Klientų duomenų saugumas – visuomet buvo ir išliks bankų prioritetas

Kadangi šiuo metu taip plačiai paplitusios slaptažodžių kodų kortelės pagal Lietuvos banko valdybos nutarimą turės būti pakeistos arba papildytos saugesnėmis atpažinimo priemonėmis, LBA nariai (bankai ir LCKU priklausančios kredito unijos) siekia, jog priemonės, pakeisiančios slaptažodžių kodų korteles, būtų diegiamos palaipsniui, nuodugniai įvertinus visas alternatyvas, kurių naudojimas jau ir dabar yra užtikrintas bei sėkmingai plėtojamas. Klientų duomenų saugumas ir jo efektyvumo didinimas nėra kokia nors tik dabar įsigaliosianti naujovė. LBA nariai visą laiką akcentuoja, kad internetu atliekamiems mokėjimams skirtos priemonės turi būti pačios saugiausios, todėl jau ilgą laiką skatina naudotis visus saugumo reikalavimus atitinkančiomis priemonėmis. Klientai iki šiol galėjo ir gali rinktis jiems patogiausią, nelaukdami naujų reikalavimų įgyvendinimo datos. Lietuvos bankų asociacija, prašydama atidėti minimalių saugumo reikalavimų internetu atliekamiems mokėjimams įgyvendinimą, tik siekia optimizuoti reikalingas investicijas ilgesniu laikotarpiu ir išvengti nepatogumų klientams, kuriems reikėtų vienu metu masiškai keisti slaptažodžių kodų korteles.

Be to, reikšminga pabrėžti, kad reikalavimai neapima tik slaptažodžių kodų kortelių naudojimo apribojimo. Įgyvendindami reikalavimus, mokėjimo paslaugų teikėjai stiprina ir kitas mokėjimų proceso grandis: bendrą įstaigos rizikos valdymo procesą, neskelbtinų mokėjimo duomenų apsaugą, sisteminę saugumo incidentų analizę, operacijų atsekamumą, sukčiavimo nustatymą ir prevenciją, vartotojų informavimą ir švietimą - visa tai kredito įstaigos pagal reikalavimus iki nustatytos datos pilnai įgyvendins arba jau įgyvendino. Pagal šiuo metu galiojantį Lietuvos banko valdybos nutarimą, visi reikalavimai turi būti įgyvendinti iki š. m. lapkričio 1 d., todėl Lietuvos bankas sutiko LBA pasiūlymo, kuo keisti slaptažodžių kodų korteles, palaukti iki šios datos. Jeigu vieningas sprendimas visgi nebus priimtas, kiekvienas mokėjimo paslaugų teikėjas turės pasirengti įgyvendinti savo individualius sprendimus.

„LBA nariai siekia sprendimo, kuris būtų pažangus, saugus, ekonomiškas tiek bankams, tiek klientams, ir, svarbiausia, patogus klientams. Žinoma, esame suinteresuoti kuo greičiau apsispręsti dėl vieno ar kelių efektyviausių sprendimų, kurie pakeistų populiarias slaptažodžių kodų korteles, įgyvendinimo bei plėtros. Tačiau svarbu dar kartą pabrėžti, kad klientai jau dabar gali rinktis jiems patogiausią sprendimą, kuris atitinka visus saugumo reikalavimus", - sako LBA prezidentas Stasys Kropas.

Saugumo reikalavimus atitinkančių priemonių pasirinkimas - kiekvienam pagal poreikius ir galimybes

Pagal naujai įsigaliosiančią tvarką, slaptažodžių kodų kortelėmis be jokių papildomų priemonių bus galima naudotis atliekant mokėjimus iki 30 eurų. Atskirus limitus kiekvienas LBA narys įves individualiai. Diskutuojama, kad bankai slaptažodžių kodų korteles galėtų leisti naudoti tam tikroms operacijoms ir su papildomu saugos veiksmu. šiuo atveju tai būtų papildomas identifikavimas jungiantis prie banko naudojant į mobilųjį telefoną atsiunčiamą žinutę. Lietuvos banko priežiūros tarnyba jau patvirtino, kad toks sprendimas atitiktų minimalius saugumo reikalavimus.

Slaptažodžių generatorius - dar viena kredito įstaigų siūloma alternatyva, turinti privalumą dėl ilgalaikės investicijos. šiuo metu slaptažodžių generatoriaus kaina klientui - apie 10 eurų visam naudojimosi laikui. Žvelgiant ilgalaikėje perspektyvoje ši priemonė - viena pigiausių. Be to, LBA nariai suinteresuoti klientams pateikti patrauklių pasiūlymų. Tačiau privalu nepamiršti, kad kiekvienam bankui reikia atskiro slaptažodžių generatoriaus.

