Jeste li pokušali ikada ili ugovoriti nove usluge banaka – na daljinu? Vjerojatno niste razmišljali o tome koja sve regulativa stoji iza tog postupka.

Microblinkov meetup Security by Design pripremio je dva panela s relevantnim stručnjacima iz financijske te sigurnosne industrije i institucija, a našu pozornost upravo je uhvatio panel na temu sigurnosti u remote onboardingu bankarskih klijenata. Panelisti su raspravljali kako vide potrebu za digitalnim onboardingom, što su najveći problemi oko uvođenja takvog onboardinga i kako planiraju ispuniti (ili već ispunjavaju) zahtjeve Pravilnika Ministarstva financija.

Na panelu su raspravljali Bernard Karačić, Senior Advisor u HNB-u; Dejan Donev, Head of Digital u Erste Banci; Ivan Hećimović, Head of Alternative channels u ZABA-i; Danijel Miletić, Head of ICT u HPB-u i Luka Šlibar, Product Manager u Microblinku. Panel je moderirao Božidar Pavlović, fintech investitor. 

Ono kada se klijenti moraju kreveljiti za identifikaciju

Počekom godine dobili smo spomenuti pravilnik o kojem se i nije puno pisalo, a zapravo utječe na našu svakodnevicu i pritom otkriva jednu širu problematiku. Pravilnik o uvođenju stranke na daljinu, koji je donijelo Ministarstvo financija, definirao je način kako se utvrđuje i provjerava identitet klijenta na daljinu zbog čega su se banke morale odlučiti između:

• vlastitog razvijanja strogih načina potvrđivanja identiteta klijenta koji dugo traju pa tako narušavaju korisničko iskustvo ili
• suradnje s vanjskim pružateljima povjerenja koji pak ne žele preuzeti odgovornost za izdano povjerenje.

Iako Ivan ističe da pravilnik ima svoje dobre i lošije strane, ono što za banke predstavlja problem je utvrđivanje odgovornosti unutar banke i postavljanje metodologije testiranje tehnologije. 

S ovime se Dejan slaže i navodi konkretan problem s kojim se trenutno susreću kada govorimo o identificiranju klijenata na daljinu. Zbog starog pravilnika morali su uvesti strogu videoidentifikaciju, koja može trajati po 15 minuta i zahtijeva da se klijent okreće, stoji, sjedi…. Što je po Dejanovom mišljenju – previše:

Videoidentifikacija nam je nametnuta kao dodatan korak, a to je korak koji naši klijenti mrze najviše od svega i prigovaraju maksimalno na njega. Po društvenim mrežama nas ismijavaju jer se pitaju zašto moraju mahati, smijati se, nekome pokazivati osobnu iskaznicu te se pitaju – zašto Revolut to ne mora?

Dejan smatra kako je nova regulativa u svakom slučaju korak naprijed i da više nisu u tolikom podređenom položaju pored neobanaka kao što su Revolut, ali ističe kako regulativa nije postigla baš najbolju ravnotežu između korisničkog iskustva i sigurnosti:

Varamo se ako mislimo da će to što će zaposlenik pogledati osobnu iskaznicu u banci biti nešto dramatično sigurnije od provjere raznih softvera. Inače smatram da dajemo previše povjerenja čovjeku da nešto provjeri.

Ipak, cijela ova priča može biti jednostavnija. Mogli bismo koristiti osobne iskaznice za identifikaciju na daljinu, ali to zahtijeva ažuriranje Pravilnika o pružanju i korištenju usluga povjerenja Ministarstva gospodarstva iz 2019. godine.

Od 2021. godine imamo dokumente napravljene prema ETSI tehničkom standardu (119 461 ). Pravilnik o uslugama povjerenja mora biti usklađen s ETSI standardom, ali iz ministarstva navode kako nije u usklađen zbog toga što je ETSI uveden kasnije, ističe Bernard. Upravo je ova izjava potaknula gosta iz publike da podijeli svoje mišljenje.

“Svrha usluge povjerenja je da odgovaraš za štetu ako je netko zlouporabio digitalni certifikat.”

Komentar sudionika iz publike Istaknuo je kako banci sam onboarding nije dovoljan. On zapravo treba biti vezan za izdavanje digitalnih certifikata koji se onda koristi za ugovaranje odnosa s klijentom. Hoće li banka ići sama na davanje usluge povjerenja, kao što je odlučila ZABA, ili će koristiti vanjske servise, što je prirodnije za manje i srednje banke, to je na banci da odluči sama. Ako ide u smjeru uzimanja vanjskog pružatelja povjerenja, onda se on mora brinuti o problemima:

Talijani nude bankama uslugu povjerenja, ali se odriču svake odgovornosti. Svrha usluge povjerenja je da odgovaraš za štetu ako je netko zlouporabio digitalni certifikat. Mislim da bismo kao društvo trebali gledati da uspostavimo pružatelje usluge povjerenja koji će moći pružati usluge digitalizirani i automatizirano, a istovremeno su odgovorne prema bankama.

