Rewolucja technologiczna i jej znaczenie dla rozwoju bezpiecznej bankowości

Cechą charakterystyczną końca XX wieku była radykalna zmiana techniki przetwarzania i rozpowszechniania informacji. Nie bez racji mówi się o rewolucji informacyjnej. Zjawisko to jest związane z rozwojem cywilizacyjnym świata i dynamicznym postępem technicznym.

Trudno dziś wyobrazić sobie funkcjonowanie jakiejkolwiek instytucji bez efektywnego systemu przepływu informacji, opierającego się na technologii informatycznej. Informatyzacja wpływa zasadniczo na organizację i przebieg czynności bankowych. Przede wszystkim skraca się czas wykonywania operacji bankowych, co służy wygodzie klienta, a także zwiększa się efektywność pracy banku. Nie oznacza to jednak obniżenia kosztów własnych i ułatwienia wykonywanej pracy. Informatyzacja może stwarzać nowe problemy i kłopotliwe sytuacje, wymagać dużych nakładów pracy i środków na wdrażanie nowych systemów. Automatyzacja wpływa na przyspieszenie pracy oddziałów, co rodzi zadowolenie wśród klientów, powoduje zwiększenie wydajności pracy, jednocześnie jednak potrzebny jest większy zespół specjalistów czuwających nad systemem komputerowym. Efektem jest zazwyczaj zmniejszenie wydatków na wynagrodzenia pracowników sal operacyjnych, zwiększenie kosztów utrzymania zespołu zaplecza i kosztów administracyjnych, a co najistotniejsze - pojawienie się nowego rodzaju ryzyka, wynikającego z zastosowania nowych technik pracy banku.

Naturalną konsekwencją stworzenia i upowszechnienia bankowych systemów komputerowych jest powstanie pieniądza elektronicznego, będącego realizacją idei bezgotówkowego obrotu pieniężnego. Pieniądz funkcjonował dotychczas w formie dokumentu papierowego. Pieniądz elektroniczny to informacja o istnieniu w bankowej bazie danych komputerowych konkretnego prawa majątkowego - prawa własności do określonej ilości środków płatniczych - pieniędzy. Pieniądz elektroniczny (podobnie jak uprzednio dokumenty do obrotu bezgotówkowego) zawsze odpowiada rzeczywistości - a więc istnieje (najczęściej w określonym banku) gotówka stanowiąca majątek rzeczywisty. Zasada oddziaływania na gospodarkę jest taka sama, jak w przypadku normalnej, tradycyjnej formy pieniądza - banknotu lub monety¹.

Powstanie elektronicznych instrumentów płatniczych jest naturalnym efektem rozwoju technologii bankowych. Rynek kart płatniczych jest jednym z najbardziej dynamicznych elementów polskiego systemu płatniczego. Obecnie jesteśmy świadkami walki o klienta. Sektor bankowy rozwija się. Na rynku jest coraz więcej banków (także zagranicznych), oferują one coraz szersze pakiety usług, a rola kart płatniczych w obrocie bezgotówkowym w Polsce rośnie.

Analizując historię rozwoju kart płatniczych na świecie, można stwierdzić, że ich ewolucja sprowadzała się przede wszystkim do rozszerzania zasięgu karty poprzez wzajemne akceptowanie kart wydawanych przez różne instytucje w ich placówkach, punktach handlowo-usługowych i bankomatach. Konieczne stało się w związku z tym wypracowanie jednolitych norm, odnoszących się nie tylko do samych kart płatniczych, lecz również do obsługujących je urządzeń. Standaryzacja wpływała tym samym na usprawnienie procesu rozliczania kart. A co z bezpieczeństwem?

Kiedy po raz pierwszy wprowadzano karty z PCV, materiał ten stanowił sam w sobie zabezpieczenie przed fałszerstwem, gdyż był w owym czasie produktem relatywnie zaawansowanym technologicznie. Obecnie każdy może nabyć kartę z PCV, z paskiem magnetycznym, spełniającą standardy ISO. Podrabianie czystej, niezadrukowanej karty nie jest w związku z tym konieczne². Koszt własny nadruku na białym plastiku nie przekracza obecnie 2,5 zł za kartę. Nowe rozwiązania zabezpieczające, proponowane przez emitentów kart, są niemal natychmiast stosowane także przez fałszerzy. Konieczne jest zatem zastosowanie kombinacji wielu zabezpieczeń, których suma ma zniechęcić potencjalnego fałszerza lub spowodować, że jego produkt będzie daleki od oryginału.

