Raport Specjalny | Bezpieczeństwo Instytucji Finansowych – YUBICO | DORA i inne rozporządzenia unijne dotyczące bezpieczeństwa w sieci
– Przez lata eksperci ds. cyberbezpieczeństwa jak mantrę powtarzali, że hasła to najsłabsza metoda uwierzytelniania. Jako dobrą alternatywę podawali uwierzytelnianie dwuskładnikowe 2FA, oparte m.in. na powiadomieniach push czy SMS-ach – mówi Tomasz Kowalski, CEO i współzałożyciel Secfense, firmy, która opracowała technologię User Access Security Broker pozwalającą na szybkie, nieingerujące w kod firmowych aplikacji wdrożenie uwierzytelniania chroniącego przed phishingiem. – Niestety i te wkrótce okazały się nieodporne na wysublimowane sposoby stosowane przez cyberprzestępców, którzy skutecznie żerują na naszych słabych i czułych punktach.
Boleśnie przekonał się o tym ostatnio Uber, który uwierzytelnianie użytkowników oparł, zamiast na FIDO2 czy fizycznych kluczach bezpieczeństwa, na podatnych na socjotechnikę powiadomieniach push. Oszukany pracownik Ubera wpuścił cyberprzestępców do korporacyjnej sieci i wywołał tym samym kryzys wizerunkowy giganta.
Jeśli więc instytucjom finansowym zależy na najwyższym poziomie bezpieczeństwa, muszą nie tylko korzystać z MFA, ale przede wszystkim wybierać te metody, które dają prawdziwą ochronę przed phishingiem. Mowa tu o FIDO2, czyli uwierzytelnianiu z wykorzystaniem biometrii twarzy, kciuka lub fizycznych kluczy sprzętowych.
Digital Operational Resilience Act
DORA (Digital Operational Resilience Act) to najnowszy, porządkujący wcześniejsze unijne przepisy akt na temat bezpieczeństwa. Zawiera m.in. rekomendacje dotyczące autoryzacji użytkowników. W akcie utrzymany zostaje dla podmiotów finansowych obowiązek”(…) wdrażania polityk i protokołów dotyczących mechanizmów silnego uwierzytelniania w oparciu o odpowiednie normy i dedykowane systemy kontroli oraz klucze kryptograficzne”.
– Klucze Yubikey są wygodnym rozwiązaniem podnoszącym bezpieczeństwo autentykacji. Oprócz hasła lub PIN-u, który jest tzw. pierwszym składnikiem logowania, użytkownik musi mieć przy sobie również drugi składnik, czyli fizyczny, sprzętowy klucz. Jest to doskonałe zabezpieczenie przed phishingiem, czyli przechwyceniem loginu i hasła przez osoby trzecie. Nawet jeśli te dane zostaną przez potencjalnego włamywacza przejęte i zadziała kod SMS, to nadal nie będzie on w stanie zalogować się nigdzie bez sprzętowego klucza – podkreśla Marcin Majchrzak, Regionalny Dyrektor Sprzedaży Yubico.
Sprawdzam, kto po drugiej stronie
Ustawa DORA wymaga od banków bezpieczeństwa cyfrowego, sieciowego i chmurowego, a także odpowiedniego zabezpieczenia poczty elektronicznej. Kontrola logowania w tych obszarach jest często najważniejszym bastionem ochrony przed zagrożeniami. Dlatego instytucje finansowe powinny na tym właśnie aspekcie skupić się najmocniej i zainwestować w najskuteczniejsze mechanizmy, które dają pewność, kto znajduje się po drugiej stronie monitora. Muszą wiedzieć, czy jest to pracownik, czy może złodziej, któremu udało się wykraść login i hasło.
– Do tej pory dla banków, czyli dużych organizacji z rozbudowaną infrastrukturą, kompleksowe i oparte na najskuteczniejszych metodach wdrożenie MFA było trudne, a często nawet niemożliwe do zrealizowania – dodaje Tomasz Kowalski. – Właśnie dlatego opracowaliśmy narzędzie, którego dotąd brakowało. User Access Security Broker w pełni automatyzuje proces wdrożenia MFA, umożliwiając szybkie i łatwe uruchomienie silnego uwierzytelniania na dowolnej liczbie aplikacji bez ingerencji w kod. Zawsze rekomendujemy najskuteczniejsze metody, obecnie jest to oparty na uwierzytelnianiu biometrycznym standard FIDO2.
Dzięki możliwościom, jakie daje opracowana przez Secfense technologia oraz MFA oparte na FIDO2, polskie banki będą ważnym podmiotem w budowaniu odporności cyfrowego unijnego systemu finansowego. Takie same rozwiązania powinny jednak wziąć pod uwagę nie tylko instytucje finansowe, ale też wszystkie te, które z nimi współpracują. Przepisy DORA bowiem obowiązują nie tylko sektor finansowy, ale również firmy, które dostarczają mu technologię.