Katarzyna Hoffmann-Sielicka: Czerpiemy z globalnych doświadczeń

Maciej Małek: Co z doświadczenia warto przenieść i wdrożyć na gruncie polskim? Stale jesteśmy bowiem bardzo młodym systemem i cały czas się uczymy.

Katarzyna Hoffmann-Sielicka: Przede wszystkim globalne podejście do wszelkich zagrożeń, które pochodzą ze strony internetu i ze strony wyspecjalizowanych grup hakerskich, które choćby przy pomocy ataków APT atakują systemy bankowe i przede wszystkim użytkowników. To, co HID Global preferuje, promuje, do czego zachęca to budowanie wielowarstwowej ochrony – nie tylko dwuskładnikowe uwierzytelnianie. Zapominany o hasłach statycznych – nie są one żadnym zabezpieczeniem systemów bankowych, dlatego przynajmniej uwierzytelnianie dwuskładnikowe. HID idzie jeszcze dalej – uwierzytelnianie wieloskładnikowe, wielowarstwowe, gdzie dobieramy warstwy uwierzytelniania w zależności od tego, jakie jest ryzyko transakcji, jaka jest grupa docelowa użytkowników, którzy się systemem bankowym posługują  i jakie jest zagrożenie dla operacji bankowych, których dokonują. Nasza uniwersalna platforma pozwala dokładać kolejne warstwy w zależności od tego z jakim użytkownikiem końcowym i z jakim stopniem ryzyka mamy do czynienia.

MM: Czyli rozbudowa odbywa się sekwencyjnie, chciałoby się powiedzieć „step by step“, czyli w  miarę rozwoju naszego biznesu rozbudowujemy architekturę bezpieczeństwa w sposób adekwatny?

KHS: Dokładnie tak. Można stopniowo dokładać warstwy, można je zastosować od razu. Nie trzeba włączać wszystkich dla poszczególnych grup użytkowników. Mówimy wtedy właśnie o „step up an dedication“. W momencie kiedy widzimy zagrożenie, np. użytkownik logował się dziś z Warszawy, a za pięć minut próbuje się połączyć z Chin wiemy, że jest to próba nadużycia w związku z czym możemy dołożyć metodę uwierzytelniania przez dodatkowe hasło smsem czy mailem, aby potwierdził, że łącząc się z Chin jest też osobą uprawnioną do podłączenia się do systemu bankowego.

MM: Wielostopniowy poziom zabezpieczeń to już dziś codzienność. Jak jesteśmy przygotowani do rozpoznania i przeciwdziałania zagrożeniom, które określamy jako hybrydowe, a z którymi mamy coraz częściej do czynienia?

KHS: Nasz system pozwala na dołożenie komponentu, który nazywa się „fraud dedection“ i który jest systemem operującym w chmurze. Zbiera dane z całego świata, z różnych innych systemów bankowych i potrafi oszacować, że dany adres IP jest już adresem skompromitowanym. Jeszcze nie musi dość do nadużycia, a już przeciwdziała. Wie, że system który próbuje się podłączyć do naszej bankowości online jest podejrzany i należy zwrócić uwagę na taką transakcję. To jest jeden z przykładów możliwości działania naszych rozwiązań.

MM: Czy ta chmura, o której pani mówi ma charakter prywatny czy publiczny?

KHS: Jest to system, który współpracuje z wieloma innymi systemami na świecie i zbiera globalne dane na temat aktualnych zagrożeń, miejsc ataków i różnych innych danych, które pozwalają przeciwdziałać rozprzestrzenianiu się następnych ataków.

MM: Waszym partnerem są z reguły osoby odpowiedzialne  w bankach za bezpieczeństwo. Czy zarządy rozumieją już nowy – ze swej istoty – charakter zagrożeń z jakimi mamy do czynienia? Czy są przygotowane na niemałe nakłady, jakie trzeba dla wdrożenia i utrzymania tych systemów ponieść?

KHS: Z zaskoczeniem obserwuję, że bardzo często pytania dotyczące uwierzytelniania użytkowników przychodzą ze strony organizacji biznesowych banków – niekoniecznie z działów bezpieczeństwa IT. Biznes już teraz rozumie, że zagrożenia są bardzo istotne – chciałby łączyć zabezpieczenia z wygodą użytkownika, co dzięki wielorakim metodom, które HID Global oferuje, można pogodzić i można doprowadzić do tego, że uwierzytelnianie użytkownika jest maksymalne na miarę możliwości, bezpieczne i także wygodne.

MM: Czy poza instytucjami finansowymi – w pierwszym rzędzie bankami – współpracujecie z tymi firmami, organizacjami, które jako podmioty zewnętrzne świadczą na rzecz banków?  To również może być luka bezpieczeństwa w skomplikowanym systemie.

KHS: Tak, współpracujemy. Zabezpieczamy bardzo wiele, bardzo znanych instytucji, np. British Telecom, który korzysta z naszych systemów uwierzytelniania i również oferuje sposoby uwierzytelniania swoim klientom.

MM: Takie rozwiązanie wydaje się naturalne – dziś telekomy wchodzą coraz częściej w obszar tradycyjnie zastrzeżony dla banków, co wiąże się z rozwojem bankowości mobilnej. Dziś również przez smartfona chcemy zarządzać swoimi pieniędzmi.

KHS: Oczywiście. HID również oferuje rozwiązania w tym zakresie, również systemy uwierzytelniające współpracujące ze smartfonami i innymi urządzeniami mobilnymi.

MM: Czy w przypadku jeżeli organizacja wypełnia wszelkie wasze zalecenia jesteśmy tak naprawdę bezpieczni? Skoro to ode mnie, od tego, jak będę chronił mój smartfon zależy również bezpieczeństwo mojej tożsamości i moich pieniędzy.

KHS: System zawsze jest bezpieczny na tyle, na ile bezpieczne jest jego najsłabsze ogniwo. Edukacja użytkownika jest kluczowym elementem całego systemu bezpieczeństwa. Banki powinny kłaść na to bardzo duży nacisk. Trzeba też pamiętać, że jeżeli systemów, urządzeń uwierzytelniających będzie za dużo to także ryzykujemy tym, że użytkownik porzuci metody uwierzytelniające. W związku z tym zawsze musimy myśleć o tym, aby pogodzić wygodę użytkownika z bezpieczeństwem – aby był w stanie zaakceptować metody, które musi zastosować aby dostać się do systemu bankowego.

MM: Kto wobec tego powinien ponosić ciężar niezbędnej edukacji? Paradoksalnie wydaje się, że we własnym – dobrze pojętym interesie – same banki.

KHS: Dokładnie tak. Moim zdaniem edukacja po stronie banków byłaby najbardziej adekwatna. Ale także media pełnią tutaj ogromną rolę, aby wyedukować użytkowników. Aby ich nie tyle przestraszyć, co uświadomić. 

aleBank.pl

Zobacz rozmowę w wersji wideo: „Katarzyna Hoffmann-Sielicka: Czerpiemy z globalnych doświadczeń”