Hosť: Ján Adamovský / Linkedln
Moderátor: Marek Varga / LinkedIn, Facebook, Instagram, Web
Epizóda NRoPE 036 – audio
Prepis
Marek Varga: Čaute, ahojte, vítam vás pri ďalšej epizóde podcastu NA ROVINU o peniazoch. Moje meno je Marek Varga a pôsobím ako tímlíder a finančný konzultant spoločnosti PROSIGHT Slovensko, ktorá je zároveň sponzorom projektu narovinu.online. V dnešnej digitálnej ére je online bankovníctvo neodmysliteľnou súčasťou nášho života. Jeho bezpečnosť je však často otázkou, ktorá spôsobuje obavy mnohým používateľom. Dnes by som sa chcel zamerať na bezpečnosť online bankovníctva a jej význam v každodennom živote. Budeme sa venovať rôznym aspektom bezpečnosti v online bankovníctve. Vrátane hrozieb, ktoré sa objavujú, a opatrení, ktoré môžeme prijať na ochranu našich finančných prostriedkov a osobných údajov. Online bezpečnosti som sa už v podcaste venoval z pohľadu používateľov v epizóde číslo 18, kde bol mojím hosťom Ondrej Kubovič zo spoločnosti Eset. Preto by som sa dnes chcel pozrieť na túto tému z pohľadu banky a som rád, že moje pozvanie prijal Ján Adamovský. Ján, vitaj.
Ján Adamovský: Ahoj, Marek. Ďakujem pekne za pozvanie.
Marek Varga: Ja ďakujem, že si ho prijal. Ján v súčasnosti vedie odbor bezpečnosti v rámci Slovenskej sporiteľne, ako aj v sesterskej spoločnosti Erste Bank v Srbsku, ktoré zastrešujú oblasti kybernetickej a fyzickej bezpečnosti, riadenie kontinuity služieb, krízového manažmentu a prevenciu podvodov v digitálnom priestore. V IT bezpečnosti Slovenskej sporiteľne pôsobí už 5965 dní (v skratke 16 rokov a nejaké 4 mesiace). (smiech) Takže čo obnáša tvoja práca, keď to tak vezmeme v skratke?
Ján Adamovský: Ako si to takto všetko vymenoval, tak mám pocit, že to ani nebolo o mne – koľko tej roboty vlastne robíme. Ale tak dobre, nie je to iba o mne. Je to veľký tím ľudí, ktorý sa bezpečnosti v banke venuje. Sú to naozaj desiatky ľudí. Bankovníctvo je naozaj špecifický sektor v tom, že banky si zvyknú uvedomovať riziká a vedia pracovať s rizikami. A práve tie riziká spojené s digitálnym svetom, online bankovníctvom si banky veľmi dobre uvedomujú. To znamená, že gro mojej roboty v dnešnej dobe je ochrana banky pred digitálnymi hrozbami a ochrana finančných prostriedkov klientov pred digitálnymi hrozbami. Takže keď by som to takto nejako zhrnul (okrem 100 ďalších vecí, ktoré si vymenoval), tak toto je také gro toho, čomu sa v dnešnej dobe venujem.
Marek Varga: Takže primárne máte prevenciu, aby veci nenastali. Alebo?
Ján Adamovský: Je to tak, že možno keď som pred tými 5000 neviem koľkými dňami začínal, tak všetko bolo o prevencii. Všetci si mysleli a aj ja som bol o tom presvedčený, že všetkému sa dá predísť. Nijaká hrozba nenastane, útok nenastane, keď budeme dosť dobrí. A v dnešnej dobe by som už povedal, že je to o tom, že potrebuješ investovať do prevencie, ale to je tak jedna tretina tých vecí. Potom potrebuješ investovať do detekcie. To znamená zistiť, že sa niečo už deje – druhá tretina. A tretia akoby tretina celého toho kruhu je o response alebo teda reakcii na to. A až keď máš všetky tieto 3 veci dobre spravené, tak potom vieš nejakým spôsobom prijať to, že určite nejaká hrozba, útok nastane a ty to chceš čo najskôr vedieť a čo najlepšie na to zareagovať. Takže to je taký mindset, ktorý my máme v banke nastavený, že určite sa niečo stane a je to iba o tom, ako rýchlo sa to dozvieme a ako dobre na to zareagujeme.
Marek Varga: Keď sa na to pozrieme principiálne, pracujete s veľmi citlivými údajmi klientov – rodné čísla, občianske preukazy a podobne. Ako to máte zabezpečené, aby sa tie dáta nešírili von?
Ján Adamovský: Poviem to tak, že sa nedá povedať, že takto je to zabezpečené a hotovo. V podstate každý 1 systém, ktorý spracúva dáta, prechádza veľa, veľa rôznymi testami bezpečnosti. A už pri samotnom navrhovaní, designe tých systémov sú chalani špecialisti na bezpečnosť, ktorí hovoria: toto musí byť šifrované, takto sa bude overovať do systému, takýmto spôsobom budú ja neviem zálohy a tak ďalej. Proste tých aspektov, ktorých tam je pri takom bežnom informačnom systéme, ktorý spracúva citlivé údaje, sa bavíme o tom, že musíš splniť nejakých 150 – 200 požiadaviek z bezpečnosti. Čiže ono to nie je tak, že túto jednu vec spravíme a je to bezpečné. Je to pomerne komplexná vec.
Marek Varga: A permanentne sa to kontroluje potom, že či sa to dodržiava?
