Cyberbepieczeństwo, sztuczna inteligencja i ciągłość działania instytucji – to najważniejsze wyzwania dla banków związane z rozwojem technologii i z geopolityczną presją. Bankowcy uznali je za kluczowe zarówno w zeszłym, jak w tym roku. Podczas debaty Technologicznego Okrągłego Stołu na tegorocznym Europejskim Kongresie Finansowym kwestie związane z utrzymaniem ciągłości działania w warunkach cyberwojny wysunęły się na pierwszy plan.
– Wyzwania związane z ciągłością działania, rozumianą jako bezawaryjne utrzymanie systemów wzrosły od roku 2022 – powiedział podczas debaty Piotr Alicki, prezes Krajowej Izby Rozliczeniowej.
Od napaści Rosji na Ukrainę w lutym 2022 roku banki muszą brać pod uwagę nawet najbardziej skrajne scenariusze. A co by się stało, gdybyśmy – idąc rano do pracy – zobaczyli na ulicach Warszawy czołgi? Jak – nie przymierzając – 13 grudnia 1981 roku pod kinem „Moskwa”, gdzie wyświetlano wówczas słynny film „Czas Apokalipsy”? Bankowcy mówią, że taki scenariusz też ćwiczą. Różnica polega na tym, że obecność czołgów na ulicach Warszawy jest (na razie) ryzykiem „ogonowym”, a cyberwojna nieprzerwanie trwa.
– Każdego dnia jesteśmy na wojnie trwającej w cyberprzestrzeni – powiedział podczas debaty Przemysław Koch, członek zarządu VeloBanku.
Czasy, kiedy cyberprzestępcy próbowali ukraść pieniądze z banku minęły, gdyż zdołały one zbudować skuteczne zapory, kosztowne do pokonania. Ale od wybuchu „gorącej” wojny banki są nieustannie atakowane przez cyberterrorystów, prawdopodobnie działających na zlecenie Rosji. Ataki DDoS (polegające na zmasowanym wysyłaniu zapytań przez Internet na serwery instytucji, by zablokować jej możliwość komunikacji i świadczenia usług) czy ransomware (zaszyfrowanie dysków z danymi wskutek czego stają się niedostępne) to dla banków codzienność. Oprócz tego od wybuchu wojny nasiliły się próby prania brudnych pieniędzy.
– Listy sankcyjne wzrosły od wojny o 40 proc., a liczba alertów ponad trzy razy. Na walkę z praniem brudnych pieniędzy poszły bardzo duże inwestycje – powiedział Andrzej Burliga, wiceprezes Santander Bank Polska.
– Zagrożenia są coraz bardziej złożone, botnet ostatnio wykorzystał internet rzeczy, atakował pralki, lodówki, żeby zagrozić systemowi finansowemu – mówił Przemysław Koch.
Wszystko to powoduje, że walka o bezawaryjność i ciągłość działania stała się dla instytucji finansowych podstawowym wyzwaniem. Jak banki sobie z tym radzą?
– Nasze systemy ciągłości działania budowane były na czasy, kiedy zagrożenie mogło przyjść jednym wektorem. Teraz może przyjść bardzo wieloma. Powinniśmy mówić nie o ciągłości działania, cyberbezpieczeństwie ale o odporności cyfrowej. To powinno być nadrzędnym celem sektora – powiedziała Magdalena Nowicka, wiceprezes BNP Paribas Bank Polska.
Mariusz Kaczmarek, wiceprezes największego banku Ukrainy, PrivatBanku mówi, że decyzja o przeniesieniu danych i operacji do chmury za granicą, zanim Rosjanie zdążyli zbombardować centra danych banku, uratowała ukraiński system bankowy. Przenoszenie danych i operacji do chmury, a raczej do zdywersyfikowanych chmur, to jeden ze sposobów na zapewnienie ciągłości działania.
– Chmura jest rozwiązaniem służącym zachowaniu ciągłości działania. Mamy dwa data centre, kopie danych 4 tys. km stąd, a teraz zastanawiamy się, czy trzeciego nie powinniśmy zbudować – powiedział Patryk Nowakowski, członek zarządu Santander Bank Polska.
Polskie banki kilka lat temu doszły do wniosku, że cyberbezpieczeństwo nie jest polem konkurencji. Dlatego zdecydowały się na wspólne przedsięwzięcia w tym obszarze. Dają one efekty.
– Pod tym względem (cyberbepieczeństwa) jesteśmy bardzo dobrze zintegrowani i współpracujemy dzięki forum działającemu przy Związku Banków Polskich – powiedziała Katarzyna Majewska, członkini zarządu Banku Handlowego w Warszawie.
– PKO BP wszedł w projekt AML-owy (zapobiegania praniu brudnych pieniędzy) budowany przez Krajową Izbę Rozliczeniową i Związek Banków Polskich. Chcielibyśmy, żeby ten system zatrzymywał fraudy, nieautoryzowane transakcje – zadeklarował podczas debaty prezesów Szymon Midera, prezes PKO Banku Polskiego.
