W tegorocznej edycji badań Złoty Bankier pojawiło się kilka nowych statuetek w nowych kategoriach. Wszystkie są cenne i mają swoją wagę jakościową. Szczególnie dumni jesteśmy ze Złotego Bankiera w kategorii Cyberbezpieczeństwa. Z kilku powodów. Nasze badanie od początku jest o jakości obsługi, user experience, sprawności kanałów kontaktu z klientem, innowacyjności, dostępności produktów i cenie. Z roku na rok obserwujemy wzrost profesjonalizmu branży, co znajduje wyraz w coraz wyższych ocenach wystawianych przez audytorów. Jest to efekt wysiłku całej organizacji, nie tylko doradców na frontendzie, z którymi rozmawiają tajemniczy klienci. W ramach Złotego Bankiera staramy się docenić i nagrodzić pracowników, którzy są mniej widoczni, a pracują na sukces banku. Stąd w tegorocznym badaniu mamy nowe kategorie nagród za jakość serwisu w każdym z kanałów obsługi oraz statuetki za produkty i usługi z misją.
Cyberbezpieczeństwo lubi ciszę
Cichymi bohaterami każdego banku z osobna i całej branży są natomiast specjaliści od cyberbezpieczeństwa, zabezpieczeń, działań antyfraudowych. To dzięki nim w dużym stopniu, w skrajnie nieufnym polskim społeczeństwie, poziom zaufania do banków jest tak wysoki.
Problem z cyberbezpieczeństwem polega na tym, że, tak jak pieniądze, lubi ciszę. A nawet bardziej. Cyberbezpieczeństwo to niezwykle delikatna materia. Trzeba o nim mówić, żeby uczulać klientów, edukować, przestrzegać przed zagrożeniami, ale też budować zaufanie do instytucji finansowych. Z drugiej strony należy zachować daleko posuniętą ostrożność, żeby nie dawać powodu do niepokoju, że z bezpieczeństwem coś jest nie w porządku.
Problem kwadratury koła znany jest specjalistom od komunikacji w bankach. Organizatorom badania Złotego Bankiera również. Jak nagrodzić bank w kategorii cyberbezpieczeństwo w taki sposób, żeby uniknąć wartościowania i podziału na banki bardziej i mniej bezpieczne? Jest rzeczą oczywistą, że poziom cyberbezpieczeństwa polskich banków jest bardzo wysoki, co udowadniają codziennie. W rozmowie z Pulsem Biznesu, zrealizowanej w ramach akcji Scamming out!, Krzysztof Gawkowski, minister cyfryzacji, powiedział, że polski sektor bankowy charakteryzuje się najwyższym poziomem bezpieczeństwa na cyberataki w Europie. Dodał, że w wojnie cybernetycznej Polska jest krajem frontowym. Ataki hakerów są elementem wrogich działań hybrydowych sponsorowanych przez Rosję.
Jak badaliśmy banki
Przygotowując tegoroczną edycję Złotego Bankiera, uznaliśmy za rzecz oczywistą, że wśród nagród musi znaleźć się statuetka dla cyberbezpieczników. Od początku założyliśmy, że nie tworzymy rankingu, nie porównujemy banków, ale wprowadzamy kategorię, która pozwoli docenić zaangażowanie sektora w cyberochronę oraz edukację w zakresie cyberbezpieczeństwa.
Kolejnym warunkiem było takie opracowanie metodologii, żeby wyboru zwycięzcy dokonać w oparciu o obiektywne kryteria oparte na wynikach badań. Udało się to zrealizować. Do współpracy zaprosiliśmy Mastercard, który dostarczył narzędzi badawczych:
- RiskRecon – skanowanie domen internetowych banków w poszukiwaniu podatności na ataki hakerskie.
- CyberQuant Lite – analiza wewnętrznych procedur i procesów organizacji.
Badanie ankietowe wzbogaciliśmy o kwestionariusz dotyczący działań edukacyjnych w zakresie cyberbezpieczeństwa. Dodatkowo przygotowaliśmy zestaw pytań opartych na zaleceniach prezesa UOKiK dla dostawców usług płatniczych w zakresie bezpieczeństwa.
W realizacji badania CyberQuant pośredniczyła firma Minds&Roses, certyfikowany partner Mastercard. Wyniki ankiet zostały zanonimizowane. Poza tym przepływ informacji odbywał się w bezpieczny sposób, bez dostępu osób trzecich.
Badanie ankietowe rozpoczęło się w lutym. Skanowanie RiskRecon zostało przeprowadzone w marcu. Do udziału w obydwu częściach badania zgłosiło się 12 banków. Dwa banki ze względów organizacyjnych poprosiły o wyłączenie z analizy.
O zwycięstwie w kategorii cyberbezpieczeństwo decydowała suma punktów badania CyberQuant i RiskRecon. Najwięcej zdobył ich BNP Paribas Bank Polska, do którego wędruje statuetka Złoty Bankier – Złota Tarcza Cyberbezpieczeństwa.
