Raport Specjalny | Trendy Bankowości 2024 | DORA i MFA pomogą bankom uniknąć odszkodowań

Krzysztof Góźdź
Dyrektor sprzedaży dzielący się pasją do nowych technologii i rozwiązań informatycznych. Z wieloletnim doświadczeniem w takich firmach, jak IBM i Hewlett Packard Enterprise, gdzie współtworzył największe w kraju centra danych, portale internetowe i klastry obliczeniowe. W Secfense pomaga organizacjom rozwiązać problem trudnej adopcji silnego uwierzytelniania i toruje drogę do przyszłości bez haseł (passwordless).

Przypomnijmy – rozporządzenie DORA wchodzi w życie 17 stycznia 2025 r. Wszystkich, którzy uważają, że wciąż jest dużo czasu na wdrożenie wymagań wynikających z nowych przepisów, odsyłam do ostatnich doniesień prasowych. Cyberprzestępcy nie ustają w wysiłkach, by wyłudzić dane i w rezultacie także pieniądze od banków i ich klientów. Z raportu Check Point wynika, że atakują oni polskie placówki finansowe średnio 160 razy dziennie.

I o ile swoją własną infrastrukturę banki mają pod kontrolą, o tyle zachowania swoich klientów już nie. A oni na co dzień logują się do systemów bankowych, korzystając z danych uwierzytelniających. Jeśli zostaną one przejęte przez przestępców, klienci tracą pieniądze. A banki są, zgodnie z prawem, zobowiązane do oddania konsumentom skradzionych przez cyberprzestępców środków do końca kolejnego dnia roboczego po otrzymaniu zgłoszenia o nieautoryzowanych transakcjach. Niewywiązanie się z tego obowiązku grozi karą. Problem zatem jest poważny, zwłaszcza biorąc pod uwagę aktualne działania Urzędu Ochrony Konkurencji i Konsumentów. Co jednak ma do tego DORA?

DORA to nie kara, a pomoc dla branży

Trzeba przede wszystkim zaznaczyć, że DORA to nie żaden ciężki obowiązek dla sektora finansowego. Przeciwnie – założeniem rozporządzenia jest zwiększenie bezpieczeństwa i odporności na cyberataki w całej Unii Europejskiej. Proponowane przez ustawodawcę rozwiązania nie krzywdzą w żaden sposób wdrażających je instytucji.

Czego bowiem wymaga DORA? Przede wszystkim przygotowania polityk cyberbezpieczeństwa, implementacji odpowiednich zabezpieczeń (w tym m.in. szyfrowania, uwierzytelniania, kontroli dostępu, monitoringu, narzędzi audytu), wdrożenia procesów wykrywania i zarządzania incydentami związanymi z ICT oraz przygotowania scenariuszy działań na wypadek cyberataku lub innego rodzaju incydentu bezpieczeństwa.

Wiele z tych rozwiązań już funkcjonuje w bankach i innych instytucjach finansowych. Zatem ich rolą jest dziś sprawdzenie, których elementów im brakuje. Czasem będzie chodziło tylko o procedury, niekiedy o nowe rozwiązania. Jednak najważniejsze jest to, by zacząć działać już dziś. I jak znam banki i inne organizacje działające w sektorze finansowym już się skrzętnie przygotowują do tej części zadania.

Jak zabezpieczyć się przed logowaniem za pomocą skradzionych danych?

Podstawowe pytanie jest jednak takie, czy banki są w stanie w jakikolwiek sposób zapanować nad logowaniem do ich systemów z wykorzystaniem skradzionych danych klientów. To niezwykle częsta sytuacja. Konsumenci tracą swoje dane uwierzytelniające, klikając w linki w e-mailach phishingowych i wpisując dane na podstawionych stronach.

Rozwiązaniem tego problemu jest wdrożenie mechanizmów silnego uwierzytelniania (MFA), które są wymagane przez rozporządzenie DORA i rekomendowane przez Komisję Nadzoru Finansowego. MFA to zaawansowana metoda weryfikacji tożsamości użytkownika. Wymaga przeprowadzenia co najmniej dwóch niezależnych, trudnych do podrobienia etapów weryfikacji. Można w nich wykorzystać coś, co użytkownik zna (hasło), posiada (telefon) lub czym jest (biometria). Pozwala bankom uchronić się przed logowaniem za pomocą skradzionych danych uwierzytelniania, bo sam login i hasło, które mogą przejąć cyberprzestępcy, to w przypadku MFA za mało, by dostać się do konta konsumenta.

Wdrożenie MFA może być szybkie i bezbolesne, niewymagające pracy programistów. Wystarczy skorzystać z rozwiązania User Access Security Broker, które umożliwia wprowadzenie MFA na dowolnej aplikacji w 5 minut, a w całej organizacji w 7 do 14 dni.

14 dni na przygotowanie do rozporządzenia DORA? Brzmi dobrze! Sprawdź, jak to rozwiązanie i jego wdrożenie wyglądają w praktyce: secfense.com/pl/demo.