Bjesomučno testiranje tehnologije jedini način da budeš siguran od prevare, ali postoji alternativa

Koliko bi u cijeloj ovoj priči pomogao otvoreni API od strane države koji može jednostavnim API callom provjeriti valjanost osobne iskaznice, putovnice i ostalih dokumenata, dobro je pitanje koje postavlja Božidar, ali ubrzo dolazi tužan odgovor.

Hrvatska je siromašna država po pitanju API-ja, naglašava Ivan. Kada gledate druge zemlje, imamo primjere gdje banke uspoređuju podatke koje je dao klijent iz jednog dokumenta s drugim podacima iz baze podataka koje je dala država. Dok država ne počne dijeliti takve podatke, jedini način kako dokazati da si siguran od prevare je… bjesomučno testiranje tehnologije. Zato Ivan više ne pamti koliko su varijacija lažnih osobnih iskaznica napravili.

S druge strane, Bernard navodi kako je HNB pokušao utjecati na Ministarstvo unutarnjih poslova prije par godina na javnom savjetovanju donošenja nove osobne iskaznice:

Predložili smo da MUP napravi javno sučelje preko kojeg građanin šalje broj osobne iskaznice i tako možemo brzo i jednostavno vidjeti je li osobna iskaznica važeća ili nevažeća. Ovim pristupom ne kršimo pravila privatnosti, a institucijama će puno značiti jer će saznati radi li se o ukradenom, izgubljenom dokumentu

To će također pomoći institucijama prilikom remote onboardinga. Na žalost, odgovor ministarstva je bio da ispravnost osobnog dokumenta treba provjeravati na razini digitalnog certifikata.

Imamo rješenje koje bi svima pojednostavilo život, ali ne može se koristiti… zbog države

Nekada se provjera identiteta mogla napraviti tako da napravite transakciju jedne kune iz svoje banke u drugu banku, ali to je u Hrvatskoj postalo zabranjeno. Česi su uspjeli unaprijediti taj princip. Tokenom iz jedne banke moguće je dokazati svoj identitet u drugoj banci i tako otvoriti račun, ali zar to ne zvuči poznato, ističe Dejan:

Znate li što je to zapravo? To je NIAS. Govorimo o sustavu FINA-e za logiranje u e-Građane. Potrebno je samo da nam FINA omogući korištenje NIAS-a i ne treba nam polovica ovog o čemu pričamo. Tehnologija je već sve odavno riješila, ali treba postojati volja za takva inovativnija rješenja.

Panelisti su općenito zadovoljni i sretni što je Pravilnik Ministarstva financija donesen, ali je potrebno bolje definirati i pojednostaviti dio koji se odnosi na za potvrđivanje identiteta klijenta na daljinu. Također, izrazili su žaljenje što predstavnici ministarstva i državnih institucija obično ne sudjeluju na ovakvim raspravama jer bi dijalog s njima uvelike pomogao.

Developeri se moraju educirati prema OWASP, ASVS i MASVS standardu!

Također, publika je mogla poslušati i panel Security by Design and Security by Default koji se tiče EU Zakona o kibernetičkoj otpornosti koji će predstavljati značajan korak prema sigurnijoj digitalnoj budućnosti te ima potencijal postati trendseter za nove standarde kibernetičke sigurnosti u svijetu.

Na panelu su raspravljali: Kristina Leko Kuštrak, IT Director u AKD-u; Bojan Ždrnja, CTO u Infigu; Aleksandar Klaić iz Centra za kibernetičku sigurnost; Tonimir Kišasondi, Information security consultant u Apaturi; Viktor Olujić, Head of Authentication Solutions u ASEE-u, Ivan Kalinić, Senior Information Security Consultant u Divertu; Vedran Furlan, DevOps Engineer u Infinumu i Bojan Belušić, Head of Information Security u Microblinku. Raspravu je moderirao Andro Galinović, Chief Information Security Officer u Infobipu.

U raspravi je naglašena potreba za educiranjem razvojnih inženjera, korištenjem postojećih standarda kao što su OWASP-ovi ASVS i MASVS te redovitim provođenjem analize rizika i modeliranja prijetnji za softverske proizvode. Panel je također zaključio da su automatizirani alati za otkrivanje ranjivosti u kodu još uvijek nepouzdani, ali su potrebni kao jedan od kotačića u razvojnom procesu.

Panelisti su se prisjetili nedavnih i nešto starijih incidenata koji su potresli softversku industriju te se zapitali koliko bi ovakva regulativa uopće spriječila takvih incidenata. Na kraju je zaključeno da je svaka regulativa dobro došla da podigne svijest o problemu te posluži kao dodatna poluga kod onih koje donose strategije i definiraju budžete.

pročitaj cijeli članak