Manapság a kibercsalások során a pénz nem klasszikus hackertámadásban, hanem sokkal gyakrabban egy e-mailben, telefonhívásban vagy egy üzenetben érkező sürgető üzenet nyomán az ügyfél által „önkéntesen” megtett lépés után tűnik el a számlánkról. A Financial Fraud Summit konferencia előadásai és kerekasztal-beszélgetései ezt a mindennapi, emberi pillanatot tették a középpontba: azt a néhány másodpercet, amikor magánszemély vagy egy vállalkozó eldönti, rákattint-e egy linkre, elindít-e egy utalást, vagy megáll és inkább visszakérdez.

Nem a rendszereket, az embert támadják

A „Bankok a kibertérben” című panelen Czimer Gergely, a Raiffeisen Bank vállalati digitális és fizetési megoldásokért felelős ügyvezető igazgatója úgy fogalmazott: a banki védelem ma már nem egy páncélszekrény, hanem egy folyamatosan mozgó háló. A jogi, IT, compliance, üzleti területek és ügyfélkapcsolat dolgoznak együtt egy olyan működési modellben, amely nemcsak a tranzakciókat figyeli, hanem azokat a helyzeteket is, amikor az ügyfél sebezhetővé válik. A cél nem az, hogy minden utalást megállítsanak, hanem az, hogy felismerjék azokat a mintákat, ahol a döntés már nem a megszokott üzletmenet része.

Ez a gondolat találkozott Wittinghoff Dániel, a Mastercard kibervédelmi üzletfejlesztési igazgatójának globális kitekintésével. Szerinte

a támadások egyre ritkábban indulnak látványos technikai behatolással, gyakrabban egy adatlopással, egy megszerzett belépési kóddal, egy ellopott hangmintával kezdődnek.

A mesterséges intelligencia ma már képes egy cégvezető hangján megszólaló üzenetet küldeni egy pénzügyesnek, vagy egy valós beszállítóra megszólalásig hasonlító e-mailt írni. A technológia ebben a térben kétoldalú fegyverré vált: ugyanazok az algoritmusok, amelyek a bankoknál a csalásokat szűrik, a másik oldalon a támadásokat finomítják.

Amikor a nem létező unokának is pénzt adunk

A vállalati oldal sérülékenységét Zátonyi János, az MBH Bank fizetési megoldások és innovációs központjának igazgatója egy egyszerű példával tette kézzelfoghatóvá. Egy kisebb cégben gyakran egyetlen ember kezében fut össze a számlázás, az utalás és a beszállítói kapcsolattartás. Ha egy üzenet elég sürgetőnek és elég hitelesnek tűnik, nincs második kör, nincs visszahívás, nincs belső ellenőrzés. A döntés megszületik, a pénz elindul.  Egy másik, a konferencián elhangzott plasztikus példa szerint a bank nem tud mit tenni olyankor, amikor egy idős hölgyet annyira fel tudtak zaklatni a csalók, hogy a nem is létező unokája „megsegítésére” csupaszította le a számláját és utalta át minden vagyonát a csalóknak. A szakember szerint banki rendszerek ilyenkor nem tudnak mit tenni, hiszen nem feltörve vannak, hanem kikerülve.

Kép: Economx / Nagy László Nándor

Weissmüller Gábor, a Magyar Bankszövetség csalás elleni munkacsoportjának vezetője szerint ez az a pont, ahol a verseny logikája háttérbe szorul. A támadási minták ugyanis nem bankonként terjednek, hanem ügyfélről ügyfélre. Épp ezért, ha egy módszer működik, akkor az adott csalási típussal a csalók szinte mindenkinél megpróbálkoznak, így a minta jó eséllyel órákon, napokon belül megjelenik több pénzintézetnél is.

A védekezés szerinte ezért nem egyedi fejlesztések sorozata, hanem egy hálózat, ahol a bankok nak meg kell osztaniuk egymással, mi működik és mi nem. A cél nem az, hogy egy szereplő legyen a legbiztonságosabb, hanem az, hogy a rendszer egésze legyen nehezebben támadható.

Ennek egyik módszere lehet a tavaly júliustól a Giro Zrt.-nél működő Központi Visszaélésszűrő Rendszer (KVR). Ugyanakkor a Bankszövetség képviselője és az MBH szakembere is arról beszélt, hogy az ügyfelek ballépéseinek megelőzéséhez, a gyorsabb adatátadáshoz a jogszabályi keret megteremtése szükséges. Az pedig már az országhatáron átnyúló megoldásért kínál, hogy olyan globális szereplők, mint például a Google vagy a Facebook is jobban rá legyenek kényszerítve a csalások elleni fellépésre: ma a csalók fizetett hirdetésben helyezhetik a keresőmotorok találati listájának élére az ál-banki honlapok linkjeit, de kb. ugyanígy szinte lehetetlen az online piacterek csalóit jelenteni és eltüntetni a szociális média felületeiről. Így bár  a legtöbb esetben az ügyfelek hibáznak, Weissmüller Gábor szerint „a labda a bankoknál és a szabályozónál pattog”, a problémákra szerinte elsősorban nekik kellene megoldásokat találni. Czimer Gergely ehhez annyit tett hozzá, hogy a bankoknak véges fejlesztési kapacitásai vannak, és ebben a tekintetben az is akadály, hogy az állami túlszabályoz és egy csomó olyan fejlesztés megvalósítását írja elő, amely mellett nem jut elég erőforrás a legfontosabb területeken fejleszteni.

