Funkcjonowanie w cyberprzestrzeni wydaje się już naszą codziennością. Czasami słyszymy o zagrożeniu wyłudzeń danych osobowych lub działalności hakerów, ale wydaje się, że to nas nie dotyczy, ponieważ zakładamy hasła dostępowe do naszych kont, a w firmach instalujemy bardziej zaawansowane oprogramowania, które mają chronić nasze systemy. Czy istnieją jeszcze jakieś proste a skuteczne sposoby na podniesienie naszego bezpieczeństwa w sieci? Jak często się nad tym zastanawiamy lub szukamy odpowiedzi na te pytania? Z szefem bezpieczeństwa Grupy BIK, Andrzejem Karpińskim, rozmawia Wiesława Drożdż.
Czy poziom świadomości naszego społeczeństwa na temat istniejących cyber zagrożeń jest wystarczający?
Polacy mają coraz większą świadomość zagrożeń i skutków kradzieży tożsamości. W parze z tym zjawiskiem rosną obawy o bezpieczeństwo danych, co potwierdziło 53% respondentów badania, realizowanego na zlecenie BIK, pt. „Cyberbezpieczeństwo Polaków” Ankietowani wskazali, że wysoka częstotliwość korzystania z Internetu w okresie pandemii, może skutkować zwiększeniem liczby prób wyłudzeń kredytów, pożyczek i abonamentów. Większość osób orientuje się w sposobach zabezpieczenia swoich danych, ale nie wprowadza posiadanej wiedzy w życie. Nie widać zmiany postaw w zakresie aktywnej ochrony przed wyłudzeniem. Dla przykładu podam, że aż 1/5 respondentów badania przyznało, że w ogóle nie zabezpiecza hasłem swojego telefonu.
A skoro już jesteśmy przy tym temacie, to obalę pewne mity i dodam, że istotą zabezpieczania się za pomocą hasła nie jest częstotliwość jego zmieniania. W praktyce badania pokazały, że zbyt częste zmiany haseł także są niebezpieczne – przy dużej ich ilości nie jesteśmy w stanie ich zapamiętać, zapisujemy je, albo upraszczamy konstrukcję hasła. Dobrze zatem co jakiś czas (np. co kwartał) zmienić hasło, niemniej w bezpieczeństwie odchodzi się od rygorystycznego wymogu częstej zmiany np. co miesiąc.
A co jest istotne?
Tylko hasło powyżej 12 znaków ma sens. Oszuści wykorzystują zaawansowane narzędzia IT do masowego łamania haseł dostępów do usług internetowych i w ten sposób pozyskują ogromne wolumeny danych do dokonywania przestępstw. Poziom skomplikowania hasła ma dla tego procederu ogromne znaczenie. Złamanie hasła składającego się z ciągu 10-12 cyfr, liter i znaków specjalnych to zadanie na kilkanaście dni, podczas gdy złamanie hasła składającego się z imion, dat urodzenia czy ciągu kolejnych znaków z klawiatury — zajmie ułamek sekundy. Dopiero hasła o długości powyżej 14-15 znaków możemy uznać za w zasadzie na dziś bezpieczne.
To bardzo praktyczna wiedza, dla każdego Polaka. Jednak proszę przybliżyć naszym Czytelnikom, co oznacza bezpieczeństwo z perspektywy Biura Informacji Kredytowej? To obszar, którym Pan kieruje…
Bezpieczeństwo w takiej instytucji jak Biuro Informacji Kredytowej to najwyższy priorytet. To nie tylko praca nad ochroną reputacji, uniknięciem strat finansowych czy utrzymaniem ciągłości działania. W BIK pojęcie bezpieczeństwa ma szczególny wymiar, ponieważ pod naszą opieką są bazy danych zawierające informacje o kredytach i pożyczkach ponad 25 milionów Polaków. Gromadzimy historię kredytową w zasadzie każdego, dorosłego obywatela. Bezpieczeństwo naszego systemu oraz jego sprawne działanie jest zatem kluczowe dla rynku finansowego w naszym kraju.
Działamy wielotorowo, współpracujemy z komórkami bezpieczeństwa oraz z ekspertami i zarządami firm-instytucji finansowych, z bankami komercyjnymi, bankami spółdzielczymi, firmami telekomunikacyjnymi czy niezależnymi specjalistami cyberbepieczeństwa. Oczywiście czuwa nad tym dedykowany zespół bezpieczeństwa BIK, który pełni funkcję operacyjną, ale także konsultacyjną. Np. włącza się przy projektowaniu nowej usługi czy oferty. Jako zarządzający obszarem bezpieczeństwa kieruję się zasadą, że jeśli ja lub mój Zespół uznamy, że jakiś projekt niesie za sobą określone ryzyka, nie pozostajemy obojętni – zgłaszamy uwagi, modyfikujemy założenia tak, by doprowadzić do rozwiązania według przyjętych najlepszych zasad bezpieczeństwa i praktyk.