Ján Adamovský: Permanentne tam bežia rôzne skeny, ktoré zisťujú, či sú tie systémy ešte v poriadku. Samozrejme, najímame si aj hackerov, ktorí sa snažia do tých systémov nabúrať, a potom nám povedia, že tu máte nejakú zraniteľnosť skôr, kým by to spravil nejaký hacker, ktorý nám to nepovie, a nabúra sa k tým systémom a dostane sa k dátam.
Marek Varga: Dostávajú za to odmeny, či je hodinovka za pokus? (smiech)
Ján Adamovský: Aj, aj. Máme takých hackerov alebo v podstate firmy, ktoré sa živia penetračným testovaním. A povieme tu máte systém, tu máte rozsah ja neviem desiatok dní, ktoré tomu môžete venovať, a potom prídu so záverečnou správou. Ale existujú aj takzvané bug bounty programy, že povieme tu je táto aplikácia, pokiaľ tam nájdete kritickú zraniteľnosť, dostanete takúto sumu, za strednú zraniteľnosť takúto sumu. Takže pracujeme aj s tým fix time, fix price, aj s tým akoby otvoreným, že ten systém je otvorený a poďte ho napadnúť.
Marek Varga: Ja som sa rozprával s jedným vyššie postaveným bankárom a on povedal, že vyskúšame to v Čechách a na Slovensku a keď to neprelomí Slovák ani Čech, tak to bude v pohode. (smiech) Ešte je tu miliarda Indov, ale myslím si, že sme veľmi kreatívni v niektorých veciach.
Ján Adamovský: To určite áno. (smiech)
Marek Varga: Dobre. Štandardne cez internet banking vykonávame nejaké transakcie. Ako to máme zabezpečené? Posielajú nám to z banky A do banky B, alebo v rámci banky ako ma vie banka identifikovať, že som to ja a že ja zadávam a kam to pôjde?
Ján Adamovský: Tam možnože treba začať tým, že ako ty ako osoba si identifikovaná na začiatku pri otváraní účtu.
Marek Varga: Môžeme?
Ján Adamovský: Hej. Čiže kedysi si prišiel na pobočku, tam ťa cez občiansky preukaz identifikovali a dali ti potom nejaké prihlasovacie údaje do elektronického bankovníctva. A ty si potom identifikovaný tým, že si to ty ako Marek, ktorý sa hlási. Dnes tá doba pokročila a vlastne si už vieš otvoriť ten účet kompletne na diaľku. Čiže vieš z domu. Sedíš v pohode v kresle, nainštaluješ si appku napríklad Georgea Slovenskej sporiteľne. A ten ťa pekne prevedie procesom – naskenuješ občiansky preukaz, vyplníš nejaké potrebné údaje, pomocou nejakej biometrie a overenia tvojej tváre vieme zistiť, že si to naozaj ty. A celý tento proces onboardingu prebehne kompletne na diaľku. Potom máš nainštalovanú mobilnú aplikáciu, ktorú my máme spárovanú, že toto je tá jednoznačná mobilná appka na tvojom mobile, a spárujeme si ju vlastne s tým, že si to ty ako občan. A tým pádom tou sa nám hlásiš. Ešte by som doplnil. Do tej appky potom už sa vieš hlásiť, zabezpečiť si ju PINom, odtlačkom prsta a tak ďalej, čo v podstate smartfóny poskytujú v dnešnej dobe.
Marek Varga: Dajme tomu. Fajn, rozbehnem si to v tom telefóne. A keď ho stratím, čo mám robiť?
Ján Adamovský: Prvá vec je, že by si ho mal mať, samozrejme, dobre zabezpečený. Keď stratíš telefón, máš ho mať chránený presne odtlačkom prsta alebo PIN kódom a tak ďalej. Zložitým, samozrejme, nie že 4 jednotky a som safe. Takže máš ho mať chránený, to je prvá vec, čo každému odporúčam jednoznačne robiť nielen kvôli bankovníctvu, ale aj kvôli osobným údajom, ktoré tam mám, a tak ďalej.
Marek Varga: Maily, SMS-ky…
Ján Adamovský: Maily, SMS-ky, fotky prípadne. Ľudia tam majú rôzne veci. A na druhej strane pokiaľ ho stratím, je v ňom podstate moja digitálna identita, s ktorou sa viem overiť voči banke. Čiže bezodkladne volať na call centrum banky, oznámiť stratu zariadenia. Kolegovci vedia okamžite telefón zablokovať a stane sa nepoužiteľným pre podvodníkov.
Marek Varga: Vedia ma vlastne potom identifikovať, aj keď volám z iného telefónneho čísla, že som to ja a že ho chcem zablokovať?
Ján Adamovský: Jasné. Sú tam dohodnuté postupy. Vypýtajú si od teba nejaké zdieľané tajomstvo, čo máš s bankou dohodnuté, alebo nejaké údaje, ktoré vieš ty, a vie ich aj banka. Ale zase nie sú to nejaké komplexné údaje, ktoré by chcel napríklad od teba podvodník. Čiže nejaké kúsky údajov napríklad.
Marek Varga: Nejaký tag v podstate.
Ján Adamovský: Niečo také, hej.
Marek Varga: No a keď sa pozrieme na tú online bezpečnosť, aké sú momentálne najaktuálnejšie podvody, ktoré v banke evidujete? Či už na klientov, na vás asi ťažko, ale skôr na klientov.