Kup pan Iphone'a
Od kilku lat audytorzy wizytujący oddziały dopytują doradców o bezpieczeństwo pieniędzy w banku, aplikacji, serwisu internetowego. Z roku na rok przygotowanie bankowców jest lepsze. Rzadko zdarza się, żeby tajemniczy klient poczuł się niedoinformowany. Coraz częściej w placówce przechodzą małe szkolenie z zakresu oszustw finansowych i cyberzagrożeń. Zdarzają się też niestandardowe porady.
Doradca udzielił szczegółowych informacji, mówił o tym że zamiast pinu można potwierdzać odciskiem palca, ostrzegał przed linkami, skanowaniem kodów QR. Wiedział o czym mówił i brzmiał wiarygodnie w kwestiach bezpieczeństwa.
Pracownik poinformował mnie, że jeśli jestem w trakcie połączenia, i nie jestem pewna, czy dzwoni do mnie pracownik banku, czy też inna osoba, to mogę wejść do aplikacji i zweryfikować to połączenie. Doradca poinformował mnie także, że bank nie wysyła żadnych SMSów i maili z prośbą do klientów. Klient powinien być tez czujny, aby zwiększyć swoje bezpieczeństwo.
Pracownik zasugerował, że najlepszym sposobem ochrony jest posiadanie iPhona.
Doradca powiedział dużo i biegle poruszał się w temacie. Wskazał jak można w aplikacji mobilnej sprawdzić czy faktycznie dzwoni do mnie bank (to była jedyna rzecz którą pokazał w aplikacji), kiedy warto zachować czujność.
Pewność i spokój, z jakim Pani mi przedstawiła temat bezpieczeństwa, rozwiały moje wątpliwości, a też jestem od wielu lat klientem i czuję się bezpiecznie.
Doradca odpowiedział na moją obiekcję, powiedział jak się zabezpieczać, czego nie robić, jak działa bank, co blokuje a co nie, zasugerował płatności w internecie blik-iem a nie kartą, podał swój przykład jak mu bank zablokował konto i bardzo dobrze bo była próba kradzieży.
Doradca mówił o bezpieczeństwie bardzo dużo. Odniósł się do mojej historii, powiedział jak się zabezpieczać, poinformował o profilaktyce co robić żeby takich sytuacji uniknąć, jak się zachowywać, podawał różne przykłady oszustw.
Doradca wyjaśnił, że mam uważać na to, co robię w sieci, bo bank nie bierze odpowiedzialności za to, co się stanie. Zabrakło mi rozwinięcia tematu, doradca wspomniał o podawaniu danych do logowania, a tu chodziło o to, co w sytuacji, kiedy ktoś włamie się na mój telefon. Myślę, że doradca mógł dopytywać o szczegóły tego problemu.
Pracownik zapewniał o poważnym traktowaniu kwestii bezpieczeństwa przez bank oraz monitorowaniu nietypowych transakcji.
Doradca powiedział, żebym nie klikał nieznanych linków i próbował temat wyjaśnić, ale cały czas kładł nacisk, żeby nie klikać linków. Zabrakło informacji, gdzie mogę szukać sposobów zabezpieczenia konta.
Pracownik poinstruował mnie, w jaki sposób bank dba o bezpieczeństwo klientów oraz wspomniał o tym, iż bardzo dużą rolą rodziców jest uczulać dzieci na różne sytuacje. Doradca wspomniał, iż klient też ma obowiązek zwracać uwagę na swoje bezpieczeństwo i nie powinien wchodzić np. w linki, których pochodzenia nie zna.
Doradca opowiedział, żeby nie podawać żadnych haseł loginów przez telefon, jest bot wykrywający nietypowe ruchy na koncie, proponował rozdzielenie pieniędzy-na lokacie nie są widoczne, jeśli ktoś kradnie.
Doradca zaprosił panią Dyrektor, aby bardziej opowiedział mi o zabezpieczeniu moich oszczędności.
Doradca wyjaśnił, że należy patrzeć, skąd przyszedł SMS, nie wchodzić w linki, jest autoryzacja zawsze, jest logowanie biometryczne, można ustawić urządzenia zaufane, zastrzeżenie PESEL, limity na poszczególne sposoby płatności. Doradca o bezpieczeństwie mówił w dwóch blokach.
Odpowiedź doradcy była taka "jednowymiarowa", bez podawania szczegółów takiego zabezpieczenia przed oszustami. Nie poczułem się dobrze poinformowany na powyższy temat.
Bank konto bardzo zabezpiecza: podwójne logowanie, token push, kod SMS, odblokowanie telefonu, kody klienta indywidualne, ale jeśli klient udostępni swoje dane, to bank nie ma na to wpływu.