Pierwsze próby dokonania zapisu magnetycznego na drucie stalowym miały miejsce pod koniec XIX wieku, natomiast karta magnetyczna została wprowadzona w latach 60. dwudziestego wieku przez IBM, aby służyć jako wskaźnik, nigdy zaś jako zabezpieczenie zapisu. Obecnie karty magnetyczne nie zapewniają bezpieczeństwa obrotu elektronicznymi instrumentami płatniczymi. Technologia kart magnetycznych w Polsce jest szeroko stosowana od 12 lat, a urządzenia do kodowania są powszechnie dostępne. Ich ceny nie przekraczają 3600 zł za sztukę, a czyste karty można kupić za kwotę niższą niż 0,50 zł za sztukę. Trzeba jednoznacznie stwierdzić, że zastosowanie karty magnetycznej jako elektronicznego instrumentu płatniczego jest niebezpieczne i może generować poważne straty - zwłaszcza w sytuacji, gdy normy opisujące, jak kodować karty (np. ISO 7813), są ogólnodostępne, a w Polsce jest wielu dobrych bezrobotnych elektroników. Nadużycia stają się coraz częściej wyrafinowane, a nie prymitywne.

Migracja standardu EMV³ na kartę mikroprocesorową jest procesem złożonym, na który składa się szereg elementów mających, jak mogłoby się wydawać, niewiele wspólnego z wydawaniem kart i obsługą transakcji kartowych. Tradycyjne karty z paskiem magnetycznym muszą zostać zastąpione przez karty elektroniczne, zgodne ze standardem EMV. Personalizacja kart EMV wymaga dość dużych zmian w konfiguracji maszyn do personalizacji - dochodzi bowiem moduł odpowiedzialny za kodowanie układu elektronicznego karty EMV. Z faktem dodania nowego modułu wiąże się również konieczność aktualizacji oprogramowania personalizującego. Obok tradycyjnych danych, związanych z kodowaniem ścieżki I i II paska magnetycznego, oraz informacji wytłaczanych na karcie, pojawia się nowa grupa danych, związanych z EMV. Niezbędne staje się zatem dostosowanie istniejącego oprogramowania do zarządzania kartami do wymogów stawianych przez EMV (profile kartowe). Migracja na EMV wymaga także zmian w wyposażeniu terminali POS (Point of Sale) i bankomatów - wymiany urządzeń lub dostosowania ich do obsługi transakcji dokonywanych kartami EMV (czytnik kart elektronicznych), wymiany oprogramowania na takie, które obsługuje transakcje zgodnie ze standardem EMV. Transakcje EMV dostarczają nowych danych, które trzeba odebrać (np. z terminala POS), przetworzyć i przesłać dalej. Dlatego też należy sprawdzić, czy obecnie stosowane sterowniki są przygotowane do obsługi tego typu transakcji. Jeśli nie są, należy je zaktualizować. Zastąpienie kart tradycyjnych elektronicznymi wiąże się także ze zmianami w procesie weryfikacji transakcji, które są przedmiotem reklamacji z powodu okoliczności ich dokonania lub samego faktu ich wystąpienia. Wraz z EMV pojawiają się nowe informacje, tzw. kryptogramy, które generowane są nie przez terminal, ale przez kartę, a także informacje związane z transakcjami dokonywanymi kartami. Trzeba uwzględniać je w raportach rozliczeniowych, szczególnie tych, które dotyczą transakcji dokonywanych kartami innych wydawców. Obecnie wymiana terminali i czytników kart w bankomatach, a także edukacja osób zaangażowanych w proces wydawania i rozliczania elektronicznych instrumentów płatniczych, wiąże się z poważnymi kosztami i rozkłada się w czasie, który - niestety - pracuje dla grup przestępczych. Potwierdzają to statystyki prowadzone w Wielkiej Brytanii, gdzie w roku 2003 wzrostowi liczby kart mikroprocesorowych towarzyszył wzrost liczby innych niż skimming⁴ przestępstw kartowych o 59%. Jak wskazują brytyjscy eksperci, proces przejścia na karty mikroprocesorowe powinien być skorelowany z wprowadzaniem innych, bezpiecznych technologii, takich jak chociażby 3D Secure⁵. W przeciwnym wypadku przestępcy dostosują się do nowych warunków, zmieniając rodzaj uprawianej przestępczości. To zaś może pozbawić banki większości oszczędności wynikających z eliminacji skimming'u.