Unijne rozporządzenie w sprawie operacyjnej odporności cyfrowej (DORA) określa nowe zasady efektywnego i kompleksowego zarządzania ryzykiem cyfrowym na rynkach finansowych, w tym w bankach. Nakłada ono m.in., na banki oraz dostawców usług IT wiele
nowych obowiązków, które mają na celu zapewnienie odporności operacyjnej w przypadku wystąpienia zakłóceń związanych z cyberbezpieczeństwem oraz technologiami informacyjno-komunikacyjnymi. Banki boją się kar przewidywanych przez nowe prawo, jednak uważają, że im ono pomoże.
– Rozporządzenie DORA adresuje bardzo duże potrzeby związane z ciągłością działania, cyberbepieczeństwem i pozwala myśleć o tym całościowo – powiedział Michał Plechawski, dyrektor zarządzający ds. informatyki i technologii w mBanku.
Bankowcy mają też ogromne nadzieje w związku z rozwojem sztucznej inteligencji. Także w zakresie bezpieczeństwa technologicznego.
– Jeśli nie skorzystamy ze sztucznej inteligencji w walce z przestępcami czy terrorystami to na pewno przegramy – mówił Piotr Alicki.
Obietnice sztucznej inteligencji są znacznie dalej idące niż tylko walka z przestępczością czy praniem brudnych pieniędzy. Banki mają znakomitej jakości dane o transakcjach finansowych swoich klientów i jeśli potrafią dobrze zbudować modele predykcyjne, może to stać się bardzo dużą biznesową wartością.
– Sztuczna inteligencja daje nową szansę na wsparcie biznesu, chcielibyśmy, żeby przyniosła oczekiwane wartości – mówił Błażej Szczecki, wiceprezes banku Pekao.
Na razie banki eksperymentują ale w ograniczonym zakresie i wdrażanie sztucznej inteligencji w zastosowaniach biznesowych przypomina raczej pierwsze ostrożne kroki dziecka niż husarską szarżę. Dlaczego?
– Sztuczna inteligencja to nie jest tania technologia. Pracujemy nad kilkoma projektami, które mogą zostać wprowadzone, ale ze względów ekonomicznych będziemy się zastanawiać czy niektórych nie zakopać – wyjaśnił Michał Plechawski.
– Sztuczna inteligencja w bankach wchodzi zbyt wolno, ale to dlatego, że mamy problemy ze starymi systemami operacyjnymi (…) prawdziwych ekspertów na rynku jest jak na lekarstwo – dodał Sławomir Soszyński, wiceprezes ING Banku Śląskiego.
Kiedy cyberprzestępcy uznali, że zbyt trudno ukraść pieniądze zza solidnych murów bankowych twierdz zmienili kierunek ataku na klientów banków. Od lat wiadomo, że użytkownik bankowej apki, działający w pośpiechu, niekiedy w panice jest najsłabszym ogniwem całego systemu. Stąd znaczenie, jakie sektor finansowy przypisuje walce z dezinformacją, paniką, czy też z socjotechniką.
– Nasi klienci są dużo mniej zaawansowani technologicznie niż my, sektor finansowy. Musimy zastanowić się w jaki sposób im pomagać, a będzie to w sumie w naszym interesie – powiedział Mariusz Zarzycki, wiceprezes PKO Banku Polskiego.
– Potrzebujemy wyposażenia klienta w narzędzia, którymi w wypadku zagrożenia cybernetycznego mógłby się posłużyć – mówił w czasie debaty prezesów Cezary Stypułkowski, prezes mBanku.
Cyberwojna, którą prowadzą banki to zupełnie nowa sytuacja i całkowicie nowe wyzwanie dla instytucji finansowych. Bezpieczeństwo będzie decydować o ich przyszłości. Jaka ta przyszłość będzie?
Grzegorz Chudek, dyrektor zarządzający w Accenture Polska mówił o badaniach trendów przyszłości, które zmaterializują się dopiero za kilka lat. Jednym z nich będzie zmiana sposobu komunikacji. Informacja stanie się spersonalizowana, klienci będą poszukiwać informacji, która jest im potrzebna w kontekście, w jakim aktualnie się znajdują.
– Dostarczanie takich informacji będzie jednym z głównych trendów – powiedział Grzegorz Chudek.
Drugim trendem przyszłości będą asystenci personalni. Ale nie będą to „uniwersalni” asystenci, których obecnie dostarczają już technologiczni giganci. Konsumenci będą używać całej gamy asystentów, którzy będą ich wspierać w codziennych czynnościach. Będą wprowadzani przez różne firmy jako usługa.
Trzecim trendem poszukiwanie sposobów na bezpośrednie połączenie człowieka z maszyną. Takie interfejsy w pierwszej kolejności będą rozwiązywać problemy ludzi niepełnosprawnych i już dziś są wykorzystywane. Wciąż będą rozwijały się również technologie przestrzenne, czyli rozszerzonej rzeczywistości. To wszystko jest na wyciągnięcie ręki, jeśli cyberwojna nie zostanie przegrana.