Zmiany w Dyrektywie w Sprawie Usług Płatniczych: wielostopniowa autoryzacja ma zwiększyć bezpieczeństwo
Ogłoszona w maju 2015 roku druga wersja Dyrektywy Komisji Europejskiej w Sprawie Usług Płatniczych (PSD2) to ważny, pierwszy krok w podnoszeniu poziomu bezpieczeństwa instytucji finansowych. Ma ona na celu wprowadzenie "silnych metod autoryzacji", zdefiniowanych jako wykorzystujące co najmniej dwuskładnikową autoryzację, w której każdy z elementów jest od siebie niezależny.
W ostatnich latach osoby odpowiedzialne za cyberbezpieczeństwo musiały znaleźć odpowiedź na coraz bardziej wyrafinowane i nieszablonowe zagrożenia. W rezultacie dwuskładnikowa autoryzacja stała się już standardem dla wielu usług bankowych i finansowych. Nowy raport Research and Markets wskazuje, że wartość rynku wieloskładnikowego uwierzytelniania (w tym wiodącej prym w zestawieniu autoryzacji dwuskładnikowej) wzrośnie z 3.6 miliarda dolarów w 2014 roku do 9.6 miliarda dolarów w roku 2020.
Słabe hasło w służbie oszusta
Połączenie faktu posiadania (czegoś, co należy do użytkownika – np. telefonu, karty lub tokena) z wiedzą (czymś, co użytkownik zna, np. hasło lub kod PIN) lub biometrią (unikatową cechą fizyczną użytkownika, np. odcisk palca lub skan siatkówki oka), ma na celu zwiększenie bezpieczeństwa transakcji online i danych zarówno dla końcowych użytkowników, jak i dla samych banków i innych instytucji.
Dwuskładnikowa autoryzacja bez wątpienia zwiększa bezpieczeństwo, jednak metoda ta nie jest wolna od wad. Badania przeprowadzone przez Kaspersky Lab pokazują niepokojące statystyki. Wynika z nich, że niemal połowa Europejczyków ujawnia swoje hasła osobom trzecim – najczęściej rodzinie oraz współpracownikom. Dodatkowo, 38 proc. badanych używa tylko jednego adresu e-mail do większości usług. Ponadto, zaledwie 60 proc. respondentów używa silnych haseł dla serwisów bankowości online, a nieco ponad 40 proc. dla poczty elektronicznej. Niska świadomość użytkowników dot. bezpieczeństwa w sieci w połączeniu z coraz częściej wykorzystywaną w atakach socjotechniką sprawiają, że dla doświadczonych hakerów przebicie się przez warstwę autoryzacyjną może nie stanowić większego problemu. Co więcej, dwuskładnikowa autoryzacja jest znacznie prostsza do złamania niż zabezpieczenia wielowarstwowe, dlatego firmy i instytucje finansowe mogą wiele zyskać na ich wprowadzeniu. Szczególnie w odniesieniu do danych wrażliwych, których bezpieczeństwo jest kluczowe w dzisiejszym, zdominowanym przez Internet i urządzenia mobilne, świecie – mówi Katarzyna Hoffmann-Sielicka z HID Global.
Komisja Europejska chce bezpieczeństwa
Wprowadzone przez dyrektywę PSD2 pojęcie „silnej autoryzacji” znacząco różni się od tradycyjnego pojęcia dwuskładnikowego uwierzytelniania – przede wszystkim każda transakcja lub próba autoryzacji musi być możliwa do przyporządkowania konkretnej osobie lub firmie. Ponadto, przed otwarciem konta w instytucji finansowej czy płatniczej, każda osoba lub instytucja musi przejść weryfikację w systemach zapobiegających praniu brudnych pieniędzy i finansowaniu terroryzmu. Przepisy te zostały wprowadzone do obowiązkowych wytycznych Europejskiego Banku Centralnego, co ma skutkować znacznie silniejszą i dokładniejszą lustracją użytkowników, chcących otrzymać dostęp do danego konta.
Poza tradycyjną autoryzacją (posiadanie i wiedza jako czynniki weryfikujące), dyrektywa PSD2 wprowadza dodatkowy składnik – czyli fizyczne, niepodrabialne cechy, unikalne dla każdego użytkownika (biometria). Według przewidywań Markets and Markets wartość światowego rynku zabezpieczeń biometrycznych do 2020 roku wyniesie 24.4 miliarda dolarów, zatem wraz z dyrektywą PSD2 przyszedł korzystny czas dla instytucji finansowych, które chcą zwiększyć bezpieczeństwo swoich danych.
Dyrektywa PSD2 ma zachęcić i wymóc na organizacjach finansowych wprowadzenie takich strategii bezpieczeństwa, które będą zarówno skalowalne, jak i opłacalne, przy równoczesnym zapewnieniu bezpieczeństwa danych klientów na najwyższym możliwym poziomie. Aby osiągnąć jak największy poziom „szczelności”, można wprowadzić wielopoziomową autoryzację. Kolejne warstwy uwierzytelniania opierają się na tradycyjnych metodach, autoryzacji użytkownika i urządzenia, dodających jednocześnie kolejne poziomy, oparte na systemach sprawdzania integralności przeglądarek internetowych lub aplikacji. Przy zwiększaniu bezpieczeństwa danych użytkowników, instytucje finansowe staną się – niejako przy okazji – mniej wrażliwe na ataki oszustów, co pozwoli nie tylko na zaoszczędzenie pieniędzy, ale także ochronę reputacji – tłumaczy Katarzyna Hoffmann-Sielicka.
Dla każdej organizacji zapewnienie bezpieczeństwa swoich danych powinno stanowić najwyższy priorytet. Dla banków i innych instytucji finansowych konieczność ta zdaje się być jeszcze wyższa. Druga Wersja Dyrektywy w Sprawie Usług Płatniczych (PSD2) stanowi niezbity dowód na to, że Komisja Europejska uważa wprowadzenie silnych metod autoryzacji za kluczowe i niezwykle ważne jest, aby europejski biznes również dostrzegł tę potrzebę. Dwuskładnikowe uwierzytelniane jest efektywne, jednak ma swoje ograniczenia. Poprzez dodanie trzeciego składnika i wprowadzenie „warstwowych” strategii zabezpieczeń, banki i inne instytucje finansowe mogą znacznie podnieść bezpieczeństwo swoich danych. Niestety, wiąże się to z pewnymi ustępstwami jeśli chodzi o wygodę użytkowników końcowych, jednak na dłuższą metę koszt zastosowania się do nowych wytycznych będzie stosunkowo niski w porównaniu z uzyskanym poziomem bezpieczeństwa.
Źródło: HID Global