Czy bankowość oparta na FinTech i technologii Blockchain poprawi bezpieczeństwo, czy może przyniesie nowe zagrożenia?
Coraz większa liczba firm z branży FinTech (ang. financial technology) oraz nowe technologie zmieniają sposób działania bankowości i świadczenia usług finansowych. Jak podaje tygodnik The Economist, w ostatnich pięciu latach wartość inwestycji w FinTech na świecie wyniosła ponad 25 miliardów dolarów. Chińskie tuzy FinTech ? Tencent i Alipay ? mają więcej klientów niż czołowe banki. Firmy z tej branży rzucają bankom wyzwanie prawie w każdym obszarze oferowanych produktów i usług.
Pod presją konkurencji ze strony firm FinTech, które wprowadzają innowacyjne usługi (np. pożyczki społecznościowe i crowdfunding), banki coraz częściej sięgają po nowe technologie. Ma to pomóc w usprawnieniu procesów i modeli biznesowych oraz polepszeniu poziomu obsługi klienta.
Wiele banków zaczyna przenosić tradycyjne, odizolowane systemy bankowości i systemy transakcyjne na bardziej elastyczne platformy. Testowane są też nowe metody współużytkowania danych o klientach. Niektóre banki dokonały migracji systemów do chmury, umożliwiając pracownikom zdalny dostęp do zasobów danych. Inne wdrażają architektury zorientowane na usługi (zapewniające zgodność z różnymi systemami), a także łączą systemy obsługi klienta i interfejsy ze wspólnymi źródłami danych oraz aplikacjami.
Więcej danych, większe ryzyko
Zmiany te powodują, że instytucje finansowe i banki muszą przetwarzać coraz większe ilości danych. Analitycy przewidują, że ilość danych używanych przez banki wzrośnie do 2020 roku siedmiokrotnie w porównaniu z poziomem dzisiejszym.
Wiele generowanych danych zawiera informacje o finansach klientów, kontach, posiadaczach kart i transakcjach, a także informacje osobowe. Są to dane wrażliwe, zatem ich przetwarzanie podlega regulacjom.
W miarę rozpowszechniania się transakcji cyfrowych (w tym mobilnych), banki wprowadzające u siebie nowe rozwiązania cyfrowe w nieunikniony sposób stają w obliczu zwiększonego ryzyka dla bezpieczeństwa i ochrony danych. Z dużym prawdopodobieństwem banki będą mieć do czynienia z nowymi rodzajami szkodliwego oprogramowania i ataków phishingowych. Celem będzie wykorzystanie luk w zabezpieczeniach przy coraz intensywniejszym ruchu danych o klientach pomiędzy oddziałami, użytkownikami mobilnymi, a nawet w chmurze.
Narastająca cyberprzestępczość, ataki hakerów i wycieki danych zwiększyły znaczenie zaawansowanych programów bezpieczeństwa. Naruszenia ochrony wielkich zbiorów danych mogą prowadzić do bardzo poważnej utraty reputacji oraz reperkusji prawnych.
W 2015 holding JPMorgan stał się ofiarą największego w historii ataku hakerów na instytucję finansową, w wyniku którego ukradziono 83 mln rekordów. Skradzione dane nie zawierały numerów kart kredytowych ani innych informacji bankowych, lecz treści wiadomości e-mail. Hakerzy użyli tych danych do manipulowania rynkiem papierów wartościowych.
Czy technologia Blockchain jest bezpieczna?
W całej branży finansowej panuje tendencja do dalszego rozwoju opcji płatności i większego ich zróżnicowania. Jednak wiele banków dopiero poszukuje sposobów zapewnienia odporności infrastruktury, która ma je przetwarzać.
Wiele instytucji eksperymentuje z innowacyjnymi technologiami, takimi jak Blockchain (oprogramowanie, na którym bazuje Bitcoin) oraz usprawnia działanie swoich systemów informatycznych.
Technologia Blockchain wygląda obiecująco, gdyż oparta jest na rozproszonym systemie plików. W jego ramach banki utrzymują u siebie kopie danego pliku i uzgadniają pomiędzy sobą zmiany w nim. Plik taki składa się z bloków, z których każdy zawiera sygnaturę kryptograficzną poprzedniego bloku.