Ján Adamovský: Keď sa pozrieme na tých klientov, tých podvodov je teraz nepreberné množstvo. Čiže dá sa povedať, že existuje pomaly na každého klienta nejaký typ podvodu, na ktorý by bol náchylnejší naletieť. Ale keď sa pozrieme na také najsofistikovanejšie, jedny z takých najrozšírenejších sú my to voláme, že investičné podvody. Niekto volá klientovi, alebo na Facebooku mu podhodí nejakú reklamu, že poď investovať do kryptomien. V tej banke sa ti to aj tak zle úročí, poď zarobiť 15 a viac percent s nami. A potom to ide dvomi cestami. Buď ti povedia, že ty už si, Marek, v minulosti investoval, čaká ťa 10000 € napríklad na nejakej kryptoburze. Len poď tuto s nami, pár krokov s nami sprav a máš možnosť sa k tým peniazom dostať. Alebo druhá ešte trochu sofistikovanejšia cesta je, že ti povedia, že nadviažu s tebou spoluprácu podvodníci a povedia ti, že poď vyskúšať investovať najnižšiu sumu. Pošlú ti prihlasovacie údaje napríklad do nejakej kryptoburzy, ktorá je celá podvodná, falošná. A ty niekde pošleš to € a čo je také rafinované, že o nejakú dobu (možno týždeň) dostaneš naspäť 200 €, takže ty reálne zarobíš. Perfektná vec, nie? Však takto za týždeň stovku alebo dve zarobiť – nič lepšie sa mi už dávno nepodarilo. Potom ďalej je tá spolupráca už taká nadviazaná, dôvera je väčšia a povedia podvodníci napríklad, že tak poď zainvestovať 500 alebo 1000. A ešte stále je to v takom stave, že môžem tie peniaze dostať naspäť. Posledný krok, väčšinou čo býva je, že už si tak dôverujete, že ti navrhnú, že s tebou nadviažu spoluprácu tak, že tvoj účet v banke prepoja s kryptomenovou burzou. Stačí, keď si nainštaluješ nejaký software, na diaľku sa pripojí agent k tebe, ktorý ti s tým pomôže. No a keď toto všetko spravíš, v skutočnosti ti ukradnú prihlasovacie údaje do elektronického bankovníctva, vybielia ti účet. Môže sa stať, že ti zoberú aj úver dokonca a potom sme už v inej situácii.
Marek Varga: Teraz sa s jedným takým naťahujem, čo sa snaží.
Ján Adamovský: A darí sa mu? Koľko si už zarobil na investíciách?
Marek Varga: Zatiaľ som ho asi 4-krát odložil. Ale vždy sme to zabili na nejakých 15 minút callu. Ja sa držím toho, že keď neodžube mňa, tak neodžube niekoho iného. (smiech) Takže 15 minút času som už zabil za posledné 3 týždne 3-krát.
Ján Adamovský: Hej. Výborne, čiže vlastne si spravil prevenciu tým, že niekomu inému sa nemohol dovolať.
Marek Varga: Hej. Mňa primárne zaujímalo, ako to bude prebiehať. Lebo reklamná kampaň presne, ako si spomínal, bežala na Facebooku s preklepmi a všelijako. Ešte aj pod tým boli výsmešné smajlíky. Ľudia vraveli, že aspoň keď odžubávate, tak spravte to gramaticky správne. No vyskúšal som. Dal som telefónne číslo a odvtedy sa mi snažia dovolať. Trikrát sme pokecali a zatiaľ som tvrdil, že nemám peniaze, že musíme počkať do výplaty.
Ján Adamovský: Môže sa ti stať, že keby si im dal číslo účtu, že ti tam dokonca pošlú peniaze. Už aj takéto prípady sme mali.
Marek Varga: To mu vyskúšam navrhnúť. (smiech)
Ján Adamovský: Problém je, že tie peniaze sú ukradnuté z nejakého iného účtu.
Marek Varga: Dobre. Keď pracujete s údajmi klientov alebo s klientskymi účtami, poskytujete nejaké informácie klientom, aby vedeli, ako sa majú správať na internete? Nejaké školenia, príručky a podobne?
Ján Adamovský: Určite áno. Lebo na strane banky robíme veľmi veľa vecí preto, aby sme uchránili či už banku ako takú, alebo aj klientov. Či už je to o spôsoboch prihlasovania, o ktorých sme sa bavili, alebo je to o nejakých fraud prevention systémoch, kde sa snažíme zisťovať, čo je nejaké anomálne správanie, normálne správanie a tak ďalej. Ale nejde to bez toho, aby sme edukovali aj klientov. Takže dôvod, prečo napríklad je treba edukovať klientov, je ten investičný podvod. V skutočnosti pokiaľ by sme klientov needukovali, tak z pohľadu banky je to legitímna transakcia. Veď ju vykonáva klient zo svojho zariadenia, počítača.
Marek Varga: Autorizoval to, hej.
Ján Adamovský: Je to úplne normálna autorizovaná transakcia, ktorú v podstate z pohľadu banky nemáme šancu nejakým spôsobom rozlíšiť od miliónov iných transakcií, ktoré sú takisto normálne. Čiže preto je tá edukácia extrémne dôležitá, či už sú to rôzne webstránky, na ktorých máme konkrétne popísané útoky – ako sa dejú. S týmito podvodmi sme veľmi transparentní, tam sa nesnažíme nič skrývať. Toto sa presne deje, ľudia, dávajte si pozor. Takisto sa snažíme ísť aj do médií – či je to rozhlas, televízia, podcasty a tak ďalej. Proste zachytiť čo najväčšie spektrum ľudí, pretože na každého funguje trošku inak. A verím, že tento podcast si vypočuje dosť ľudí na to, aby zase oni sa o niečom dozvedeli a mohli to šíriť ďalej svojim rodinám, kamošom a tak ďalej. Na pobočkách takisto poradcovia vedia poradiť, čiže tých spôsobov je veľa. Ale zase myslím si, že toho vzdelávania klientov a občanov celkovo nikdy nie je dosť.