14 sierpnia 2003 r. północno-wschodnia część Stanów Zjednoczonych i Kanada w rejonie Ontario doświadczyły najpoważniejszej w historii przerwy w dopływie energii elektrycznej. Sieć telekomunikacyjna i elektryczna pozostały nieczynne przez cały następny dzień. Ucierpiało na tym wiele firm, spadły również obroty handlowe. Zaledwie tydzień później usterka infrastruktury informatycznej sparaliżowała funkcjonowanie giełdy nowozelandzkiej. W dniu 4 stycznia 2005 r., z powodu awarii łączy Telekomunikacji Polskiej, wystąpiły problemy z logowaniem do systemu transakcyjnego Banku Millennium - http://www.millenet.pl.

Niektórzy klienci polskiej filii Citibanku zostali skierowani na fałszywą stronę www, na której podawali hasła dostępu do kont oraz numery kart kredytowych. Złodzieje wykorzystali też błąd przeglądarki Microsoftu. Atak hakerów na bank Sumitomo Mitsui, który odbył się w kwietniu 2004 r., doszedł do skutku dzięki urządzeniom typu keylogger, kosztującym około 20 funtów⁶. Próba zrabowania 220 milionów funtów z londyńskiego biura japońskiego banku polegała na wykorzystaniu urządzeń inwigilujących wielkości baterii, podłączonych do portów USB. Urządzenia te, wykorzystując podłączone do nich klawiatury użytkowników, zapamiętywały każde naciśnięcie klawisza. Według źródeł mogły one zostać podłączone do bankowych komputerów przez ekipy sprzątające lub ludzi podszywających się pod sprzątaczy. Gdy ujawniono sprawę, w banku znaleziono kilka podobnych urządzeń, wciąż podłączonych do komputerów.

Podane powyżej przykłady dobitnie wskazują, że zmiany na rynkach finansowych, w technologii bankowej oraz w sposobie prowadzenia biznesu spowodowały wzrost ryzyka finansowego, na jakie narażone zostały banki. Ryzyko towarzyszy zresztą każdej działalności gospodarczej, ponieważ podejmując decyzje ma się do dyspozycji niepełny zakres informacji, a przyszłe wydarzenia są trudne do przewidzenia. Dlatego zasadne jest wprowadzenie skutecznego systemu zarządzania ryzykiem. Analiza zagrożeń od lat stanowi podstawę budowy polityki bezpieczeństwa systemów informatycznych.

Dotychczasowe działania banków opierały się głównie na analizie ryzyka w sferze finansowej. Rozbudowane komórki analityczne dość dokładnie analizowały ryzyko płynności (ryzyko cenowe) i ryzyko wyniku (ryzyko rynkowe i ryzyko niewypłacalności). Działania w zakresie bezpieczeństwa systemów informatycznych w większości przypadków były nieusystematyzowane, a jeśli już tworzono pewne procedury - głównie z powodu obawy utraty reputacji - to były one wynikiem nadchodzących zagrożeń (np. problem roku 2000), czasami norm [np. PN-ISO/IEC 17799:2003 Technika informatyczna - Praktyczne zasady zarządzania bezpieczeństwem informacji; ISO/IEC/TR 15947 Technika informatyczna - Technika zabezpieczeń. Struktura wykrywania włamań w systemach teleinformatycznych; ISO/TR 13569:1997 Banking and related financial services - Information security guidelines (Bankowość i związane z nią usługi finansowe - wskazówki dotyczące zabezpieczania informacji)].

W ostatnich latach Bazylejski Komitet ds. Nadzoru Bankowego, który wypracowuje międzynarodowe standardy w dziedzinie bankowości, poświęca coraz więcej uwagi ryzyku operacyjnemu, definiując je jako ryzyko wystąpienia straty na skutek niewłaściwego lub wadliwego funkcjonowania procesów wewnętrznych, ludzi i systemów, lub z powodu czynników zewnętrznych. W tej kategorii mieści się ryzyko związane z systemami teleinformatycznymi.

O ile prace nad sformułowaniem zasad dobrej praktyki w zakresie zarządzania i nadzorowania ryzyka operacyjnego zostały (na obecnym etapie) zamknięte opublikowaniem przez Komitet Bazylejski, w lipcu 2002 r., Dokumentu nr 91 Sound Practices for the Management and Supervision of Operational Risk, to w dalszym ciągu toczą się dyskusje dotyczące sposobów wyznaczania wymogu kapitałowego dla ryzyka operacyjnego, które zostały zaproponowane w Nowej Umowie Kapitałowej (The New Basel Capital Accord). Należy jednak pamiętać, że zakres stosowania tej umowy będzie zależał od rozwiązań przyjętych w poszczególnych krajach i dyrektyw Unii Europejskiej dla krajów członkowskich.