Potencjalnie, transakcje realizowane w technologii Blockchain byłyby wykonywane natychmiastowo i w sposób zabezpieczony kryptograficznie, a do tego podlegałyby publicznej weryfikacji bez potrzeby pośrednictwa zaufanej instytucji finansowej. Ponadto technologia ta jest ze swojej natury bezpieczniejsza, ponieważ rozproszony charakter transakcji automatycznie wymusza weryfikację ich integralności. Oprócz tego transakcje są transparentne i nie mogą być zmienione jednostronnie, co oznacza, że przeprowadzenie ataku byłoby skrajnie trudne ? o ile w ogóle możliwe.
Zalety te sprawiają, że technologia Blockchain może odegrać rolę pośrednika finansowego, w wyniku czego czas realizacji transakcji ulegnie znacznemu skróceniu, przy równoczesnej poprawie bezpieczeństwa. Banki liczą, że Blockchain będzie przydatny we wszelkich transakcjach, od realizacji przekazów po obrót papierami wartościowymi, oraz stanie się standardem w handlu międzynarodowym.
Jednakże technologia Blockchain w dużym stopniu pozostaje jeszcze niesprawdzona, a jej rozwój w kierunku pozwalającym na spełnienie bardziej zaawansowanych wymagań współczesnych instrumentów bankowych może jeszcze zająć nieco czasu. Do tego dochodzi brak odpowiednich regulacji oraz konieczność rozwiązania problemów zgodności z przepisami i ich egzekwowania.
Waluta Bitcoin, oparta na technologii Blockchain, jest od lat popularna w systemach peer-to-peer. Niestety była ona wykorzystywana przez przestępców, a wielu użytkowników straciło miliony dolarów na skutek kradzieży. Pomimo że technologia Blockchain może pomóc w wyeliminowaniu wielu przestarzałych i nieefektywnych procesów w obrocie, wzbudza również poważne obawy banków ze względu na kwestię bezpieczeństwa.
Ponadto dla banków jednym z najważniejszych aspektów jest poufność transakcji. Jeśli w ramach technologii Blockchain w pliku będą przechowywane na przykład poufne informacje o kontraktach, czy płatnościach, replikacja takiego pliku otworzy cyberprzestępcom większe możliwości kradzieży i wykorzystania takich danych.
Konieczne inwestycje w bezpieczeństwo
Instytucje finansowe i bankowe muszą zachować pełną czujność przy wdrażaniu nowych technologii i rozwiązań. Niezbędne staje się nieustanne chronienie swoich danych przed atakami i stałe inwestowanie w poprawę bezpieczeństwa. Instytucje finansowe muszą także opracować odpowiednie mechanizmy obrony z funkcjami przeciwdziałania atakom. W sytuacji, w której transformacja opiera się głównie na modernizacji technologii, wiele instytucji musi przeznaczyć na ten obszar więcej środków.
Banki muszą obecnie reagować stosunkowo szybko na potrzeby klientów oraz być na tyle elastyczne, by wprowadzać nowe technologie, narzędzia i procesy w miarę ich udostępniania. Ponadto niezbędne jest zrozumienie potrzeb w zakresie ewolucji przepisów regulacyjnych i prawnych, tak aby nadążały one za innowacjami. Równocześnie instytucje finansowe i bankowe muszą być w stanie na bieżąco monitorować nowe technologie, tak aby oceniać ich przydatność i ewentualnie włączać je do swojej architektury informatycznej.
Oczekiwanie, że instytucje finansowe będą w stanie dokonać tego wszystkiego we własnym zakresie, byłoby nierealistyczne. Planując swoje strategie bezpieczeństwa, banki powinny nawiązać współpracę partnerską z zewnętrznym dostawcą usług i rozwiązań w zakresie bezpieczeństwa. Te ostatnie będą w stanie zabezpieczyć aplikacje oraz zapewnić niezbędne szkolenie i pomoc techniczną, tak aby personel obsługujący te aplikacje został należycie zapoznany z nowymi technologiami.
Ponadto instytucje finansowe muszą mieć pewność, że ich działy informatyczne oraz zewnętrzni partnerzy mają doświadczenie niezbędne do przeprowadzenia migracji polityk i mechanizmów bezpieczeństwa z dotychczasowej tradycyjnej infrastruktury do nowych technologii i rozwiązań.
Mariusz Rzepka, dyrektor Fortinet na Polskę, Ukrainę i Białoruś