Raport Specjalny. Bezpieczeństwo Banków: Nabywanie odporności
Silne uwierzytelnianie klienta (tzw. strong customer authentication – SCA) to mechanizm, który ma na celu zwiększenie bezpieczeństwa transakcji płatniczych. By je zrealizować, dostawca usług płatniczych (m.in. bank) ma obowiązek stosowania metody składającej się z co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik), posiadanie (coś, co posiada wyłącznie użytkownik) i cechy klienta (coś, czym jest wyłącznie użytkownik). Elementy SCA mają być dodatkowo niezależne w ten sposób, że kompromitacja jednego z nich nie osłabi wiarygodności pozostałych. Ma to szczególne znaczenie, jeżeli którykolwiek z tych elementów jest stosowany na urządzeniu wielofunkcyjnym, czyli w urządzaniu takim jak tablet lub telefon komórkowy, które można wykorzystać zarówno do wydania dyspozycji płatności, jak i w procesie uwierzytelniania.
– Dziś, aby poznać swoje saldo, wystarczy zalogować się do bankowości elektronicznej z wykorzystaniem loginu i hasła. Przekładając te dwa elementy na wymogi SCA – byłyby to dwa elementy z kategorii wiedzy. Przy czym login pod reżimem PSD2 nie spełni wymogu czegoś, co wie wyłącznie użytkownik, choćby dlatego, że jest on drukowany na umowie na etapie jej zawierania i może poznać go np. doradca. Dla inicjowania transakcji wymagane jest natomiast podanie hasła SMS, jednak nie dzieje się tak za każdym razem. Przykładowo, transakcje CnP (card not present), stosowane na przykład dla wynajmu aut czy rezerwacji usług hotelowych, nie wymagają podawania PIN (wymagane jest podanie jedynie nr karty oraz kodu weryfikacyjnego karty CVV/CVC). Oznacza to, że dotychczas znane schematy logowania ulegną modyfikacji, w związku z wdrożeniem uwierzytelniania co najmniej dwuskładnikowego – wyjaśnia Olga Mędraś, radca prawny w Banku Credit Agricole.
Wyższy poziom
W związku z obowiązkiem stosowania SCA, po 14 września br., co do zasady, dla poznania salda rachunku i każdorazowo dla wykonania transakcji, z wyjątkami, np. w przypadku odbiorców zaufanych, klient zobowiązany będzie podać: a) coś, co wie tylko użytkownik – np. hasło, kod PIN, b) coś, co stanowi wyłączną własność użytkownika – np. nr karty płatniczej, c) unikalne, immanentne cechy użytkownika – element biometryczny (odcisk palca, skan siatkówki).
– Silne uwierzytelnienie użytkownika nie jest niczym nowym. Pojęcie to zostało wprowadzone przez twórców dyrektywy PSD2, a oznacza funkcjonujące już od dłuższego czasu uwierzytelnienie dwuskładnikowe, które ma zapewniać wyższy poziom bezpieczeństwa uwierzytelnianej operacji, a tym samym odporności na fraudy. Poza PSD2 nazywane jest 2FA (Two Factor Authentication) – informuje Tomasz Bukowski z Departamentu Bezpieczeństwa Banku Millennium.
W aplikacji mobilnej banku takim dwuskładnikowym uwierzytelnieniem będzie skorzystanie z tokena mobilnego (elementu wiedzy), zainstalowanej na urządzeniu wielofunkcyjnym, które klient zadeklaruje jako należące wyłącznie do niego. Dodatkowo w przypadku elektronicznych transakcji płatniczych na odległość dostawcy usług płatniczych będą stosowali takie metody autoryzacji transakcji, które nie tylko wypełniają wymóg SCA, lecz również zawierają elementy dynamicznie łączące daną transakcję z określoną kwotą i odbiorcą (przykładowo, ostatnie cyfry rachunku i kwota transakcji wysyłana w formie SMS wraz z kodem autoryzacyjnym).
– SCA będzie rozwiązaniem bezpieczniejszym, ponieważ, aby je przełamać, konieczne jest przejęcie przez atakującego obu czynników służących do uwierzytelnienia, dodatkowo pochodzących z różnych kategorii – przekonuje Marcin Mądrzak, odpowiedzialny za narzędzia identyfikacji i autoryzacji w bankowości elektronicznej w Santander Bank Polska.