Czy z Pana perspektywy, kiedy mowa jest o bezpieczeństwie w sieci osoby prywatnej, przedsiębiorstwa czy nawet państwa to można mówić o cechach wspólnych takich obszarów?
Mamy dwie perspektywy bezpieczeństwa: firmową i osoby prywatnej. Bezpieczeństwo firmowe to zaawansowane systemy wyposażone w najnowsze technologie, pilnie strzeżone przez automaty czy roboty, wychwytujące ryzyka, reagujące na zidentyfikowane nieprawidłowości, błędy, wirusy, malware itp. Podobnie jest z bezpieczeństwem w tradycyjnym tego słowa znaczeniu, np. zabezpieczeniem lokalizacji – budynku. Tu pod nadzorem instaluje się np. sejfy, opisuje się sposoby monitoringu, a nawet tworzy się zasady projektowania pomieszczeń, procedur dostępu, ochrony przeciwpożarowej itp.
Biorąc to wszystko pod uwagę, wyzwaniem jest perspektywa osoby prywatnej. Ludzie, pracownicy firmy, którzy jako uczestnicy rynku finansowego w sieci narażeni są na ataki socjotechniczne cyberoszustów, cybergangów. Dotyczy to także właścicieli, menedżerów zarządzających i zarządów w każdej instytucji.
Zapewne obecnie popularna praca zdalna nasila te zagrożenia…
Wraz z pracą zdalną, wymuszoną z powodu pandemii, takie ataki się nasiliły. Odkąd działamy w przestrzeni domowej, a nie w budynku naszego biura, nie możemy mieć poczucia takiego samego poziomu bezpieczeństwa. Praktycznie od marca ub.r. przeszliśmy w BIK, podobnie jak banki czy inne instytucje, do trybu online. W tym obszarze konieczne było wdrożenie technologii wspierającej bezpieczeństwo. Na przykład, rozbudowaliśmy infrastrukturę związaną z dostępnością do sieci tak, by pracownicy mogli pracować bez utraty jakości i komfortu. Zabezpieczamy sprzęt — szyfrujemy dyski, karty pamięci. Tu przyznam, że poza wysiłkiem, to paradoksalnie pozytywna strona pandemii – czyli przyspieszenie innowacyjności w wielu sektorach biznesu, gospodarki.
Jak zadbać zatem o swoje bezpieczeństwo?
Szczególnie istotna jest świadomość, że każdy z nas powinien samodzielnie dbać o swoją tożsamość cyfrową i bezpieczeństwo. Warto się tym interesować, nie ignorować informacji o wyciekach, czytać dokładnie informacje tzw. drobnym drukiem, zwłaszcza komunikaty, na które często reagujemy odruchowo, pochopnie w nie klikając. Zawsze powtarzam, że niewiedza nie zwalnia nas z odpowiedzialności. Proszę sobie wyobrazić, że przecież poza pracą, jako osoby prywatne, jesteśmy niemal bezbronni wobec zaawansowanych metod i perfidnych ataków socjotechnicznych stosowanych przez hakerów. I przykład: z pozoru niegroźne, nieświadome udzielenie przestępcy zgody na udostępnienie swoich danych oraz pozwolenie wykonania określonych operacji, które są oszustwem, z perspektywy bezpieczeństwa nie noszą one niestety znamion włamania informatycznego. Łatwo więc wpaść w pułapkę, działając pochopnie, za szybko, zbyt ufnie. Dlatego należy pracować nad zmianą nawyków, zwłaszcza tych użytkowników, którzy nie byli przyzwyczajeni lub oswojeni do niemal stałego przebywania w przestrzeni internetowej.
Pytanie, czy da się przetrwać w tej dżungli pułapek?
Świadome podejście do kwestii bezpieczeństwa jest bardzo ważne. Trzeba wziąć inicjatywę w swoje ręce i np. korzystać z dostępnych narzędzi wspierających przed wyłudzeniem. Z badań opinii, jakie regularnie realizuje BIK, nie wynika optymizm. Otóż ponad połowa osób (51%) przyznaje w badaniach opinii realizowanych na zlecenie BIK, że nie zna powszechnie żadnych usług ochronnych i nigdy z nich nie korzystała. Co gorsza, 28% nigdy ich nie miała, wręcz nie interesowała się nimi i nie planuje skorzystać.