Marek Varga: Čo ja historicky evidujem, tak primárne sa buď pracovalo s formou strachu, alebo s formou zisku. Tak prvú formu zisku sme si už prešli a formou strachu neviem. Tipujem, že sa predstavia, že voláme z tej a tej banky? Občas trafia a občas nie.
Ján Adamovský: Hej, presne tak. S týmto sa stretávame. To je zase 1 z veľmi obľúbených populárnych spôsobov. My to voláme pracovne, že falošný bankár. A tento podvod je ešte v tom veľmi rafinovaný, že útočníci vedia robiť takzvaný spofing. To znamená, že vedia podvrhnúť telefónne číslo či už v SMS-ke, alebo v hovore vedia podvrhnúť číslo volajúceho. Čiže ten človek si myslí, že mu volá niekto úplne iný. Ja viem napríklad zavolať v tvojom mene a bude vidieť tvoje telefónne číslo. A tá forma strachu je v tom, že v prvom momente volajú vlastne klientovi s tým, že volá mu pracovník banky. Predstaví sa, že je z banky a tvrdí, že čaká ho nejaký úver, ktorý už je na čerpanie. Teraz ten klient spozornie, veď preboha, ja som si žiadny úver nebral, nič také nemám. A čo je na tom rafinované, že ten podvodník si nič nepýta – žiadne prihlasovacie údaje, číslo karty, vôbec nič. Iba v tebe vzbudí trošku nedôvery a zloží. A teraz tá nedôvera alebo strach sa začína budovať. V druhom kroku ti volá podobným spôsobom niekto z polície a hovorí, že fíha, my už vieme, že sa niečo deje. Máme nejaké indície z banky, je do toho niekto z banky zapletený. A zase stále od teba nič nepýtajú žiadne údaje. Takže ten strach, samozrejme, rastie. A takto sa zopárkrát tie hovory vymenia medzi sebou, až nakoniec ti volá pracovník banky s fantastickým nápadom, že má pre teba riešenie. Treba prísť na pobočku, vybrať si všetky svoje peniaze, ktoré tam máš, v hotovosti. Treba si zobrať maximálny predschválený úver, koľko ti len tá banka dá, pretože keď si ty zoberieš celý ten úver, tak tam už neostane nič iné pre ten podvod. Takže všetko toto si zober a povedz banke, že ideš rekonštruovať byt, alebo kupovať auto. Nepovedz im, že si s niekým vôbec hovoril, lebo to celé padne, celé sa to pokazí. A tie peniaze následne potom treba dať do bezpečného úložiska. Dostaneš adresu, kam máš ísť, dostaneš QR kód, ktorý máš naskenovať. A v skutočnosti je to vlastne kryptomenový bankomat, v ktorom vymeníš hotovosť za kryptomeny na účet podvodníka.
Marek Varga: Takže deje sa to aj na Slovensku? Lebo primárne som to videl v Čechách.
Ján Adamovský: V Čechách bola obrovská vlna týchto útokov. Deje sa to aj na Slovensku, nie je toho až tak veľa. Ale nie sú to určite jednotky prípadov, ale deje sa to, je to vo väčšom rozsahu. A ako si spomínal ten strach, ten strach je práve v tom, že naozaj tí ľudia sú v tom momente v tak krízovej situácii, že tam sa v mozgu aktivuje amigdala, že vôbec nerozmýšľajú ako keby logicky. Až potom, keď ten strach celý opadne, tak potom si uvedomia, že preboha, čo som to spravil. Žiaľ, už je častokrát neskoro.
Marek Varga: Hej, vtedy sa zapne logika.
Ján Adamovský: Vtedy sa zapne logika. Doslova vedia tí podvodníci dostať ľudí do takej situácie, že naozaj vypína sa logika, ideme na základné inštinkty.
Marek Varga: Ja to stále vravím klientom, keď sa niečo stane, že nech sa najprv ozvú. Napríklad pri autonehode sú také, lebo človek aby prežil, rozmýšľa úplne inak. Vravím, keď máš nehodu, dobre, najprv volaj mne. Ja ti poviem. Ale to je iný…
Ján Adamovský: Ale princíp je podobný.
Marek Varga: Ako často menia podvodníci správanie? Alebo ako často si vymýšľajú nové stratégie? Je to nikdy nekončiaci boj?
Ján Adamovský: Dá sa povedať, že je to nikdy nekončiaci boj. Možnože 3 roky dozadu boli tie scenáre trošku inak. Každý rok sa vyskytne v tomto pár nových scenárov. Takže je to naozaj taký nekonečný boj. Ono je to skôr tak, že tie klasické veci stále fungujú – nejaký phising, smishing, podvodné telefonáty a tak ďalej. A ako keby nad to iba nadstavujú nejaké nové veci. Ale presne to funguje buď ako strach o peniaze, alebo strach, že sa mne niečo stane, alebo môjmu rodinnému príslušníkovi. Takže ten základ je rovnaký, ale tie scenáre môžem povedať, že každý rok pár nových nejakých kreatívnych scenárov vždy pribudne.
