Raport Specjalny | Forum Bezpieczeństwa Banków – Secfense | Pracownicy banków pod ostrzałem cyberprzestępców | Jak ochronić dane klientów, kontrahentów i banku?
Marcin Szary
CTO & współzałożyciel, Secfense
Żeby zrozumieć wyzwania, z jakimi mierzą się dziś przedsiębiorstwa – w tym banki, należy uświadomić sobie, jak bardzo zmienił się przez ostatnie lata nasz sposób pracy. Dawniej każdy bank miał silną, zabezpieczoną sieć wewnętrzną, do której logowali się pracownicy ze służbowych, odpowiednio chronionych komputerów. Każdy, kto dostał się do takiej sieci, traktowany był jak zaufany użytkownik, którego nie trzeba dodatkowo sprawdzać czy kontrolować.
Dziś taka koncepcja, zwana też koncepcją zamku i fosy, już nie działa.
– Żadna sieć firmowa nie jest bezpiecznym zamkiem, do którego nie mają dostępu osoby z zewnątrz. Przeciwnie – rosnąca liczba aplikacji w chmurze, praca z domów i z niezabezpieczonych odpowiednio sieci sprawia, że każdą osobę, która pojawia się w naszej sieci, musimy traktować jak intruza. Takie podejście nazywa się filozofią Zero Trust – tłumaczy Marcin Szary, CTO & cofounder Secfense. – Kluczem do skutecznej ochrony danych banku jest upewnienie się, że wiemy, kim jest użytkownik siedzący po drugiej stronie monitora. Bez tej pewności żadne zabezpieczenia nie są skuteczne.
Problematyczne loginy i hasła
Atakujący dostają się do sieci wewnętrznych, używając skradzionych loginów i haseł m.in. pracowników banków. Zdobywają je, wysyłając maile phishingowe, instalując na komputerach złośliwe oprogramowanie lub wykorzystując niefrasobliwość pracowników.
Dane w tym zakresie są zatrważające. Firma Barracuda podaje, że liczba ataków typu spear-phishing wzrosła od końca lutego 2020 r. o 667%. Z badań Fortinet wynika, że 60% przedsiębiorstw doświadczyło wzrostu liczby prób naruszenia bezpieczeństwa IT podczas przechodzenia na home office. Według Mimecast ataki z wykorzystaniem wiadomości e-mailowych na przedsiębiorstwa wzrosły w 2020 r. aż o 64%.
Cyberprzestępcom pomagają sami pracownicy. Firma Cisco przeprowadziła ankietę wśród 2000 profesjonalistów z 19 krajów regionu EMEAR (Europa, Bliski Wschód, Afryka i Rosja), z której wynika, że 65% pracowników w wieku od 18 do 24 lat oraz 54% w przedziale wiekowym 35-44 lata obchodzi firmowe systemy bezpieczeństwa. Jak? Między innymi używając słabych i łatwych do zapamiętania haseł, przesyłając hasła mailem, dzieląc się nimi ze współpracownikami lub zapisując je w łatwo dostępnych miejscach. Skutek jest jeden – utrata danych uwierzytelniających. IBM w raporcie Cyber Security Intelligence Index wykazuje, że 60% wszystkich ataków przeprowadzanych jest z wewnątrz, czyli z wykorzystaniem danych użytkowników systemów wewnętrznych.
– Rozwiązaniem tego problemu jest odejście od stosowania loginów i haseł jako jedynych danych uwierzytelniających, a z czasem całkowite ich wyeliminowanie w procesie potwierdzania tożsamości użytkownika – dodaje Marcin Szary. – Na dowolne wybieranie i łączenie narzędzi uwierzytelniających oraz ochronę całej organizacji, a także pracownika nie tylko na etapie logowania, ale i użytkowania aplikacji oraz sieci pozwala User Access Security Broker.
