Bankowość I Finanse | Technologie – Yubico | Przyszłość uwierzytelniania na potrzeby banków i instytucji finansowych

Bankowość I Finanse | Technologie – Yubico | Przyszłość uwierzytelniania na potrzeby banków i instytucji finansowych
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Wraz z postępem systemów informatycznych rozwinęły się również zabezpieczenia. Aby zapewnić bezpieczeństwo swoim klientom, sektor usług finansowych nie może pozostawać w tyle.

Marcin MajchrzakMarcin Majchrzak
Od ponad 10 lat specjalizuje się w cyberbezpieczeństwie. Swoje doświadczenie managerskie zdobywał m.in. wspierając organizacje rządowe, komercyjne oraz służby mundurowe w regionach EMEA i APAC. Zaangażowany był w ich starania zredukowania ryzyka i zabezpieczenia systemów poprzez wdrożenia projektów z zakresu Zarządzania Przywilejami (Privilege Management), Uwierzytelniana Wieloskładnikowego (MFA) Infrastruktury PKI oraz FIDO. Pracował m.in. w firmach: Avecto (BeyondTrust), Intel, Crossmatch Technologies oraz HID Global. Obecnie działa w szeregach firmy Yubico – organizacji, której celem jest uczynienie internetu bezpiecznym dla wszystkich i całkowite wyeliminowanie przejęć kont użytkowników poprzez wdrażanie wieloskładnikowego uwierzytelniania (MFA) odpornego na phishing.

Ostatnie lata przyniosły wzrost popularności cyfrowych usług bankowych. Podczas gdy firmy przestawiały się na pracę hybrydową lub zdalną, ich pracownicy przenieśli się do sieci, aby pracować, robić zakupy, utrzymywać kontakty i zarządzać swoimi pieniędzmi. Choć ten zwrot w kierunku bankowości internetowej stanowi szansę dla usługodawców nastawionych na rozwiązania cyfrowe, jest również celem cyberprzestępców, chcących czerpać zyski z naruszeń danych i przejęć kont. Nie jest zaskoczeniem, że cyberprzestępczość w polskim sektorze bankowości internetowej drastycznie wzrosła pomiędzy rokiem 2017 a 2021.

Banki i ich klienci przystosowują się do nowych, zdalnych, relacji. W związku z tym siła zabezpieczeń w sieci stanie się ważnym tematem, a dla niektórych instytucji nawet źródłem przewagi konkurencyjnej.
Polska okazała się liderem rewolucji w zakresie bankowości cyfrowej. Możliwość otworzenia konta bankowego za pomocą smartfonu oferuje 80% banków, podczas gdy według badań Deloitte, światowa średnia w tym zakresie wynosi 67%. Klienci, zakładając swoje konta, utworzą hasło/PIN, którego będą musi użyć wraz z identyfikatorem użytkownika w celu uzyskania dostępu. Ta forma uwierzytelniania jest znana z innych usług logowania. Mniej znana jest dodatkowa kontrola za pośrednictwem silnego uwierzytelnienia klienta (SCA), taka jak jednorazowy kod generowany przez czytnik kart lub wysyłany SMS-em na zarejestrowany numer telefonu komórkowego.

Słabe strony hasła

Ta druga linia obrony jest niezwykle ważna dla usług finansowych, gdyż hasła są notorycznie zbyt słabe, by zapobiec przejęciu konta bankowego. Wielokrotnie używane hasła sprawiają, że wiele kont może być zagrożonych w przypadku naruszenia bezpieczeństwa danych, przez które informacje te dostaną się w ręce cyberprzestępców. Hasła można również odgadnąć, stosując różne popularne kombinacje słów i liczb, a dane bankowe są jednymi z najbardziej pożądanych łupów w przypadku naruszenia bezpieczeństwa danych.

W związku z tym dodatkowe kontrole tożsamości zwiększają bezpieczeństwo, ale nie wszystkie formy silniejszego uwierzytelniania są całkowicie odporne na zagrożenia. Na przykład popularne wśród banków jednorazowe kody wysyłane na telefony komórkowe mogą być narażone na ataki metodą SIM-swap, ataki typu „man-in-the-middle” (MitM) oraz phishingowe.

Podczas ataku typu MitM niczego nieświadoma osoba wierzy, że komunikuje się z wiarygodną organizacją, taką jak jej bank, ale w rzeczywistości informacje są przechwytywane i przekazywane przez nieuczciwą stronę trzecią. Rozpoznanie tego typu ataku nie jest łatwe nawet dla osób obeznanych ze światem cyfrowym, ponieważ atakujący tworzą spersonalizowane i przekonujące komunikaty, aby oszukać swoje ofiary. Ścieżkami dojścia mogą być niezabezpieczone sieci Wi-Fi i zmanipulowane adresy URL.