Marek Varga: No a napríklad keď sa klient stal obeťou phisingu, vie nejako banka odhaliť, alebo má nejaké analytické nástroje, že zistí, že nezvykne sa prihlasovať niekde z Uruguaja alebo skadiaľ? Potom dávate nejak info tomu klientovi, že nejaká neznáma transakcia?
Ján Adamovský: Samozrejme. Tieto systémy banky majú. Záleží, ako dobre ich majú nastavené. Za nás môžem povedať, že máme na to expertné systémy, využívajú mashine learning, prvky umelej inteligencie. Je za tým tím ľudí, ktorý sa tomu venuje. Takže naozaj takéto neštandardné veci, že je to prihlásenie kompletne niekde inde, prevody na neštandardné účty – veľa týchto vecí sme schopní ako keby nielenže klientovi dať vedieť, zastaviť preventívne a až potom kontaktujeme klienta, či to naozaj realizoval on alebo nie. Ako si sa pýtal, že či útočníci reagujú a vyvíjajú sa tie hrozby, práve to napríklad robia, že tie hrozby sa vyvíjajú, alebo respektíve tie ich útoky sú sofistikovanejšie a sofistikovanejšie, a preto pomocou sociálneho inžinierstva pokiaľ ťa presvedčia, aby si ty spravil tú transakciu, tak zrazu je to veľmi podobné legitímnej. Lebo z tvojho zariadenia a tak ďalej.
Marek Varga: Banka to už nemá ako porovnávať, lebo proste ide to odo mňa, ide to niekam, kde ja som to zadal.
Ján Adamovský: Presne tak. Čiže tu treba byť naozaj opatrný. A môžem napríklad povedať, že v minulosti sme sa stretávali (dajme tomu nejaké 3 roky dozadu pred koronou) s tým, že väčšina tých peňazí utekala na nejaké podvodné účty bielych koní niekde do zahraničia. Ja neviem, v Portugalsku si spravili nejaký účet a tam sa snažili spraviť potom viacero transakcií. Išlo to na nejaký akoby 1 zberný účet, kde to chceli vyberať. V súčasnosti veľké percento (viac ako 80 % transakcií) ide na legitímne účty iných ľudí na Slovensku. Dajme si príklad, že ja neviem, ja nemám na účte peniaze, ty máš na účte peniaze. Ale ukradnú nám obidvom identitu, obidva naše účty sú už zaujímavé, pretože vedia vlastne potom z tvojho účtu poslať na môj a zase z môjho to posielať ďalej. Ide to medzi legitímne transakcie. Tu by som chcel poslucháčov upozorniť na to, že aj keď nemám na účte peniaze, neznamená to, že nie som zaujímavý v dnešnej dobe pre podvodníkov, práve naopak. Každá jedna digitálna identita, každé jedno online bankovníctvo je zaujímavé. Takže treba si dávať pozor, aj keď si myslím, že mám tam síce iba 22,50, ale aj to je zaujímavé.
Marek Varga: Dobre. Keď si tak vezmeme, my sme generácia, ktorá už v tom online v podstate začala. Ako by sme mali vzdelať alebo poučiť našich rodičov alebo starých rodičov, aby nerobili blbosti? (smiech)
Ján Adamovský: Možno 1 z tých princípov si povedal aj ty, že treba sa na niekoho obrátiť. Akonáhle mám nejaký pocit strachu, podozrenia, že sa môže stať niečo mne, mojim rodinným príslušníkom, ide o peniaze, alebo môžem zrazu podozrivo veľa zarobiť, že to je nejaká veľmi výhodná ponuka. Toto by mali byť také nejaké výkričníky, ktoré keď naučíme našich rodičov alebo starých rodičov, jediné, čo majú spraviť, je ozvať sa. Ozvať sa nám možno z tej mladšej generácie, ozvať sa pokojne susedovi, zavolať do banky. Hocikomu, koho ako keby poznajú, aby prerušili ten flow toho, že niečo vzrušujúce sa zrazu deje v mojom živote a buď je to strach, alebo nejaký pocit, že zarobím na vianočné darčeky pre vnúčence. Takže treba sa vždy niekoho spýtať. Naozaj aj do tej banky pokojne zavolať, nie je problém na call centrum, prísť fyzicky, uvaríme kávu, podebatujeme. Je to fajn. Podľa mňa toto je to, čo treba začať učiť. Lebo o tých technikách, taktikách keď aj dáme ľuďom nejaký papierik, že na tieto 3 veci si dávaj pozor, niekto vymyslí štvrtú. O tom to úplne nie je. Ale skôr také, že zastaviť sa a poradiť sa, toto by som ja všetkým odporúčal.
Marek Varga: Zdravý sedliacky rozum.
Ján Adamovský: Tak, tak.
Marek Varga: Hej, lebo kde nás tlačia časom, tak väčšinou tam býva pes zakopaný. Ako vravíme, všetko nad 10 % zhodnotenia za rok je veľa. Alebo je potrebné spozornieť a keď mi povedia, že budem mať 10 % za mesiac, tak akože veľký maják na hlave a kontrolka. (smiech)
Ján Adamovský: Presne tak.
Marek Varga: Dobre. Ak by som chcel minimalizovať straty do budúcna, ako by som si mal ošetriť účet alebo kreditné karty, bankomatové karty a podobne z tvojho pohľadu?