Obowiązek wprowadzenia od stycznia 2007 r. pełnych rozwiązań umowy Bazylea II oraz rekomendacje wydawane w Polsce przez Komisję Nadzoru Bankowego (rekomendacja D - dotycząca zarządzania ryzykami towarzyszącymi używanym przez banki systemom informatycznym i telekomunikacyjnym; rekomendacja H - dotycząca kontroli wewnętrznej w banku; rekomendacja M - dotycząca zarządzania ryzykiem operacyjnym w bankach) wymuszą szereg działań wdrożeniowych, zwłaszcza w zakresie organizacyjnym. Do najważniejszych z nich należy zaliczyć:

• wydzielenie stanowiska niezależnego managera, którego zadaniem będzie opracowywanie i implementacja systemów zarządzania ryzykiem operacyjnym;
• opracowywanie procedur, metodologii pomiarów, systemu raportowania i kontroli ryzyka operacyjnego (przy czym system zarządzania ryzykiem operacyjnym musi być dobrze udokumentowany);
• wdrożenie systemu regularnego kontrolowania systemów przez wewnętrznych i zewnętrznych audytorów (przy czym zewnętrzni audytorzy w ocenie ryzyka operacyjnego muszą ocenić prawidłowość wewnętrznej kontroli oraz upewnić się, że przepływ informacji oraz procesy związane z systemem zarządzania ryzykiem są transparentne i dostępne);
• wprowadzenie wymogu kapitałowego z tytułu ryzyka operacyjnego jako procentowego udziału w minimalnym kapitale regulacyjnym.

Wprowadzenie w krajach UE wymogu kapitałowego w związku z ryzykiem operacyjnym nastąpi nie wcześniej niż w 2006 r., ale już dziś banki, a także inne instytucje finansowe, powinny wprowadzać i rozwijać rekomendowane zasady zarządzania ryzykiem operacyjnym, zarówno dla dobra firmy, jak i korzyści inwestorów. Jest to nie tylko zainwestowanie w przyszłość, ale, biorąc pod uwagę obecne problemy sektora bankowego, przede wszystkim w teraźniejszość.

Jest to także pewien wyznacznik dla specjalistów. Warto więc chyba już teraz przygotowywać się i zdobywać wiedzę oraz doświadczenie, gdyż zapotrzebowanie na specjalistów od ryzyka operacyjnego będzie stale rosło.

1. Por. K. J. Jakubski, R. Kuciński: Pieniądz elektroniczny i przestępstwa z nim związane, Biuletyn Bankowy. Serwis Specjalny z dn. 04.12.1996, s. 28.
2. J. Newton: Organised Plastic Counterfeiting, HMSO, London, 1995, s. 61.
3. Międzynarodowe organizacje płatnicze (Europay, MasterCard i VISA – stąd skrót EMV), przewidując migracje bankowych kart magnetycznych do technologii kart procesorowych, powołały organizację EMVCo. Instytucja ta wypracowała standard technicznej kompatybilności dla kart płatniczych tych trzech organizacji, opierający się na wykorzystywaniu w kartach elektronicznych z mikroprocesorem uzgodnionych parametrów oraz działających w szerokich, globalnych ramach, współpracujących ze sobą aplikacji.
4. Zczytywanie danych z oryginalnych pasków magnetycznych (ang. skimming) i nanoszenie ich na inne karty stało się popularne wśród przestępców na przełomie 1997 i 1998 r. Skimming to obecnie najbardziej rozpowszechnione i najbardziej niebezpieczne przestępstwo kartowe. Por. J. Kosiński (red.): Przestępczość z wykorzystaniem elektronicznych instrumentów płatniczych. Materiały III Międzynarodowej Konferencji Naukowej, WSPol., Szczytno, 2003 r.
5. Por. UK chip and PIN trial highlights difficulties, Retail Banker International, Nr 501 z 31.10.2003, s. 9.
6. Źródło przykładów [@]: http://www.hacking.pl.

dr Krzysztof Jan Jakubski
Bank Polskiej Spółdzielczości

Zabezpieczenia 2/2006