Raport Specjalny | Bezpieczeństwo Banków – Secfense | Zbudować odporność na cyberincydenty, czyli nowe podejście do silnego uwierzytelniania od Secfense
Szukając domu lub mieszkania, zastanawiamy się zwykle nad tym, czy kupić nieruchomość na rynku pierwotnym, czy jednak lepiej zainteresować się starym obiektem. Niewielki domek na wsi posiada wiele zalet. Niestety na pewno wymaga gruntownego remontu. W tym miejscu pojawia się pytanie, czy remontować stary dom? A może lepiej go wyburzyć i zbudować dom od podstaw?
Te same pytania dotyczą architektury IT i systemów bezpieczeństwa, które w wielu wypadkach – a szczególnie w przypadku sektora bankowego – muszą dopasowywać się do niezwykle dynamicznie zmieniających się warunków powodowanych przez niezależne czynniki, np. pandemię czy konflikty polityczne.
Kluczem do sukcesu w tym wypadku jest czas, skuteczność i łatwość wdrożenia. Trudno więc mówić tu o burzeniu czy budowie od nowa podczas wprowadzania innowacji w banku na masową skalę. Banki bowiem – inaczej niż domy – to ogromne organizacje, o wieloletniej tradycji, w których infrastruktura informatyczna budowana była przez lata, na setkach systemów i przy zaangażowaniu specjalistów z różnych obszarów IT.
– Można powiedzieć, że do tej pory po prostu robiło się w bankach mniejsze lub większe remonty. Za każdym razem jednak był to duży projekt, gdyż aby wprowadzić udoskonalenie w jakimś środowisku, należało zaangażować programistów, którzy przez ingerencję w kod oprogramowania realizowali integrację z nową technologią – mówi Krzysztof Góźdź, Sales Manager z Secfense. – Stworzyliśmy rozwiązanie User Access Security Broker, które stanowczo podnosi bezpieczeństwo firm, pozwalając na łatwą implementację wieloskładnikowego uwierzytelniania (MFA) w całej organizacji. To taki skuteczny remont, który pozwala organizacjom spać spokojnie i nie obawiać się ataków polegających na kradzieży tożsamości użytkowników.
Ochrona przed phishingiem i kradzieżą danych
Multi-Factor Authentication (MFA), znane również jako wieloskładnikowe lub po prostu silne uwierzytelnianie, to podejście, w którym użytkownik loguje się do zasobów organizacji przy wykorzystaniu nie jednego, lecz wielu składników. Podejście to z roku na rok cieszy się coraz większym zainteresowaniem ze względu na skuteczność. Z badań Gartnera wynika, że firmy, które szybko wprowadzają pracę zdalną bez wykorzystania MFA, doświadczają pięciokrotnie więcej incydentów przejęcia konta niż te, które korzystają z MFA. (cyt. Enhance Remote Access Security with Multifactor Authentication and Access Management, Gartner Maj 2020).
Nawet najbardziej „staroświecki”, dodatkowy składnik uwierzytelniania, czyli znane wszystkim kody SMS, podnosi już znacznie bezpieczeństwo w porównaniu do zabezpieczenia samym hasłem. Nowoczesne metody, bazujące na kryptografii lub biometrii, to zabezpieczenia, które skutecznie zniechęcają większość atakujących.
Czemu więc MFA nie zastąpiło jeszcze zwykłych haseł, skoro jest tak skuteczne? Odpowiedź jest jedna – na przeszkodzie od lat stoi problem integracji z resztą środowiska IT organizacji.
– Aby aplikacje mogły być zabezpieczone wieloskładnikowym uwierzytelnianiem, wymagana jest zwykle ingerencja w ich kod. Mówiąc prościej – programiści muszą po prostu „doszyć” do nich MFA. Jeśli aplikacji w firmie są setki, a do tego – co zdarza się najczęściej – zbudowane są w oparciu o różne technologie, zadanie to staje się prawdziwym koszmarem – wyjaśnia Marcin Szary, CTO i współzałożyciel Secfense.
Broker wieloskładnikowego uwierzytelniania
Kilka lat temu powstało jednak nowe podejście do integracji silnego uwierzytelniania, które w ogóle nie ingeruje w kod aplikacji. Mowa tu o zastosowaniu brokera bezpieczeństwa (User Access Security Broker), czyli technologii umożliwiającej wdrożenie dowolnej metody MFA na dowolnej liczbie aplikacji. Wdrożenie łatwo skaluje się na dziesiątki lub setki systemów w firmie, a co za tym idzie – pozwala na wprowadzenie silnego uwierzytelniania w całej organizacji, a nie jedynie na garstce wybranych aplikacji.