Ján Adamovský: Verím, že tá doba, keď ľudia nosili na fyzickej karte prilepený aj PIN, tu už nie je. A keď to náhodou niekto robí, tak treba si ten PIN zapamätať. Tie 4 čísla nie sú zase až také katastrofálne, to by mohli ľudia zvládnuť. Ale čo je určite také dôležité je uvedomiť si, že ten telefón je v dnešnej dobe akoby základ naozaj tej mojej digitálnej identity. V ňom mám už takmer všetko. Takže starať sa o ten telefón lepšie ako o svoje kľúče od domu, dá sa povedať. Lebo pokiaľ stratím kľúče, mám hneď taký warning, že niečo sa deje, niekto mi môže vykradnúť dom alebo byt. Pokiaľ stratím ten telefón, alebo nemám ho dobre zabezpečený, je to v podstate rovnaký problém – niekto mi môže ukradnúť moju digitálnu identitu, vykradnúť telefón. Čiže určite mať ten samotný telefón zabezpečený, v dnešnej dobe väčšina ich poskytuje biometriu či tváre, či odtlačku prsta.
Marek Varga: A je to bezpečné? Lebo som počul už aj paranoindné vyjadrenia, že tomu veľmi až tak ľudia neveria. Ale je pravda, že ja mám takú komunitu ľudí okolo seba, ktorí ja to vravím paranoid packet používajú. Takže… (smiech)
Ján Adamovský: Ja to odporúčam osobne každému, koho poznám aj z blízkych, rodiny, kamarátov, známych, radím to používať. Za mňa je to to najlepšie, čo v súčasnosti existuje. Takže určite zabezpečiť si ten telefón. Ale ďalšia vec je, internetové bankovníctvo umožňuje hlavne v mobile znížiť si napríklad limity platobných kariet. Čiže keď mi niekto niekde ukradne tie údaje, napríklad na internete sa môže stať, že nejaký e-shop má nejaký veľký data bridge a ukradnú mu v podstate tisíce, desaťtisíce, stotisíce kariet, moja karta môže byť medzi nimi. Aby som minimalizoval tie škody alebo straty, treba mať nízko nastavené tie limity. Veď neplatím každý deň tisícky € na internete, alebo nevyberám si z bankomatu veľké sumy. Takže mať tie limity nastavené veľmi nízko, pokiaľ idem robiť nejakú väčšiu aktivitu cez mobile banking, zmením si to, zvýšim. Takisto veľa bánk už poskytuje výbery z bankomatov pomocou mobilnej appky. Čiže ako keby viem tú kartu z toho celého procesu vynechať. Takže takto krôčik po krôčiku.
Marek Varga: Ja sa držím toho, že mám skoro všetky karty vypnuté. Keď idem vyberať, alebo robím nejaké operácie, zapnem na tých 5 minút a potom bežím naspäť s vypnutou kartou. Lebo akože 2 s.r.o.-čky, takže mám tých biznis kariet viac.
Ján Adamovský: Veľmi múdro. Naozaj odporúčam. Pokiaľ to potrebuješ robiť, vtedy to spravíš.
Marek Varga: Dobre. Teraz je veľký nástup umelej inteligencie. Ovplyvnilo to nejak aj správanie klientov alebo aj vás z pohľadu banky? Musíte viac riešiť bezpečnosť, alebo vznikli nejaké nové hrozby vďaka tomu?
Ján Adamovský: Myslím si, že práve pri týchto podvodoch postupne začínajú útočníci využívať (podvodov voči klientom myslím) umelú inteligenciu – tú interakciu podvodník verzus klient už vedia nejakým spôsobom zautomatizovať. Vie v tom byť zapojená umelá inteligencia. Zachytil som už aj prvé prípady, že sa vlastne pokúšajú napodobniť niekoho hlas pomocou umelej inteligencie. Takže aj takéto veci sa začínajú diať, čiže toto bude len pribúdať. To sa stane nejakým takým štandardom. Ono sa v podstate na tých princípoch nič veľmi nezmení, iba to bude možno častejšie, možno automatizovanejšie. Takže toto očakávam. Očakávam aj, že útočníci začnú využívať nejakú inú formu umelej inteligencie práve na útoky voči firmám a nielen voči bankám, ale celkovo. Tie útoky začnú byť koordinované pomocou nejakej umelej inteligencie. Tí špičkoví hackeri stále budú niekde na pozadí, ale proste budú mať múdre stroje.
Marek Varga: Korigovať inštrukcie.
Ján Adamovský: Korigovať inštrukcie a tie múdre stroje už budú útočiť samé, zisťovať, čo je najzraniteľnejšie a vypočítavať nejakú najpravdepodobnejšiu cestu, kade útočiť. Takže určite nás v tom digitálnom priestore čakajú ešte zábavné časy, na ktoré sa veľmi teším.
Marek Varga: Bude vás asi viacej pracovať. Alebo použijete kontra umelú inteligenciu.
Ján Adamovský: Určite ju použijeme. Lebo keď si zoberieš tú rýchlosť, akou bude tá umelá inteligencia útočiť, tak človek nebude mať šancu sa brániť. My už dlhodobo používame rôzne machine learningy, AI na rôznych úrovniach na hľadanie anomálií nielen v tom klientskom správaní, ale aj či sa zamestnanec normálne správa. Či jeho konto nie je dajme tomu zneužívané, či sa nedejú nejaké divné veci na sieti. Takže na toto sa už bežne používajú tieto veci dá sa povedať roky. Len v mojej vízii sa to celé ešte krajšie pospája dokopy a aj tie responsy budú viac automatizované.
