Bezpieczeństwo w firmie. Standardy i czujność – jak nie dać się hackerom. Rozmowa z Andrzejem Karpińskim, Dyrektorem ds. Bezpieczeństwa Grupy BIK

Nie ma wątpliwości, że bezpieczeństwo w takiej instytucji jak Biuro Informacji Kredytowej to najwyższy priorytet. Jaki wymiar ma odpowiedzialność departamentu bezpieczeństwa, którym Pan kieruje?

To prawda, że zapewnienie bezpieczeństwa w BIK to nie tylko praca nad ochroną reputacji, uniknięciem strat finansowych czy utrzymaniem ciągłości działania. To jest podstawowe zadanie, które powinno być realizowane przez wszystkie poważne organizacje. W BIK pojęcie bezpieczeństwa nabiera szczególnego wymiaru. Jest ono kluczowe, ponieważ pod naszą opieką są bazy danych zawierające informacje o kredytach i pożyczkach ponad dwudziestu pięciu milionów Polaków. Jednym słowem, gromadzimy historię kredytową w zasadzie każdego dorosłego Polaka. Bezpieczeństwo naszego systemu oraz jego sprawne działanie jest zatem kluczowe dla rynku finansowego w naszym kraju.

Oznacza to olbrzymią odpowiedzialność…Jakie działanie podejmuje BIK dla zachowania stabilności i bezpieczeństwa posiadanych danych? Czy pomagają w tym jakieś odgórne reguły czy normy?

Działamy wielotorowo, współpracujemy z komórkami bezpieczeństwa oraz z ekspertami i zarządami firm – instytucji finansowych, z bankami komercyjnymi, bankami spółdzielczymi, firmami telekomunikacyjnymi, czy niezależnymi specjalistami cyberbepieczeństwa. Oczywiście czuwa nad tym dedykowany zespół bezpieczeństwa BIK, który ma zadania i narzędzia do ich realizacji, budżet, ekspertów. Pełnimy także rolę konsultacyjną przy projektowaniu nowej usługi czy oferty. Kieruję się zasadą, że jeśli ja lub mój Zespół uznamy, że jakiś projekt niesie za sobą niedostateczny poziom bezpieczeństwa, nie pozostajemy obojętni – zgłaszamy uwagi, modyfikujemy założenia tak, by doprowadzić do rozwiązania według przyjętych najlepszych zasad bezpieczeństwa i praktyk. I tu nawiązuję do Pani pytania…Tak, BIK może wykazać się uznanymi certyfikatami międzynarodowych norm bezpieczeństwa. Jedną z nich jest norma ISO 27001, opisująca bezpieczeństwo, odpowiedzialności, sposoby raportowania, zarządzania. Certyfikat ten wymaga corocznego audytowania, a jego utrzymanie jest sukcesem wszystkich pracowników firmy, od Zarządu po pracowników ochrony, dokładających starań do przestrzegania najwyższych wymagań jakościowych. Posiłkujemy się także regulacjami branżowymi, np. PCI-DSS, mówiąca, jak realizować zasady bezpieczeństwa w zakresie płatności, zawierająca definicje technologiczne i organizacyjne. Uogólniając, mamy dwie perspektywy bezpieczeństwa: firmową i osoby prywatnej. Bezpieczeństwo firmowe jest dobrze opisane. Składa się na nie wiele obszarów, m.in. zabezpieczenie lokalizacji, sejfów, zasobów, zasady zaprojektowania pomieszczeń, monitoringu, procedur dostępu, zasady interwencji, ochrony przeciwpożarowej, a nawet ergonomii obsługi klienta.

Rozumiem, że wyzwaniem jest perspektywa osoby prywatnej. Co miał Pan dokładnie na myśli?

