Obecně lze říci, že žádné zabezpečení není nepřekonatelné, nicméně pro banku je bezpečnost klíčová. Jak se s tím vyrovnáváte?
Nejsem expertem na IT bezpečnost, takže nebudu hovořit o vnitřních zabezpečovacích systémech, ale odpovím z pohledu klienta.
V dnešní době se spousta věcí přesouvá na internet, do virtuálního světa, a tam chceme být stejným partnerem, jakým banky dosud bývaly ve světě fyzických peněz. Je to pro nás velmi důležité.
Pilíře jsou v technických řešeních. Některá jsou vidět, jako například IBM Trusteer Rapport, jiná ne. Například systém identifikace podezřelých plateb. Bezpečnost však není jen technickou záležitostí. Spousta prvků je organizačního charakteru. Vliv má i vzdělávání klientů.
V této oblasti hrají banky důležitou roli. Dnes jejich aktivity zastřešujeme v rámci České bankovní asociace, nejde tedy o jejich solitérní činnosti. To je klíčem k úspěchu. Banky chtějí být v této oblasti partnery a Komerční banka se problematice hodně věnuje. Snažíme se dělat věci tak, aby klienti v nás měli partnery nejenom ve světě financí, ale i v bezpečnosti.
Na rozdíl od většiny ostatních bank svazujete přístup k internetovému bankovnictví s certifikáty, tedy do jisté míry s konkrétním počítačem, považujete toto řešení za perspektivní?
Certifikát není vázán na konkrétní počítač, je přenosný, můžete ho mít na USB, ale chápu, že je tam určitý diskomfort v porovnání se SMS nebo něčím podobným. Použití certifikátů však má stále své opodstatnění. Je určitou formou neodmítnutelnosti právního aktu, který jím byl učiněn.
Sledujeme ovšem trendy a řešíme i zmíněný lehký diskomfort, který tato forma zabezpečenosti přináší. Protože je pro nás i důležitá klientská zkušenost, chceme v této oblasti inovovat na další rozměr. Je to otázka budoucna, ale ne úplně vzdáleného. Řešení odpovídající našim představám už na trhu jsou. Zatím nemohu být konkrétnější, nicméně je pro nás důležité zachovat vysokou úroveň zabezpečení a zároveň výrazně zvýšit komfort.
Je důležité říci, že řešení, které dnes vyvíjíme, je náročnější na čas, ale v budoucnosti nám umožní flexibilně přidávat nové prvky zabezpečení. Dokonce takové, o kterých dnes ani nevíme.
Pro zvýšení bezpečnosti jste se klientům rozhodli nabídnout – v rámci ochrany před internetovými hrozbami – Trusteer Rapport. Proč jste se zvolili právě tento produkt?
Hledali jsme silného partnera. Protože takové řešení sami nevyvíjíme, oslovili jsme několik společností a tento produkt nejlépe splnil naše požadavky.
Můžete být konkrétnější?
Většina řešení umí malware detekovat, ale neumí ho odstranit. My však nechceme klientům poskytovat řešení, které jim řekne: „Máte zavirované počítače, obraťte se na odborníky a nechte si je vyčistit.“ Vybrané řešení umí malware, tedy alespoň známé nákazy zaměřené na finanční segment, také odstranit.
To ovšem neznamená, že by zákazník neměl používat i další antivirové prostředky.
Vámi poskytované řešení však není jen aplikací instalovanou na počítači klienta.
Máme tři důležité pilíře.
Jedním je část, která je vidět, tedy ochrana klientského prostředí, klientské stanice.
Druhým je pro klienta neviditelnou oblastí, kam spadá i část Trusteeru, tedy PINPoint,který nám pomáhá identifikovat zavirované počítače klientů při přihlášení do Internetového bankovnictví. A jsou zde i další systémy, které hlídají transakce a řeší rizikovost jednotlivých transakcí.
Třetím, neméně důležitým pilířem je už zmíněná otázka vzdělávání lidí, které jde bohužel pomalu. Proto zde banky spojují své síly a snaží se klienty hodně vzdělávat. Většina velkých bank má na internetu sekce, které jsou speciálně věnované bezpečnosti.
Komerční banka do ní investovala hodně energie, aby zde klienti našli aktuální informace o hrozbách, rady, jak se chránit na mobilu, jak na PC, co dělat, když se objeví nějaká nákaza, kam volat, kdo poradí… Průběžně tyto informace aktualizujeme, nakonec přesvědčit se můžete sami zde.
Jsou tam i testy, které vyhodnotí, nakolik je vaše chování na internetu rizikové.
Chcete tedy, aby si klienti uvědomili, nakolik ohrožují sami sebe?
Někdy mám pocit, že klienti příliš spoléhají, že banky vše zvládnou samy, ale to není pravda.
Největší riziko je v klientovi samém a je důležité, aby si to uvědomil.
Nerad bych, aby to vyznělo tak, že používání počítače je strašně nebezpečné a klienti by na něj neměli raději ani sahat. Stačí dodržovat základní pravidla, která je ochrání.
Většina útoků dnes začíná sociálním inženýrstvím, přesvědčit uživatele, aby si stáhl software, který pak funguje jako trojský kůň a ovládá počítač bez jeho vědomí. Největším úkolem útočníků je dostat škodlivý kód do počítače, což samo o sobě nejde bez uživatelova přispění.
Nedávno proběhla vlna exekutorských emailů, ve kterých se údajný exekutorský úřad oháněl exekučním příkazem, jehož detaily se zobrazí po kliknutí. Adresáti nevědí, o co v exekuci jde, a tak mnoho z nich klikne, aby se to dozvěděli. Tím si vytvářejí cestu do záhuby a jsou jen krok od nevědomé instalace škodlivého softwaru.