2FA to nie wszystko
Zdecydowana większość banków wie, że bez 2FA, czyli dwuskładnikowego uwierzytelniania, wymuszającego na użytkowniku weryfikację w postaci hasła na dwóch różnych urządzeniach, trudno o dobrą ochronę. W prawie każdej organizacji 2FA jest już więc wdrożony. Niestety bardzo rzadko albo nawet nigdy na wszystkich aplikacjach. Globalna adopcja 2FA jest bowiem wyzwaniem, któremu żadna organizacja nie była jeszcze w stanie sprostać.
– Współczesne firmy nie mogą funkcjonować dziś bez modelu zabezpieczeń opartego na Zero Trust, który odpowiednio obsługuje i wspiera pracę zdalną oraz zapewnia bezpieczeństwo ludzi, urządzeń, aplikacji niezależnie od miejsca – podkreśla Marcin Szary z Secfense. – User Access Security Broker pozwala na wdrożenie prawdziwej idei Zero Trust i Passwordless.
Wdrożenie globalnej bezhasłowej strategii może więc odbywać się dziś w prosty i szybki sposób. Pozwalają na to otwarte technologie, które działają synergicznie z dostawcami funkcjonujących już wcześniej 2FA w organizacji.
– Można powiedzieć, że User Access Security Broker wtapia się w istniejące środowisko aplikacji i użytkowników – kontynuuje Marcin Szary. – Daje pełną kontrolę nad całą sesją użytkownika – nie tylko nad fazą uwierzytelniania. Co istotne, uwalnia od tzw. vendor lock-in dostawców 2FA, dzięki czemu najnowsze otwarte standardy, np. takie jak FIDO, są na wyciągnięcie ręki.
Jak działa User Access Security Broker?
Rozwiązanie Secfense znajduje się pomiędzy użytkownikiem a aplikacją, może jednak dać o wiele więcej niż tylko wdrożenie silnego uwierzytelniania na dużą skalę.
Kiedy użytkownik „przechodzi” przez brokera Secfense w procesie logowania, Secfense wytwarza dla niego certyfikat uwierzytelniający i od tego czasu broker Secfense nie traci kontroli nad sesją użytkownika. To pozwala na wprowadzenie czegoś, co wykracza poza silne uwierzytelnianie – czyli continuous authentication (uwierzytelniania ciągłego). Opiera się ono m.in. na mikroautoryzacjach, które pozwalają na wielokrotne uwierzytelnianie użytkownika na każdym etapie jego pracy z chronioną aplikacją. Broker Secfense weryfikuje, czy za ekranem komputera siedzi wciąż ta sama, uwierzytelniona osoba.
Rozwiązanie Secfense jest najszybszą i najłatwiejszą drogą do tzw. Passwordless, czyli procesu uwierzytelniania bez wykorzystania hasła.
– Podejście Secfense do Passwordless polega na tym, że użytkownik nie musi już martwić się o zapamiętywanie, przechowywanie i strzeżenie swojego sekretu. Broker Secfense eliminuje hasło, a w jego miejsce wprowadza bezpieczne i wygodne uwierzytelnianie wsparte kryptografią klucza publicznego. Logowanie do aplikacji staje się tak proste, jak odblokowanie ekranu telefonu, które robimy dziesiątki razy dziennie. Z perspektywy organizacji wprowadzenie passwordless ogranicza się do przekierowania ruchu sieciowego przez Secfense – podsumowuje Marcin Szary.
Rozwiązanie User Access Security Broker wdrożono m.in. w Banku BNP Paribas Polska. Elastyczność, niezależność i skalowalność Secfense sprawia, że coraz więcej firm decyduje się na drogę, która jako jedyna umożliwia podejście do bezpieczeństwa organizacji całościowo, a nie wybiórczo – jedynie dla wybranych aplikacji.
Czas nagli. Gartner przewiduje, że w 2021 r. przedsiębiorstwa, które oferują zdalny dostęp pracowników bez wdrożonego wieloskładnikowego uwierzytelniania, mogą doświadczyć pięciokrotnie więcej incydentów przejęcia kont niż te, które z niego korzystają. Warto o tym pamiętać.