banki. Rynek, operacje, polityka., Poltext, Warszawa 2002, s. 273 – 293.