Bezpieczna firma to nie tylko zaawansowane systemy wyposażone w najnowsze technologie, pilnie strzeżone przez automaty czy roboty, wychwytujące ryzyka, reagujące na zidentyfikowane nieprawidłowości, błędy, wirusy, malware itp. Wyzwaniem jest osoba prywatna – ludzie, pracownicy firmy, którzy jako uczestnicy rynku finansowego w sieci narażeni są na ataki socjotechniczne cyberoszustów, cybergangów. Dotyczy to także właścicieli, menedżerów zarządzających i zarządów w każdej instytucji. Obecnie takie ataki nasiliły się wraz z pracą zdalną, wymuszoną z powodu pandemii. Praktycznie od marca ub.r. przeszliśmy w BIK, podobnie jak banki czy inne instytucje, do trybu online. Odkąd działamy w przestrzeni domowej, a nie w budynku naszego biura, nie możemy mieć poczucia takiego samego poziomu bezpieczeństwa. Dla przykładu, nie możemy wykluczyć kradzieży sprzętu, dlatego szyfrujemy dyski, karty pamięci. Rozbudowaliśmy infrastrukturę związaną z dostępnością do sieci tak, by pracownicy mogli pracować bez utraty jakości i komfortu. Ale i w tym obszarze konieczne było wdrożenie technologii wspierającej bezpieczeństwo. To paradoksalnie pozytywna strona pandemii – czyli przyspieszenie innowacyjności w sektorze finansowym. Jednak to, co według mnie jest szczególnie istotne, to świadomość, że każdy z nas powinien dbać o swoją tożsamość cyfrową i bezpieczeństwo. Jako osoby prywatne, będące w sieci poza pracą, jesteśmy niemal bezbronni wobec zaawansowanych metod i perfidnych ataków socjotechnicznych stosowanych przez hakerów. W większości przypadków to sami pokrzywdzeni udostępnili swoje dane, działając w pośpiechu, a nawet w dobrej wierze. Nieświadome udzielenie przestępcy zgody na udostępnienie swoich danych, pozwolenie wykonania określonych operacji, które są oszustwem, z perspektywy bezpieczeństwa nie noszą one niestety znamion włamania informatycznego. To taka pułapka. Dlatego należy pracować nad zmianą nawyków, zwłaszcza tych użytkowników, którzy nie byli przyzwyczajeni lub oswojeni do niemal stałego przebywania w przestrzeni internetowej. Świadome podejście do kwestii bezpieczeństwa jest bardzo ważne.

Zmiana nawyków to faktycznie wyzwanie, które może zaowocować, ale to „pieśń przyszłości”. Pewnie jest szereg reguł i zasad…

Bezwzględnie trzeba dbać o swoją tożsamość cyfrową i bezpieczeństwo. Warto się tym interesować, nie ignorować informacji o wyciekach, czytać dokładnie informacje tzw. drobnym drukiem, zwłaszcza komunikaty, na które często reagujemy odruchowo, pochopnie w nie klikając. Są narzędzia, których celem jest ograniczenie ryzyka wyłudzenia. Niepokoi jednak fakt, aż ponad połowa osób (51%) przyznaje w badaniach opinii realizowanych na zlecenie BIK, że nie zna powszechnie żadnych usług ochronnych i nigdy z nich nie korzystała. Co gorsza, 28% nigdy ich nie miała, wręcz nie interesowała się nimi i nie planuje skorzystać.

Koniecznie zatem wróćmy do narzędzi. Tyle Pan mówił o automatyzacji…Co jest dostępne tu i teraz, jakie są ułatwienia, które pomagałyby zwiększyć nasze bezpieczeństwo, np. uchronić przed wyłudzeniem?

Jak wspomniałem, narzędzia są. Jednak trzeba wziąć inicjatywę w swoje ręce i z nich korzystać. To bardzo proste. Wystarczy zarejestrować konto na www.bik.pl i móc korzystać z najszerszej ochrony w zakresie ograniczenia ryzyka wyłudzenia kredytu na cudze dane.

Można samodzielnie weryfikować swoje zobowiązania, np. kontrolując swój Raport BIK, który grupuje w jednym miejscu wszystkie informacje o historii kredytowej i bieżących zobowiązaniach. Jest to przydatne, gdy planujemy wydatki lub większe inwestycje i chcemy  skorzystać z zewnętrznego finansowania. Nasze możliwości obliczymy łatwo w Analizatorze Kredytowym BIK. Jeżeli nie będziemy chcieli zaciągać zobowiązań, możemy zabezpieczyć się Zastrzeżeniem Kredytowym, dostępnym w naszym koncie klienta. W razie utraty dowodu tożsamości mamy natychmiastową możliwość zastrzeżenia tego dokumentu. Oprócz samodzielnego weryfikowania zobowiązań, warto uruchomić automatyczny monitoring – Alerty BIK. To jedyna usługa w kraju, obejmująca tak szeroką ochroną zakres wyłudzeń. Ma największe pokrycie rynku ze względu na to, że BIK współpracuje ze wszystkimi bankami komercyjnymi, bankami spółdzielczymi, SKOK-ami oraz prawie wszystkimi firmami pożyczkowymi w Polsce. Ponadto zakres informacji wykorzystywanych w Alertach BIK zawiera również informacje pochodzące z Rejestru Dłużników BIG InfoMonitor (spółki zależnej od BIK), a więc dane z firm telekomunikacyjnych, spółek energetycznych, jednostek samorządu terytorialnego, firm leasingowych i faktoringowych. Usługa jest bardzo prosta, Alerty BIK przesyłane są za pomocą maila i SMS-a, za każdym razem, gdy w BIK pojawi się zapytanie o historię kredytową, będące częścią procesu kredytowego. Powiadomienia także przyjdą każdorazowo, gdy ktoś próbuje np. podpisać umowę leasingową czy zawrzeć umowę z dostawcą energii albo gazu. Co ważne, w wiadomości podana jest data zdarzenia, nazwa instytucji, w której złożono wniosek na dane klienta oraz numer infolinii BIK – na wypadek, gdyby potrzebne było wsparcie w wyjaśnieniu sprawy. W przypadku stwierdzenia próby wyłudzenia, BIK natychmiast przekazuje do instytucji finansowej informację o zablokowaniu zapytania i zobowiązania. Nasi konsultanci pomagają także w kontaktach klienta z policją czy prokuraturą.