Tady už můžeme pomoci my. Když si naši klienti nejsou jistí, mohou se obrátit na naši help linku.
Dokud si budou lidé instalovat aplikace, o kterých nic nevědí, bude to s bezpečností složité.
Útočníci jsou však stále vynalézavější a ani Trusteer Rapport nemusí odhalit nejnovější hrozby.
Ano, ale tím, že jsme zapojeni v síti IBM, kde výměna informací běží na mezinárodní úrovni, je reakce poměrně rychlá.
Jaké další hrozby řešíte pomocí Trusteer Rapportu?
V tuto chvíli přemýšlíme o ochraně mobilních telefonů, protože jsou pro klienty při využívání bankovních služeb stále oblíbenějšími. Dnes tam není žádné přímé ohrožení z toho důvodu, že nepoužíváme webovou aplikaci, ale svou vlastní, certifikovanou všemi zásadními „ekosystémy“ – Apple, Google a Microsoft.
Ty by nepustily aplikaci, která by byla nekvalitní, ale na některých platformách, není přesto bezpečnost plně zajištěna v případě, že uživatel povolí instalaci z jiných, než oficiálních certifikovaných zdrojů, tedy Apple Store, Google Play a Microsoft Store . Mohou si tak snadno nainstalovat aplikaci, která vypadá jako bankovní aplikace, ale ve skutečnosti jde o škodlivý kód, který umožní útočníkům například přesměrovávat zabezpečovací SMS z banky na jeho mobilní čísla a tím umožní zneužití internetového bankovnictví.
To jsou věci, nad kterými dnes přemýšlíme. Jak Trusteer Rapport dostat do mobilních zařízení jako součást naší aplikace, která ji ochrání před zneužitím.
Je Trusteer Rapport individuálně přizpůsoben vašim potřebám?
Přizpůsoben je především jazykově. Aplikaci mohou naši klienti stahovat přímo ze zabezpečeného prostředí Internetového bankovnictví, protože i stahování je potřeba ošetřit, aby to nebylo nebezpečné. Drobná přizpůsobení zde tedy jsou, ale nic zásadního.
Nakolik je pro vás důležitá schopnost výrobce, v tomto případě IBM, nějakým způsobem dodávat podporu, komunikovat atd.?
Je to software jako každý jiný. Banka ho bezplatně nabízí klientům, včetně základní úrovně podpory. Specialisté z IBM pracovníky naší help linky vyškolili tak, aby uměli zvládat základní problémy. Mohou však nastat i složitější situace, které se potom řeší přímo s help linkou IBM, a klient přitom může komunikovat v českém jazyce pomocí chatu či pomocí e-mailu.
Přímá hlasová komunikace v češtině s IBM možná není, ale přes naší help linku ano. Nesměrujeme tedy volajícího klienta přímo na linku IBM a v tom se trochu odlišujeme, protože mnohé jiné instalace Rapportu jsou podporovány pouze ze strany IBM.
My nabízíme dvě úrovně podpory.
Máte na to zřízenou speciální linku, nebo to jde přes standardní?
Vyřizuje to standardní linka v rámci přímého bankovnictví, kde si klient řekne, že potřebuje poradit s Trusteerem.
Poskytujete Trusteer Rapport svým klientům skutečně zcela zadarmo?
Klienty nezatěžujeme žádnými poplatky, i když to pro banku není zadarmo, to rozhodně ne. Pro nás je však důležité, aby si klienti tento nástroj nainstalovali, aby se tak zvýšilo jak zabezpečení klientova počítače, tak i jeho důvěra a zákaznická spokojenost. Mimochodem Trusteer funguje nejenom na „Mojí bance“. Implicitně je to sice vypnuté, ale pokud klient chce, může nástroj využívat nad rámec ochrany internetového bankovnictví. Ochrání si tak například přístup ke svému emailu,…
Kolik klientů aplikaci využívá a jak hodnotíte její dosavadní přínos?
Dnes máme nějakých 60 tisíc klientů, aktivních uživatelů. To je více, než jsme očekávali, a předpokládáme další růst.
Přínos řešení je hlavně v identifikace přihlášení ze zavirované stanice. PINPoint nám sdělí, že stanice je pravděpodobně zavirovaná i bez klientské části Trusteeru. Bez ní však nejsme schopni počítač vyléčit. V tomto případě klientovi voláme, informujeme ho, že jsme objevili nesrovnalosti, a doporučíme, aby si nainstaloval Rapport. S jeho pomocí pak zkusíme počítač vyléčit.
Cílené instalace, kdy aktivně klientovi říkáme, že něco není v pořádku a nabízíme mu řešení, nám snížily počet připojovaných zavirovaných stanic o 96-97 %.
Kolik procent klientů vašeho internetového bankovnictví tedy nabízenou ochranu využívá?
Aktuálně lehce pod 10 %, což je podle nás dobré číslo. Během dvou let bychom se chtěli dostat na 20 % a v horizontu tří let hodláme atakovat 30 %. Myslíme si, že je to při dobré komunikaci s klienty bez problému splnitelné. Je však třeba s nimi hodně pracovat.
Ta čísla nás těší, a protože z pohledu IBM jde o jednu z nejlepších instalací tohoto produktu, pozvala nás na InterConnect do Las Vegas, abychom se o zkušenosti podělili s ostatními.
Není to jenom produktem, ale i přístupem. IBM velmi ocenila, že náš generální ředitel byl tím, kdo produktu propůjčil svou tvář a reálně se problematikou zabýval. Zajímal se o ni, prezentoval ji jako příležitost, jak se stát lepším partnerem klientů.