– Ważne jest to, że User Access Security Broker to nie kolejna metoda wieloskładnikowego uwierzytelniania, a pierwsza technologia na rynku, która pozwala nałożyć warstwę bezpieczeństwa na dowolną liczbę i rodzaj aplikacji webowych i uruchomić w nich dowolną metodę uwierzytelniania wieloskładnikowego (MFA) – dodaje Krzysztof Góźdź z Secfense. – Mogą to być już wykorzystywane w firmie w ograniczonym zakresie metody wieloskładnikowego uwierzytelniania, które dzięki brokerowi od Secfense zostaną rozpropagowane na resztę aplikacji w organizacji. Nic nie stoi na przeszkodzie, żeby było to również biometryczne uwierzytelnianie czy najnowsze metody kryptograficzne zaszyte w urządzeniach, z których już teraz korzystają pracownicy i klienci. Wszystko zależy od samego banku i dotychczas stosowanych opcji.
Najważniejsze w User Access Security Broker jest to, że proces budowania warstwy ochronnej, a następnie egzekwowania polityk bezpieczeństwa odbywa się „w locie” – bez bezpośredniej ingerencji w chronione aplikacje. Technologia została tak zaprojektowana, by w warunkach „zerowej” wiedzy o aplikacjach i środowisku IT, które ma chronić, była zdolna nauczyć się go i zrozumieć procesy logowania użytkowników aplikacji. Etap uczenia się, podczas którego rozwiązanie uruchamia sondę do docelowej aplikacji, rejestruje wzorce logowania użytkownika, którego konto ma być chronione silnym uwierzytelnianiem. W kolejnym kroku wzorce te są aktywowane i przy każdym następnym logowaniu użytkownik jest proszony o potwierdzenie swojej tożsamości. W najwygodniejszym dla użytkowników wariancie – spogląda on w kamerę i skanuje swoją twarz lub przykłada palec i odczytuje linie papilarne – dokładnie tak samo, jak do tej pory logował się do swojej stacji roboczej czy odblokowywał swój telefon.
A może passwordless?
Koniec kłopotów z globalnym i szybkim wdrożeniem MFA w całej organizacji pozwala i ułatwia bankom w dalszej perspektywie transformację do passwordless, czyli uwierzytelniania bez hasła. Co to oznacza? Mniej więcej tyle, że jedno – zazwyczaj słabe i łatwe do odgadnięcia przez intruza – hasło zastępowane jest znacznie silniejszą metodą uwierzytelniania.
– Kiedy odblokowujemy swój smartfon, często nie zastanawiamy się nad tym, że dokonujemy wieloskładnikowego uwierzytelniania. Nasza uprzednio zarejestrowana cecha biometryczna zadziała bowiem wyłącznie w połączeniu z procesorem kryptograficznym zintegrowanym z konkretnym egzemplarzem telefonu. Ten sam mechanizm można już od niedawna zastosować nie tylko do odblokowania urządzenia, ale i do uwierzytelniania w zdalnych serwisach internetowych. Zapewnia on zupełnie inny wymiar bezpieczeństwa niż powszechnie stosowane hasła. Dodatkowo jest bardzo wygodny – dodaje Marcin Szary.
Dużo do zrobienia
Niestety, w organizacjach, zarówno w Polsce, jak i na świecie, MFA wprowadzane jest często dopiero wtedy, kiedy mleko już się rozleje. Zwykle w następstwie poważnego incydentu bezpieczeństwa. Akceleratorem mogą być też różnego rodzaju lokalne dyrektywy i regulacje międzynarodowe. Tak było chociażby w przypadku niedawnego rozporządzenia prezydenta Stanów Zjednoczonych Joe Bidena, który narzucił agencjom rządowym konieczność wdrożenia MFA w ciągu 180 dni od jego wydania.
Nieważne jednak, czy jest to gaszenie pożaru po ataku, czy wymogi prawa – prawie zawsze działy bezpieczeństwa mają bardzo ograniczony czas na wdrożenie nowej technologii. Właśnie dlatego tak istotne są działania jednostkowe banków – wiedza i świadomość istnienia najnowocześniejszych, rewolucyjnych sposobów na szybkie, efektywne i wygodne wdrożenie dowolnej metody MFA na dowolnej liczbie aplikacji. Jedynie wtedy banki będą w stanie ochronić się nie tylko przed codziennymi zagrożeniami i cyberincydentami, ale również i tymi identyfikowanymi w związku z konfliktem politycznym.