Marek Varga: Bude tu normálne Netflix či tento Matrix. (smiech)
Ján Adamovský: Machine verzus machine, hej. Vojna strojov, presne tak.
Marek Varga: Dobre. Keď to tak vezmeme, najbezpečnejšia forma nejakej komunikácie s bankou predpokladám je internet banking, alebo mať to v mobile a v podstate…
Ján Adamovský: Určite. V tom mobile je to preferovaná cesta v dnešnej dobe, povedal by som. Mobil je veľmi osobný, je môj, mám ho stále so sebou a kvôli nemu sa aj vrátim. Ja vždy hovorím, že keď si zabudne človek vstupnú kartu do budovy, tak ide na recepciu a pýta si náhradnú. Ale keď si zabudne mobil, tak sa otočí aj v aute a ide si ho naspäť domov zobrať. Takže ten mobil je naozaj taký osobný, spávame s ním vedľa postele a tak ďalej. Ten keď človek stratí, tak si všimne. Čiže to je podľa mňa taká najbezpečnejšia forma komunikácie. Samozrejme, návšteva pobočky vôbec by som ju nevynechával ako bezpečnú formu komunikácie, pokiaľ má niekto rád naozaj tú osobnú interakciu. Alebo pokiaľ má svojho bankára, s ktorým sa vie spojiť cez video hovor – všetky tieto veci sú už v dnešnej dobe úplne fajn.
Marek Varga: Poznám ľudí, čo ešte v dnešnej dobe nemajú vôbec internet banking, chodia všetko riešiť na pobočku.
Ján Adamovský: Tak asi majú radi dobrú kávu.
Marek Varga: Dobre. Predpokladám, že u nás vás reguluje Národná banka Slovenska, poprípade Európska centrálna banka. Máte od nich aj nejaké regulácie, čo sa týka tej online bezpečnosti a fyzickej bezpečnosti?
Ján Adamovský: Samozrejme. Tých regulácií je čím ďalej, tým viac. Dá sa povedať, že už každá inštitúcia, ktorá má aspoň 3 písmenká, vydáva nejakú reguláciu najmä ohľadom kyberbezpečnosti. Európska centrálna banka má celú reguláciu o tom, ako má vyzerať bezpečnosť internetového bankingu, ako často to má byť testované, ako často auditovéané. Koľko faktorov musím použiť na prihlásenie. Sú rôzne požiadavky na fraud prevention systémy. Takže dá sa povedať, že toto je veľmi silno regulovaný segment. A celkovo bankový segment je asi zo všetkých týchto segmentov najregulovanejší. Sú na to 2 pohľady. Jeden je, že vďaka regulácii sa tá bezpečnosť robí dobre. Ja si myslím a som presvedčený o tom a tak to aj máme v banke, že sme tú bezpečnosť robili aj pred reguláciami. A v dnešnej dobe to obrovské množstvo regulácií skôr nám zabíja kapacity tých šikovných ľudí, lebo musíme vlastne len dávať vedieť, že to naozaj robíme.
Marek Varga: A kontrolovať.
Ján Adamovský: Kontrolovať a byť auditovaní.
Marek Varga: Historicky boli GRID karty. Tie sa zrušili na popud bánk, alebo to prišlo napríklad formou regulácie?
Ján Adamovský: GRID karty ako také už v podstate prestali spĺňať niektorú z tých regulácií, čiže bola to konkrétne PSd2 (Payment Service Directive 2), kde už bolo napísané, že tie kódy musia byť jednorazové. Nemôžu byť takto opakovateľné, ako boli na dobrej GRID karte. Takže to banky zrušili. Dochádzalo k tomu rušeniu aj predtým, lebo už to bolo v podstate nepraktické.
Marek Varga: Človek to zabudne a už…
Ján Adamovský: Presne. Ale mám takú funny storku ešte zo starých čias, keď fungoval phising s GRID kartami. Pamätám si prípady, kedy tí phiseri vypýtali ako keby všetky pozície z GRID karty a mali sme klientov, ktorí vypísali všetky pozície z GRID karty. Na požiadavku, že banka stratila údaje, aby jej to pomohli obnoviť. Tak to dalo celkom roboty.
Marek Varga: A to už aj dlho trvalo.
Ján Adamovský: Presne tak.
Marek Varga: Keď si človek spočíta cenu toho úradníka a podobne, bolo jednoduchšie mu vydať tú novú kartu, než to zadávať nanovo, ale dobre. Máte ešte nejaké také zaujímavejšie historky, čo sa udiali?
Ján Adamovský: S GRID kartami mi nenapadá teraz. Ale napríklad pamätám si ešte presne, keď začínali phisingy, že boli šikovní ľudia, ktorí si uvedomili, že toto je phising. A na tej phisingovej stránke namiesto prihlasovacieho mena a hesla, ktoré od nich pýtali tí podvodníci, tak im tam vypĺňali všelijaké pekné poznámky, že chod, môj zlatý, niekam a tak ďalej. (smiech)
Marek Varga: Som jeden z nich. (smiech)
Ján Adamovský: Toto vždy potešilo. Nám sa často podarí dostať z tých podvodných stránok k tým údajom. A potom keď vieme o tom, že tam boli zadané tie prihlasovacie údaje, preventívne ich blokujeme. Často to pobavilo, keď tam boli takéto poznámky napríklad od teba.