Zdaniem Olgi Mędraś jest to rozwiązanie zapewniające bez wątpienia większe bezpieczeństwo transakcji płatniczych niż dotychczas. Po pierwsze, dochodzi do zrównania zasad uwierzytelniania transakcji, niezależnie od kanału ich inicjowania (online, mobilnie czy też zdalnie w contact center). Po drugie, wprowadzony zostaje obowiązkowy, dodatkowy element uwierzytelniający, który ma zapewnić zróżnicowanie elementów uwierzytelnienia. Tytułem przykładu, nawet jeśli skradziony zostanie telefon wraz z aplikacją mobilną, bez znajomości elementu wiedzy – hasła PIN, trudno będzie złodziejowi skutecznie zainicjować transakcję. Po trzecie, obok samego SCA, wprowadzone zostają dalsze obostrzenia w zakresie wymogów technicznych dotyczących zabezpieczeń. Wdrożony zostaje mechanizm monitoringu transakcji, który ma pozwolić na wykrywanie nieautoryzowanych lub oszukańczych transakcji płatniczych. Ta rozbudowana struktura ma za zadanie uszczelnić system obsługi płatności. W efekcie klienci uzyskają większe bezpieczeństwo transakcji płatniczych, choć nie zawsze przy równie szybkim i komfortowym jak dotychczas procesie ich uwierzytelniania.
Zdaniem przedstawicielki biura prasowego Idea Banku bankowość mobilna powinna być dostępna tylko na urządzeniach, które zostały dodane do zaufanych. Wieloskładnikowe uwierzytelnienie powinno być realizowane poprzez tzw. fingerprinting urządzenia oraz analizę behawioralną klienta bankowości.
– Bank każdorazowo powinien analizować zarówno cechy urządzenia – model, system operacyjny, lokalizację, adres sieciowy, podejrzane oprogramowanie, jak i szczegóły, związane z korzystaniem z urządzenia przez użytkownika – szybkość klikania, siłę nacisku itp. Jeżeli system wykryje prawdopodobieństwo podmiany urządzenia lub korzystania przez innego użytkownika lub np. działanie malware, to wówczas zablokuje urządzenie – przekonuje Anna Snitko-Pleszko z biura prasowego Idea Banku.
Bez odwrotu
Dostawcy usług płatniczych, w tym banki, mają obowiązek stosowania SCA począwszy od 14 września 2019 r. Oznacza to, że klient będący tego dnia klientem banku, zobligowany będzie do uwierzytelniania się zgodnie z procedurą przyjętą w danym banku. Jeśli nie zgadza się na przyjęte w nim metody autoryzacji, istnieje możliwość wyrażenia sprzeciwu/złożenia wypowiedzenia względem zmian wzorców umownych, które zakomunikowane zostaną mu z dwumiesięcznym wyprzedzeniem. Klient ma oczywiście nadal możliwość wyboru kanału, w którym przeprowadzi transakcję płatniczą. Przykładowo, jeśli nie jest zainteresowany wymianą tokena na nowy, a spełniający wymogi SCA, istnieje alternatywa w postaci korzystania z aplikacji mobilnej, która wymogi SCA spełni. To klient decyduje, z którego kanału skorzysta.
– Silne uwierzytelnienie nie jest usługą, a raczej sposobem czy cechą autoryzacji/uwierzytelniania. Jest jednym z wymogów dyrektywy PSD2, a więc od 14 września, kiedy regulacja ta wejdzie w życie, stanie się obowiązkowe dla wszystkich dostawców usług płatniczych, będzie więc też obowiązkowe dla wszystkich klientów – podsumowuje Tomasz Bukowski z Departamentu Bezpieczeństwa Banku Millennium.
Dosłownie coś własnego Tradycyjne metody zabezpieczeń, takie jak hasła lub przekazywane przez SMS kody autoryzacyjne, wydają się już przestarzałe. Obecnie potrzebne są lepsze mechanizmy ochrony. Wydaje się, że w tej chwili właściwą odpowiedzią na wyzwanie może być uwierzytelnianie wieloetapowe lub biometryczne. Do 2022 r. poziom nasycenia weryfikacją biometryczną firmowych urządzeń mobilnych wzrośnie o 70%, w odniesieniu do poziomu, jaki notuje się w firmach już wdrażających tę technologię. Jest to ogromne przyspieszenie w stosunku do zaledwie 5-proc. wzrostu z ubiegłego roku. Taką prognozę dają analitycy Gartnera w raporcie „Predicts 2019: Identity and Access Management”. Analitycy Gartnera szacują, że jakieś 40% średnich i dużych firm wdroży do 2022 r. uwierzytelnianie biometryczne w formie oprogramowania jako usługi, przechodząc powoli do architektury chmurowej i mobilnej. |