Kredito įstaigos bendradarbiauja ir su kitais paslaugų teikėjais, pavyzdžiui, mobiliųjų tinklų operatoriais, kurie siūlo dar vieną alternatyvą, tinkančią besinaudojantiems el. bankininkyste - mobilusis elektroninis parašas. Tai elektroninis asmens parašo ir asmens tapatybės dokumento atitikmuo. Saugi ir patogi priemonė žmonėms, dažnai besinaudojantiems ne tik elektronine bankininkyste, bet ir prisijungiantiems prie viešojo sektoriaus elektroninių paslaugų sistemų bei pasirašant elektroninius dokumentus parašu, turinčiu juridinę galią. Mobiliam parašui reikalingas tik mobilus telefonas ir speciali SIM kortelė. Ją galima gauti ne tik ryšio operatorių salonuose, bet ir kituose elektroninio parašo platinimo taškuose (pavyzdžiui, Registrų centre ar kai kurių bankų padaliniuose). LBA nariai siekia, kad šią paslaugą teikiantys mobiliųjų tinklų operatoriai užtikrintų maksimalią kokybę ir ji veiktų be techninių trikdžių, dėl kurių kartais skundžiasi klientai. Tiesa, šią paslaugą mobiliųjų tinklų operatoriai apmokestina. LBA nariai kartu su mobiliųjų tinklų operatoriais siekia surasti ilgalaikį sprendimą, kurį galima būtų plačiai naudoti ir jo kainodara remtųsi ne pelno uždirbimu, o kaštų padengimu.

Dar viena alternatyva, kuri jau dabar galima naudotis, jungiantis prie el. bankininkystės - el. parašas, įdiegtas asmens tapatybės kortelėje. Nuo 2009 metų Lietuvos Respublikos piliečiams išduodamos lustinės asmens tapatybės kortelės su elektroniniu parašu. Kartu su asmens tapatybės kortele gaunamas vokas su PIN kodu. Tačiau vien kodo ir kortelės su sertifikatais nepakanka. Reikia turėti ir kortelės skaitytuvą, kurį galima įsigyti už maždaug 15 eurų. Tiesa, naujuose kompiuteriuose jau būna specialios tam skirtos angos. Taip pat reikia atsisiųsti reikalingą programą. Įdiegtas sertifikatas asmens tapatybės kortelėje galioja trejus metus. Pasibaigus sertifikatų galiojimo laikui, juos nemokamai atnaujinti galima apskričių migracijos skyriuose ar Gyventojų registro tarnyboje. Kaip rodo LR Ryšių reguliavimo tarnybos rengiamos ataskaitos duomenys, 2014 m. pab. Lietuvoje buvo išduota apie 895 tūkst. galiojančių kvalifikuotų e. parašo sertifikatų. Dažniausiai tai - asmens tapatybės kortelė (apie 769 tūkst.).  Tačiau, kaip rodo apklausos, didelė dalis e. pasirašymą įgalinančią asmens tapatybės kortelę turinčių žmonių vis dar nežino, kad turi tokią galimybę, arba ja nesinaudoja.

LBA nariai suinteresuoti klientams pateikti efektyviausią sprendimą, todėl bendradarbiauja su išorės paslaugų teikėjais ir svarsto dėl kitų inovatyvių sektorinių sprendimų. Tačiau jų diegimas, kaip ir kiekvienos kokybiškos naujovės, pareikalautų daugiau laiko.

Visos šios alternatyvos atitinka reikalavimus, kad asmens tapatybės patvirtinimo procedūra būtų grindžiama dviem arba daugiau elementų. šie skirstomi į žinojimo (pavyzdžiui, nuolatinis slaptažodis, kodas, asmens identifikavimo numeris), turėjimo (pavyzdžiui, mobilusis telefonas, laikmena, lustinė kortelė) ir būdingumo (pavyzdžiui, biometriniai duomenys, tokie kaip pirštų atspaudai) kategorijas ir yra vienas su kitu nesusiję, nes vieną iš jų pažeidus nesumažėja kitų patikimumas. Lietuvos banko patvirtinti reikalavimai atitinka Europos bankininkystės institucijos 2014 m. gruodį paskelbtas Gaires dėl mokėjimų internetu saugumo.

Lietuvos bankų asociacijos atlikto tyrimo (2014 m. pab.) duomenimis, klientai slaptažodžių kodų kortele ne tik dažniausiai naudojasi, bet ir yra labiausiai patenkinti - kodų kortelė vertinama geriausiai iš visų kredito įstaigų paslaugų (9.3 balais iš 10). Kiek mažiau tenkina slaptažodžių generatorius (8.8 balų), mobilioji bankininkystė, mobilusis e. parašas (8.7, 8.5 balai).

Tiesa, kaip rodo LR Ryšių reguliavimo tarnybos duomenys, Lietuvos bankuose naudotų kvalifikuotų sertifikatų skaičius sparčiai kyla (apie 12,5 tūkst. 2013 m. ir apie 28 tūkst. 2014 m.), tad kredito įstaigų klientai, besinaudojantys el. bankininkyste, vis sparčiau atpranta nuo slaptažodžių kodų kortelių.