A czy usługi BIK obejmują także klientów firmowych, podmioty gospodarcze?

Tak, rozwiązania BIK działają również w przypadku firm – wystarczy dorejestrować do swojego indywidualnego konta na bik.pl także konto swojego przedsiębiorstwa (NIP). Można wówczas pobrać raport z zobowiązaniami swojej firmy i skorzystać z osobnych Alertów, żeby chronić się przed wyłudzeniami na dane firmowe.

W tym miejscu, chciałbym zwrócić uwagę na ważną kwestię, która dotyczy osób na eksponowanych stanowiskach, w szczególności właścicieli i reprezentantów firm. Otóż dane tych osób są publicznie dostępne m.in. w Krajowym Rejestrze Sądowym, w pełnomocnictwach, umowach, a także w księgach wieczystych. Mogą być łatwym celem dla przestępców, np. do wyłudzenia kredytu. Sama świadomość takiej sytuacji powinna obudzić do podjęcia działań prewencyjnych.

W przypadku firm dobrą praktyką jest korzystanie z biur informacji gospodarczej, jak np. z należącego do Grupy BIK Biura Informacji Gospodarczej InfoMonitor, gdzie można zgłaszać nierzetelnych kontrahentów, ale także faktury zapłacone w terminie. Można sprawdzić wiarygodność, terminowość płatności firmy, z którą chce się nawiązać współpracę. W przypadku wykrycia nierzetelności pojawiają się poważne komplikacje dla nieuczciwego przedsiębiorcy. Będzie miał problemy z uzyskaniem kredytu czy leasingu. Nasze działania pozwalają wyeliminować z rynku „przedsiębiorców”, którzy przyjęli za model biznesowy niepłacenie faktur.

Na podsumowanie omawianej sfery bezpieczeństwa – czy z ramienia szefa bezpieczeństwa BIK, widziałby Pan jakieś powody do optymizmu na przyszłość?

W minionym roku zmieniło się znacząco podejście do cyberbezpieczeństwa. Z pewnością nie jest to temat, który się ignoruje. To przeszłość. Zarządy firm mają coraz większą świadomość zagrożeń, więc rośnie chęć przeciwdziałania, podejmuje się coraz więcej inicjatyw w tym obszarze. Mam także przekonanie, że menedżerowie firm mają coraz większe zaufanie do ekspertów w dziedzinie bezpieczeństwa. To rolą zespołów i działów ds. bezpieczeństwa należy bieżące analizowanie, stałe przewidywanie i zgłaszanie rozwiązań. Jestem przekonany, że do tego obszaru działalności  przywiązuje się obecnie w wielu instytucjach większą wagę.

Andrzej Karpiński

Dyrektor bezpieczeństwa, od ponad 20 lat dzieli się swoim doświadczeniem, wiedzą i pasją z zakresu sieci i bezpieczeństwa. Pracował m.in. w największych firmach telekomunikacyjnych w Polsce oraz zagranicą (Orange, ATMAN, Asiacell), jako ekspert Grupy Roboczej IoT przy Ministerstwie Cyfryzacji. Ekspert w zakresie zarządzania zespołami bezpieczeństwa sieci, jako koordynator jednej z największych na świecie sieci IRC (EfNet). Był członkiem komitetu sterującego SIMARGL – europejskiego projektu ds. cyberbezpieczeństwa, jest stałym Członkiem Rady Programowej PLNOG PROIDEA oraz Polskiego Towarzystwa Informatycznego.

Z zamiłowania do pracy dziennikarskiej w latach 90-tych redagował rubrykę BitMan w Dzienniku Wschodnim, oswajając czytelników z zawiłą i skomplikowaną tematyką bezpieczeństwa informatycznego. Prywatnie rozwija swoje pasje sportowe jako zawodnik sekcji strzeleckiej i karate.

W Grupie BIK Andrzej odpowiada za system zarządzania bezpieczeństwem Biura Informacji Kredytowej oraz jej spółki zależnej Rejestru Dłużników BIG InfoMonitor.

Last Updated on 17 maja, 2021 by Łukasz