Jakie to narzędzia tudzież ułatwienia, które pomagałyby zwiększyć nasze bezpieczeństwo, np. uchronić przed wyłudzeniem? Jak się chronić panie Andrzeju?
BIK jako ekspert w obszarze przeciwdziałania wyłudzeniom dysponuje narzędziami, które pomagają zwiększyć nasze bezpieczeństwo, np. uchronić przed wyłudzeniem. Korzysta już z nich ponad milion Polaków, ale to wciąż zbyt mało. Takim standardem powinno być posiadanie konta na www.bik.pl. Rejestracja, która zajmuje kilkanaście minut, obejmuje potwierdzenie swojej tożsamości za pomocą przelewu weryfikującego za jedynie symboliczną złotówkę. Już w tym momencie zyskujemy możliwość korzystania z najszerszej ochrony w zakresie ograniczenia ryzyka wyłudzenia kredytu na cudze dane.
Można samodzielnie weryfikować swoje zobowiązania, np. kontrolując swój Raport BIK, który grupuje w jednym miejscu wszystkie informacje o historii kredytowej i bieżących zobowiązaniach. Raport BIK pozwala sprawdzić, kto pytał o nasze dane i upewnić się, że nie ciążą na nas zobowiązanie, o których nie wiemy. Wiedza ta będzie także przydatna do kontroli naszych finansów, np. gdy planujemy wydatki lub większe inwestycje i chcemy skorzystać z zewnętrznego finansowania.
Jeżeli nie będziemy chcieli zaciągać zobowiązań, możemy zabezpieczyć się Zastrzeżeniem Kredytowym, dostępnym w naszym koncie klienta. To informacja dla instytucji finansowych, że osoba ta nie chce, aby na jej dane udzielane były pożyczki lub kredyty. Oczywiście w każdej chwili, możemy to odwołać.
I kolejna sprawa, fundamentalna, gdy chodzi o nasz dowód tożsamości. Bezwzględnie należy pilnować swoich dokumentów – chronić swoje dane osobowe: imię i nazwisko, adres, numer dowodu osobistego, PESEL czy datę urodzin – nie należy podawać ich osobom trzecim, zwłaszcza tym, których się nie zna, a np. kontaktują się przez Internet czy telefon. Mając konto w BIK, w razie utraty dowodu tożsamości mamy natychmiastową możliwość zastrzeżenia tego dokumentu.
Oprócz samodzielnego weryfikowania zobowiązań warto uruchomić automatyczny monitoring – Alerty BIK. Usługa jest bardzo prosta. Są to powiadomienia, które przesyłane są za pomocą maila i SMS-a, za każdym razem, gdy w BIK pojawi się zapytanie o historię kredytową, będące częścią procesu kredytowego. Powiadomienia także przyjdą każdorazowo, gdy ktoś próbuje np. podpisać umowę leasingową czy zawrzeć umowę z dostawcą energii albo gazu. Co ważne, w wiadomości podana jest data zdarzenia, nazwa instytucji, w której złożono wniosek na dane klienta oraz numer infolinii BIK — na wypadek, gdyby potrzebne było wsparcie w wyjaśnieniu sprawy. W przypadku stwierdzenia próby wyłudzenia – BIK natychmiast przekazuje do instytucji finansowej informację o zablokowaniu zapytania i zobowiązania. Nasi konsultanci pomagają także w kontaktach klienta z policją czy prokuraturą.
Zapewniam, że to jedyna usługa w kraju, obejmująca tak szeroką ochroną zakres wyłudzeń. Ma największe pokrycie rynku ze względu na to, że BIK współpracuje ze wszystkimi bankami komercyjnymi, bankami spółdzielczymi, SKOK-ami oraz prawie wszystkimi firmami pożyczkowymi w Polsce. Ponadto zakres informacji wykorzystywanych w Alertach BIK zawiera również informacje pochodzące z Rejestru Dłużników BIG InfoMonitor (spółki zależnej od BIK), a więc dane z firm telekomunikacyjnych, spółek energetycznych, jednostek samorządu terytorialnego, firm leasingowych i faktoringowych.
Mówiąc o kompetencjach BIK w zakresie bezpieczeństwa instytucjonalnego – czyli np. rozwiązań dla sektora bankowego, warto wspomnieć jeszcze o naszej działalności edukacyjnej, realizowanej w różnych programach, kierowanych np. do młodzieży akademickiej. Należy do nich m.in. grywalizacyjna platforma edukacyjna Score Hunter BIK, z której dotychczas skorzystało już ponad 37,7 tys. osób. To sposób na kształtowanie pokoleń młodych, którzy wkrótce wejdą na rynek pracy zawodowej. To także nasz wkład na rzecz budowania świadomego swoich praw, ale i możliwości uczestnika rynku finansowego.