Przez ostatnie lata banki w Polsce zostały zalane falą awarii - wiele z nich wiązało się z brakiem dostępu przez klientów do usług bankowości elektronicznej. Jakie były przyczyny tych awarii?
Okazuje się, że liczne awarie to efekt… rosnącej popularności bankowości elektronicznej w Polsce. W ostatnich latach nasz kraj stał się liderem we wprowadzaniu instrumentów nowoczesnej bankowości. Dotyczy to nie tylko rodzimych firm, ale także wielu zagranicznych instytucji, które właśnie nasz kraj potraktowały jako poligon doświadczalny do testowania nowoczesnych technologii.
„Duża konkurencyjność sprawia, że wszyscy spieszą się z wprowadzaniem nowych ofert i technologii. W efekcie oprogramowanie nie jest do końca dobrze przetestowane. Dochodzi do różnego rodzaju skróceń we wdrażaniu nowych programów - szczególnie w zakresie bankowości mobilnej. A produkty bankowe opierają się głównie na technologii” - zauważa Iwona Dudzińska, członek zarządu Banku CitiHandlowy. Drugim powodem awarii są próby ataków hakerskich, choć, jak zauważa Komisja Nadzoru Finansowego, większość z nich dotyczy właśnie szybkości wprowadzania nowych technologii.
Co grozi bankom?
Awarie mogą prowadzić do utraty reputacji przez banki. "Awarie systemów będą się zdarzać. Pytanie brzmi: jak doprowadzić do tego, aby awarie nie były dla klientów uciążliwe. Ryzyko prawne istnieje, ale dla banków o wiele ważniejsze jest ryzyko reputacyjne” - ostrzega Justyna Kesler, wiceprezes zarządu ING Banku Śląskiego.
A co z konsekwencjami prawnymi awarii? Dziś banki bronią się przed zarzutami tłumacząc, że często wiele usług jest zleconych zewnętrznym firmom IT. - Nie może to być jednak sposób na zdejmowanie z siebie odpowiedzialności przez banki. "Trzeba pamiętać, że w przyszłości mogą pojawić się pozwy zbiorowe przeciwko bankom za brak dostępu do usług. Dziś słyszymy o awariach w bankach, ale nie słyszymy o roszczeniach klientów. Wynika to z bardzo niskiej świadomości w społeczeństwie" - ocenia Marcin Olechowski z kancelarii Sołtysiński Kawecki & Szlęzak.
Co na to KNF?
Kłopoty banków z awariami mogą zostać ograniczone w związku z wejściem w życie Rekomendacji D. Dotyczy ona zarządzaniem obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. Zalecenia tej rekomendacji wejdą w życie 31 grudnia 2014 r. Dzięki wdrożeniu tych regulacji, obszar bezpieczeństwa IT powinien działać bardziej efektywnie.
Rekomendacja ma na celu wskazanie bankom oczekiwań nadzorczych dotyczących ostrożnego i stabilnego zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego - w szczególności ryzykiem związanym z tymi obszarami. Ryzyko to można określić jako niepewność związaną z prawidłowym, efektywnym i bezpiecznym wspieraniem działalności banku przez jego środowisko teleinformatyczne.
Powód wdrożenia rekomendacji jest jasny. Urząd zauważył już dawno problemy w obszarze IT w bankowości i związane z tym zagrożenia dla sektora bankowego oraz klientów. „Dla nas sygnały o awariach są niepokojące, choć zgadzam się, że nie da się ich wykluczyć. Dla KNF ważna jest przede wszystkim szybkość reagowania przez bank na problem oraz właściwa komunikacja z klientami"- uważa Tomasz Piwowarski z KNF.
KNF informuje, że w minionym roku przyjrzał się bliżej ośmiu awariom. "Przeraża nas pęd banków do wdrażania nowinek technicznych. Rodzi to ryzyko czy jest to zgodne ze standardami ryzyka" - przyznaje Piwowarski.
Główne założenia Rekomendacji D ważne dla konsumentów:
Ochrona przed szkodliwym oprogramowaniem - Rekomendacja 12:
- Bank powinien zapewnić odpowiednią ochronę środowiska teleinformatycznego przed szkodliwym oprogramowaniem.
- Bank powinien zapewnić automatyczną ochronę przed szkodliwym oprogramowaniem (takim jak wirusy, konie trojańskie, robaki, oprogramowanie rootkit49 itp.), zarówno w przypadku wymagających takiej ochrony centralnych elementów infrastruktury teleinformatycznej (serwerów, kontrolerów domeny itp.), jak i komputerów osobistych i urządzeń mobilnych. Ochrona ta powinna być realizowana w sposób ciągły, zaś użytkownicy nie powinni mieć możliwości jej wyłączenia. Zakres ochrony powinien wynikać ze stopnia narażenia każdego komponentu infrastruktury na wystąpienie zagrożenia, jak również potencjalnej dotkliwości skutków jego wystąpienia dla banku.
- Aplikacje chroniące przed szkodliwym oprogramowaniem oraz sygnatury szkodliwego oprogramowania powinny być systematycznie aktualizowane. O ile to możliwe, bank powinien zapewnić, aby powyższa aktualność weryfikowana była każdorazowo przy próbie podłączenia urządzenia do sieci wewnętrznej banku.