Podczas bardziej znanych ataków phishingowych użytkownicy są podstępnie nakłaniani do podania danych osobowych, takich jak dane do logowania. W ten sposób zdobyte dane uwierzytelniające są następnie wykorzystywane do uzyskania dostępu do konta użytkownika i mogą być użyte w innych usługach w ramach próby przejęcia wielu kont.

Co z tak zwanym user experience?

W przypadku usług finansowych najsilniejsze z możliwych, zabezpieczające dane i konta uwierzytelnianie nie zawsze idzie w parze z najlepszymi doświadczeniami klientów. Każda dodatkowa kontrola może wymagać więcej czasu i powodować frustrację podczas logowania, uniemożliwiając klientowi uzyskanie dostępu do konta zawsze, gdy tego chce, jeżeli, na przykład, znajduje się w miejscu, w którym nie można korzystać z telefonu komórkowego.

Silne uwierzytelnianie musi więc sprostać podwójnym wymaganiom w zakresie ochrony informacji o koncie oraz danych finansowych i osobowych przy jednoczesnym zapewnieniu wygodnego, najlepiej bezproblemowego, doświadczenia użytkownika. Oprócz tego należy rozważyć kolejną kwestię – jak prosta jest integracja dodatkowego uwierzytelniania w systemach back-end zarówno dla istniejącego portfolio produktów, jak i dla przyszłych innowacji. Biorąc pod uwagę tempo, z jakim usługi finansowe ulegają digitalizacji, oraz rozpowszechnienie płatności bezgotówkowych, jest to wyzwanie, które większość banków uzna za niepokojące. Sektor finansowy stoi też przed koniecznością zapewnienia zgodności z różnymi przepisami branżowymi, w tym z wymogami RODO, normy PCI DSS i dyrektywy PSD2, które regulują dostęp do danych wrażliwych.

Ochrona wewnętrznej infrastruktury

Instytucje finansowe muszą również chronić dostęp do swoich własnych systemów i aplikacji. W tym przypadku wyzwanie potęguje fakt, że większość infrastruktury bankowej to połączenie starszych systemów na miejscu oraz prywatnych lub publicznych usług w chmurze. Każdy z tych elementów musi być chroniony przed nieupoważnionym dostępem. Jest to wyzwanie, które nasiliło się wskutek szybkiego przejścia na pracę zdalną na dużą skalę.

Zespoły finansowe i pracownicy pracujący w nieznanych miejscach zwiększają potencjalną płaszczyznę narażoną na atak, ponieważ sieci domowe i urządzenia osobiste nagle stają się częścią korporacyjnej infrastruktury IT banku. W celu ochrony danych i zasobów korporacyjnych należy wprowadzić bezproblemowe, wygodne i wysoce niezawodne uwierzytelnianie wieloskładnikowe (MFA), aby pracownicy mogli bezpiecznie uzyskać zdalny dostęp do systemów bez generowania nowych zagrożeń i słabych punktów.

Dostawcy usług finansowych zaczynają stosować narzędzia sprzętowe, takie jak klucze bezpieczeństwa, jako sposób na silne uwierzytelnianie, które chroni dane biznesowe i dane klientów bez niedogodności dla coraz bardziej niecierpliwych użytkowników. Gdy mowa o danych finansowych, użytkownicy doceniają fakt, że urządzenia uwierzytelniające są czymś, co posiadają (kluczem sprzętowym), dzięki czemu mogą chronić się przed atakami phishingowymi. Od strony klienta zapewniają one ochronę kont, natomiast w kontekście przedsiębiorstw mogą zabezpieczać dostęp do systemów i aplikacji. Niezależnie od tego, czy chodzi o modernizację starszej infrastruktury banku, czy o nowe pokolenie programistów fintech pracujących wyłącznie w chmurze, takie podejście może zapewnić bezproblemową integrację z systemami operacyjnymi i zgodność z globalnymi standardami uwierzytelniania.

Jeżeli sektor finansowy ma skutecznie chronić klientów i ich dane, jednocześnie zapewniając łatwość użytkowania, jakiego oczekują współcześni klienci, należy wyjść poza podstawowe metody ochrony, aby zapewnić silne, ale bezproblemowe uwierzytelnianie. Fakt, że konta w mediach społecznościowych są obecnie bezpieczniejsze niż obecne konta bankowe, jest szokujący. Skoro konsumenci coraz częściej otrzymują lepszą ochronę w innych miejscach, wkrótce będą domagać się takich samych gwarancji bezpieczeństwa dla swojego konta bankowego.

Źródło: Miesięcznik Finansowy BANK