UKNF o wieloskładnikowym uwierzytelnieniu klientów w systemach informatycznych firm inwestycyjnych

UKNF o wieloskładnikowym uwierzytelnieniu klientów w systemach informatycznych firm inwestycyjnych
Fot. stock.adobe.com/MOZCO Mat Szymański
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Urząd Komisji Nadzoru Finansowego wydał w czwartek 30 czerwca 2022 roku komunikat w sprawie wieloskładnikowego uwierzytelnienia klientów w systemach informatycznych firm inwestycyjnych.

Urząd Komisji Nadzoru Finansowego obserwując rozwój elektronicznych kanałów dostępu do usług świadczonych na rynku kapitałowym przez firmy inwestycyjne zwraca uwagę na rosnące znaczenie cyberbezpieczeństwa. Jest to szczególnie istotne wobec obserwowanej intensyfikacji działań cyberprzestępców, a także ryzyka ataków na systemy teleinformatyczne w związku z wojną w Ukrainie, czytamy w komunikacie UKNF.

W ocenie Urzędu konieczne jest podejmowanie działań w interesie klientów firm inwestycyjnych, które podnosząc poziom bezpieczeństwa istniejących rozwiązań dostarczanych klientom ‒ zwiększają tym samym bezpieczeństwo ich środków finansowych i aktywów.

Czytaj także: Polski pomysł na organizacje wolne od zagrożeń związanych z kradzieżą haseł

Co najmniej dwuskładnikowe uwierzytelnienie

Jednym z rozwiązań, które niewątpliwie przyczyni się do podniesienia poziomu bezpieczeństwa środków i aktywów klientów jest silne, wieloskładnikowe – co najmniej dwuskładnikowe – uwierzytelnianie klientów w systemach informatycznych – uważa UKNF.

Takie uwierzytelnienie powinno obejmować co najmniej: dodanie urządzenia, z którego uzyskiwany jest dostęp do elektronicznego kanału dostępu, do listy urządzeń zaufanych; logowanie do zdalnego kanału dostępu z nowego urządzenia (przed dodaniem urządzenia do listy urządzeń zaufanych); zmianę hasła logowania; zmianę danych osobowych klienta, w tym numeru telefonu; realizację przelewów zewnętrznych; ustalenie odbiorców zaufanych; ustalenie przelewów zdefiniowanych.

Czytaj także: MFA i zalety uwierzytelniania adaptacyjnego. Poszukiwanie równowagi między cybersecurity i user experience

Konsekwencje braku mechanizmu zabezpieczającego

Rozwiązanie to powinno dotyczyć wszelkich systemów (w tym mobilnych), do których klienci mają dostęp zdalny – zaleca UKNF.

Zauważa jednocześnie, że brak takiego mechanizmu zabezpieczającego jest z punktu widzenia UKNF źródłem istotnych ryzyk, zarówno dla firm inwestycyjnych, jak i ich klientów.

Czytaj także: PSD2: jeśli nie zareagujesz, nie będziesz mógł korzystać z bankowości elektronicznej

Źródło: Urząd Komisji Nadzoru Finansowego / UKNF