Marek Varga: Myslím si, že som mal tak 15 – 20 phisingových útokov na mňa a až raz trafili banku. A keď som zadal, napísalo mi, že tieto údaje neplatia, skúste si ich obnoviť. A už ma dalo do mojej banky, ale do originál. Hovorím, dobre. Minulý rok začala vojna na Ukrajine. Stúpli nejako útoky na banku z externých zdrojov?
Ján Adamovský: Musím povedať, že sme boli veľmi v pozore, keď to celé vypuklo. Lebo či už to, čo sa deje vo fyzickom svete alebo aj digitálnom, samozrejme, v prípade vojny je to vždy eskalované na obrovskú úroveň. Ale musím otvorene povedať, že po nejakej dobe sme nepoviem, že prestali byť opatrní, ale ako keby nenaplnili sa tie hrozby, ktoré sme čakali. Tým, že my máme nonstop kontinuálny monitoring a zvýšili sme pozornosť k tomu, čo prichádza z toho priestoru, kde sa deje vojna. A čo som ja tak celkovo v rámci či bankovej skupiny, či u nás, alebo v regióne zaznamenal, že sem-tam sa nejaký DDoS útok vyskytne, ale to je asi všetko. Nič dramatické sa v našom sektore a našom regióne nestalo.
Marek Varga: Hej, banky to obišlo. Ja čo som zaevidoval, tak štát sa primárne začal obávať, že nemocnice a kritickú infraštruktúru. Tam sa to posilňovalo výrazne. V podstate keď vezmeme, v Čechách bola odstavená jedna nemocnica skoro na mesiac, lebo dostali myslím, že ransomware vírus alebo niečo také?
Ján Adamovský: Hej, bola. Neviem, či to malo priamy súvis s Ukrajinou.
Marek Varga: S týmto nie. Ale prišlo to zo smeru Severná Kórea, Rusko, niečo odniekiaľ stadiaľ.
Ján Adamovský: Hej, stať sa to, samozrejme, môže. Ale myslím si, že banky sú na to asi najlepšie zabezpečené zo všetkých sektorov.
Marek Varga: Takže nemalo by vás to položiť?
Ján Adamovský: Hej, ale hovorím – napriek tomu tá opatrnosť bola namieste. Zvýšili sme ešte extrémnejšie to, čo robíme – hlavne oveľa viac dohľad. Ale poviem, že už máme tento región zaradený medzi ostatnými, že je to zhruba rovnako.
Marek Varga: Tebe sa už snažili dovolať podvodníci alebo phiseri a podobne?
Ján Adamovský: Jasné, samozrejme. Hlavne teda mne sa snažili vždy nejakí anglicky hovoriaci dovolať. Či to bola technická podpora Microsoftu, tí mi chceli opravovať počítač a inštalovať nejakú záplatu a fixovať licenciu. Týchto som mal často. INTERPOL mi vyvolával, že teda neviem, čo našli na mojom počítači rôzne hrozby. Vyhrážali sa mi, že keď nebudem spolupracovať a platiť biccoinmi, čo INTERPOL určite robí bežne.
Marek Varga: Bežne vydiera. (smiech)
Ján Adamovský: A z tých slovenských… Ja mám teda šťastie v nešťastí, že mi nevolávajú títo investiční. Ale volali mi nejaké a teraz už neviem, či nejaké známky alebo niečo také mi chceli predať. Alebo zberateľské mince, na čo stačilo, že zadám číslo kreditnej karty. To som tiež spravil to, čo ty, že asi 20 minút som venoval tej pani podvodníčke, aby som jej odobral čas. A neviem, či splnila KPIs potom alebo nie. Ale teda odobral som jej ten čas, až kým naozaj nepýtala to číslo karty, aby mi tie mince teda dodala. Tak tam sme sa už rozlúčili.
Marek Varga: Myslím, že som mal jedno investičné, že pravidelne 200 € mesačne a jedni zarúbali, že minimálny vklad je 100000 €. A ja, že wow! Dobre, chlape.
Ján Adamovský: Počkajte, pozriem do šuplíka, či mám navyše, hej?
Marek Varga: Akože spomínal regulárnu firmu. Ešte sme mali debatu, že viete si ich pozrieť na NBS-ke, emitujú a to. Ja pozerám, že to je fajn. A že idú rozširovať výrobu. Zhodou okolností trafili firmu, pre ktorú otec pracuje. Ja pozerám, OK, Northwall (?) poznám. Rozširujú výrobu, ale nie. Dobre, Ján, chcem sa ti veľmi pekne poďakovať, že si si na nás dnes našiel čas a dal si nám pohľad zo strany banky na tú bezpečnosť.
Ján Adamovský: Takisto veľmi pekne ďakujem za pozvanie a budem sa tešiť na každé ďalšie stretnutie.
Marek Varga: Verím, že ešte niečo spolu vymyslíme. Moje meno je Marek Varga a sprevádzal som vás dnešným podcastom. Ak by vás zaujímal svet financií a zvažujete zmenu práce, alebo by ste potrebovali poradiť, poprípade máte návrh na témy, ktoré by vás mohli zaujímať, viete ma kontaktovať na marekvarga.sk. Aj dnešná epizóda vznikla s podporou PROSIGHT Slovensko, za čo sa im chcem veľmi pekne poďakovať. Prajem vám ešte pekný zvyšok dňa. Ahojte.