A banki oldal fejlesztéseit bemutató előadásában Kósa Anna, az Erste Bank Hungary compliance vezetője azt emelte ki, hogy a védelem nem egyetlen szoftver. Egy szervezet akkor tud gyorsan reagálni, ha világos, ki dönt, milyen helyzetben, és milyen információ alapján. A valós idejű szűrőrendszerek mellett ezért legalább ilyen fontos a belső folyamatok tesztelése: mi történik, ha egy ügyfél vitat egy tranzakciót, mennyi idő alatt jut el az ügy az operációs csapathoz, és ki állítja meg a folyamatot, ha valami nem stimmel.

Ügyfélélmény faktor-e a biztonság?

A kockázat azonban nemcsak a banki felületeken jelenik meg, hanem a pénztárnál is. Orbán Tamás, a Visa közép-kelet-európai kockázatkezelési menedzsere a társaság nagy webshop-felmérés adataira hivatkozva arról beszélt, hogy a kereskedők jelentős része még mindig a fizetés legvégén kezdi el komolyan venni a biztonság kérdését. Addig a gyors belépés, az egyszerű vásárlás és a minél kevesebb kattintás a fő szempont. Csakhogy minden ilyen rövidítés egyben egy új támadási felület is. A csalások nemcsak közvetlen pénzveszteséget jelentenek, hanem hosszabb távon elviszik a vevői bizalmat is.

Ezt a kérdést másik oldalról világította meg Neubauer Katalin, a Magyar Nemzeti Kereskedelmi Szövetség főtitkára. Szerinte a fizetés pillanata a teljes vásárlói élmény legérzékenyebb része. Ha a terminál lassú, a rendszer bizonytalan, vagy a vevő nem érti, mi történik a kártyájával vagy a telefonjával, akkor nemcsak az adott vásárlás forog kockán, hanem az ügyfél lojalitása is eltűnhet.

A technológia ugyanakkor nemcsak véd, hanem átalakítja a vállalati bankolást is. Kovásznai Ádám, az MBH eFin Technologies BUPA digitális platformjának vezetője szerint a vállalkozók egyre kevésbé „banki termékekben”, és egyre inkább döntési helyzetekben gondolkodnak. A számlainformációk, a számlázás, az adózási adatok és a pénzforgalom akkor válnak értékké, amikor egyetlen felületen jelennek meg, és nem adatként, hanem következtetésként segítik a napi működést. Minél átláthatóbb a rendszer, annál kisebb a tere a félreértéseknek és a visszaéléseknek.

A vállalkozói oldal felkészítését Balog Ádám, a Magyar Kereskedelmi és Iparkamara alelnöke a digitális tudás oldaláról közelítette meg. A kkv-k jelentős része ma még rutinból hoz pénzügyi döntéseket. Az edukáció célja szerinte az, hogy a kockázat felismerése ugyanolyan automatikussá váljon, mint egy számla kiállítása vagy egy rendelés rögzítése.

Tűzriadó-próba van, de a kibervédelemmel nem törődünk

Ebben a feladatban komoly segítség az edukáció, hiszen - miként Rajna Gábor, a Raiffeisen Bank lakossági  vezérigazgató-helyettese fogalmazott – „a leggyengébb láncszem továbbra is az ember”, ezért az olyan felhasználóknak, mint a kis- és középvállalatok, elsősorban a pénzügyeik kezelésével megbízott munkavállalóik fejlesztésére kellene koncentrálni. A banki szakember praktikus tanácsként a vállalkozásoknak a „négy szem elv” alkalmazását ajánlotta, azt, hogy végrehajtás előtt minden fontos tranzakciót legalább ketten átnézzenek. Hiába van Európában példa nélküli összefogás az állami, felügyeleti és bűnüldöző szervek, valamint a bankok és a pénzügyekhez kötődő további piaci szervezetek között a KiberPajzs programban és hiába hoz eredményeket az egyre szélesebb körű felvilágosító kampány, ha közben az emberekben legtöbbször csak akkor alakul ki a védelem  iránti igény, amikor már késő. Ha az autóvezetéshez előírás a jogosítvány megszerzése, miért nem várjuk el, hogy a digitális pénzügyi jártasság esertében is legyen egyfajta mérési pont? – vetette fel Sütő Ágnes, a Befektetővédelmi Alap ügyvezető igazgatója, a KiberPajzs Program társ-propjektgazdája. A Raiffeisen vezérigazgató-helyettese arra emlékeztetett: a cégeknél évente kötelező tűzriadó próbákat tartani, s felvetette: a tűzhöz hasonlóan szintű elemi kárt okozó pénzügyi csalások esetében miért ne lehetne hasonló megoldáshoz folyamodni?