Bankowość i Finanse | Secfense | Instytucje finansowe muszą wdrożyć uwierzytelnianie wieloskładnikowe. DORA nie pozostawia wątpliwości

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
DORA (Digital Operational Resilience Act) zacznie obowiązywać w Polsce 17 stycznia 2025 r. Podmioty, które chcą na czas przygotować się do nowych wymogów, powinny już teraz zacząć wdrażać odpowiednie procedury i technologie. I choć rozporządzenie nie podaje dokładnych wytycznych dotyczących tego, jakie narzędzia zaimplementować, wyraźnie zaznacza, że instytucje finansowe muszą stosować silne mechanizmy uwierzytelniania.

DORA, czyli rozporządzenie dotyczące operacyjnej odporności cyfrowej sektora finansowego, dotyczy tradycyjnych instytucji sektora finansowego (takich jak np. banki, instytucje kredytowe, firmy inwestycyjne i płatnicze czy firmy ubezpieczeniowe), podmiotów z obszaru cyfrowych finansów (m.in. instytucji pieniądza elektronicznego, dostawców usług w zakresie kryptoaktywów czy platform ­crowdfundingowych) oraz dostawców technologii dla instytucji sektora finansowego (w tym dostawców usług chmury obliczeniowej, dostawców usług w zakresie udostępniania informacji oraz dostawców innych usług ICT).

Głównym celem rozporządzenia jest zwiększenie odporności operacyjnej sektora finansowego. DORA zobowiązuje instytucje finansowe i dostawców technologii dla tego sektora do stosowania odpowiednich środków zwiększających cyberodporność, pozwalających szybko reagować w przypadku cyberataku i sprawnie przywracać działanie firm. Jednym z elementów ochrony przed cyberprzestępcami ma być wdrożenie mechanizmów silnego uwierzytelniania – mówi Tomasz Kowalski, współzałożyciel i CEO Secfense.

Silne uwierzytelnianie podstawowym środkiem bezpieczeństwa

W rozporządzeniu pada jednoznaczne sformułowanie: podmioty finansowe wdrażają silne mechanizmy uwierzytelniania. Instytucje finansowe nie mogą mieć w tym przypadku żadnych wątpliwości dotyczących interpretacji tego zapisu. Regulacja wymaga implementacji silnych mechanizmów uwierzytelniania.

Wymaganie to koresponduje zresztą z aktualnymi rekomendacjami krajowych instytucji nadzorczych. Już w październiku 2022 r. Komisja Nadzoru Finansowego podkreśliła w jednym ze swoich pism, że „brak stosowania silnego, wieloskładnikowego uwierzytelnienia klientów jest nieakceptowalnym ryzykiem”. Urząd Ochrony Danych Osobowych z kolei odniósł się do tej technologii m.in. przy sprawie Morele. W decyzji z 10 września 2019 r. pisał: „kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa mające na celu ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa”.

Instytucje, które chcą być zgodnie z nowym rozporządzeniem oraz z wytycznymi Komisji Nadzoru Finansowego muszą zadbać o silne uwierzytelnianie.

MFA – czym jest i jak je wdrożyć?

Dlaczego silne uwierzytelnianie jest tak ważne? Uwierzytelnianie wieloskładnikowe (MFA, multifactor authentication) jest jednym z najlepszych sposobów zabezpieczenia zasobów firmowych przed phishingiem, socjotechnikami i kradzieżą uwierzytelnień. Znacznie podnosi bezpieczeństwo procesu logowania, ponieważ wprowadza co najmniej dwa niezależne składniki uwierzytelniania. Mogą nimi być: coś, co dana osoba wie (składnik wiedzy, np. wzory blokady, hasła, kody PIN, osobiste pytania), coś, co dana osoba ma (składnik posiadania, czyli obiekt fizyczny – klucz kryptograficzny lub smartfon), albo to, kim dana osoba jest (składnik cechy, oparty na danych biometrycznych – rozpoznawanie twarzy, linii papilarnych czy głosu).

Silne uwierzytelnianie podnosi bezpieczeństwo firm. Jednak wdrożenie go w całym przedsiębiorstwie, na wszystkich aplikacjach, często jest problematyczne. Wymaga czasu i angażuje programistów. Żeby uniknąć tych trudności, wprowadziliśmy na rynek rozwiązanie User Access Security Broker. Pozwala ono na wdrożenie MFA na dowolnej aplikacji w kilka minut, bez konieczności ingerencji w kod. Jesteśmy w stanie zabezpieczyć całą organizację w naprawdę krótkim czasie – od 7 do 14 dni. Dodatkowo UASB umożliwia wdrożenie dowolnej metody uwierzytelniania, w tym także najskuteczniejszego dziś FIDO2 – dodaje Tomasz Kowalski.

Więcej informacji na temat obowiązków, jakie nakładają na instytu­cje finansowe nowe regulacje, można znaleźć w bezpłatnym e-booku „Analiza regulacji DORA i NIS2 w kontekście cyberbezpieczeństwa przedsiębiorstw w UE” przygotowanym na podstawie niezależnego raportu ­Fundacji Law4Tech: https://secfense.com/ebook/.

Źródło: Miesięcznik Finansowy BANK