EY StartUp Talk
EY StartUp Talk to cykliczny program organizowany przez EY Polska w ramach programu EYnovation. Do realizowanych od 2018 roku audycji zapraszane są wiodące firmy technologiczne i organizacje, które wdrożyły innowacyjne rozwiązania. Zaproszeni goście opowiadają jak nowe technologie wpływają na rozwój organizacji.
Secfense jako innowacyjna firma technologiczna została zaproszona do programu EY StartUp Talk wraz ze swoim klientem bankiem BNP Paribas Polska. W programie wzięli udział Leszek Leszek Zalewski, senior security architect w zespole cyberbezpieczeństwa BNP Paribas Polska oraz Tomasz Kowalski, CEO firmy technologicznej Secfense. Program poprowadził Michał Piętka – EYnovation Leader. Cały odcinek zatytułowany EY StartUp Talk: Uwierzytelnienie wieloskładnikowe (MFA) – kierunek zmian czy realna potrzeba dnia dzisiejszego? odsłuchać można na stronach EY. Poniżej znajduje się kilka wybranych fragmentów audycji.
Dlaczego bank BNP Paribas Polska wybrał Secfense?
Michal Piętka: No dobra to uchylmy rąbka tajemnicy i z pewnością nie powiem nic odkrywczego, bowiem rozwiązanie Secfense zostało wdrożone w waszym banku. Co istotnego albo jakie korzyści wnosi do waszej organizacji współpraca z takim podmiotem jak Secfense?
Leszek Zalewski: Produkt firmy Secfense jest na tyle ciekawy, że umożliwia nam zaimplementowanie wieloskładnikowego uwierzytelniania w aplikacjach legacy, czyli aplikacjach, które mamy w naszej infrastrukturze od dawna. To o czym Tomek wspomniał, że niektóre z aplikacji, z których korzystamy na co dzień, oferowanych w formule SaaS mają już opcję uruchomienia składnika dodatkowego uwierzytelnienia, tyle że to są aplikacje, które są rozwijane na bieżąco. Bank, zwłaszcza taki bank jak nasz, który rozwijają się przez wiele lat poprzez akwizycję innych banków posiada w swoim portfolio wewnętrznych aplikacji i dużo z tych aplikacji nich jest rozwijanych już na bieżąco, są w formule archiwalnej aby zapewnić dostęp do informacji, które będą zgodnie z wymaganiami prawnymi niezbędne jeszcze przez wiele, wiele lat a mogą być napisane w technologiach, które nie są już rozwijane. Produkt firmy Secfense może nam pozwolić na zaimplementowanie wieloskładnikowego uwierzytelniania nawet w tych aplikacjach, a dzięki użyciu takiej technologii nie musimy inwestować w rozwój tych aplikacji i podnieść znacząco poziom bezpieczeństwa bez ogromnych inwestycji w bardzo ograniczone zasoby deweloperów aplikacji.
Czy Secfense jest potrzebny gdy mam Windows Hello?
Michal Piętka: No dobra, a zaskoczę Cię, albo spróbuję Cię w takim razie zaskoczyć. Windows Hello… Dlaczego firmy miałyby zdecydować się na wdrożenie waszego rozwiązania skoro komputery wyposażone w Windows 10 już mają tą funkcjonalność, Windows Hello.
Tomasz Kowalski: Wiesz co, Windows Hello jest jakby częścią takiego ekosystemu, który przychodzi z samym Windowsem. No i często nawet nie zdajemy sobie z tego sprawy, że tam taki komponent jest. No tylko zwróć uwagę, że Windows Hello wykorzystywany jest do tego, żeby pomóc Ci się zalogować bezpiecznie do stacji roboczej no i w zasadzie w tej chwili na tym miejscu przygoda z Windows Hello się może skończyć. No bo co z tego, że my się logujemy bezpiecznie do naszej stacji roboczej jak mamy aplikację, do których ktoś może spróbować zalogować się z boku? Więc to przy aplikacji trzeba zbudować takie mechanizmy, które potrafią wykorzystać to, co już masz i wpuścić tego użytkownika, który uwierzytelnił się na przykład raz przy swojej stacji roboczej. Więc mówiąc wprost my budujemy rozwiązanie, które potrafi to lokalne uwierzytelnianie ze stacji roboczej przenieść na cały ekosystem naszych aplikacji w firmie.
Michal Piętka: Czyli podsumowując to jednym słowem – Windows Hello w żadnym wypadku nie wyklucza potrzeby i i możliwości istnienia rozwiązania Secfense?
Tomasz Kowalski: Tak, bo (Windows Hello) jest to jeden ze składników silnego uwierzytelniania, natomiast Secfense jest platformą która pozwala wykorzystać dowolny składnik. Wobec tego dziś mówimy o Windows Hello na komputerze możemy powiedzieć o mechanizmach biometrycznych, które mamy na telefonie. Nieważne, to jest tylko ten komponent, który stanowi czynnik posiadania, albo ten czynnik, którym uwierzytelniamy się, ten dodatkowy składnik. Natomiast Secfense jest taką platformą, która potrafi właśnie ten element wykorzystać do tego, żebyśmy tak samo bezpiecznie mogli się logować do dowolnej korporacyjnej aplikacji.
Dlaczego passwordless to przyszłość logowania?
Leszek Zalewski: Podejście passwordless i rezygnacja z haseł to jest kierunek przyszłości nie tylko według nas, ale także według największych graczy na rynku. Bo chociażby Apple na ostatnich premierach swojego nowego systemu operacyjnego na telefony ujawnił nową funkcję, którą chcieliby rozpowszechniać, która będzie polegała na rezygnacji z haseł przy interakcji z różnymi aplikacjami w internecie. to z naszej perspektywy jest także kierunek, w którym chcielibyśmy podążać wewnątrz organizacji. Tomek wspomniał o hasłach, które mogą być niezmieniane. Ja bym dodał jeszcze proste re-użycie haseł gdzie jako ludzie jesteśmy wygodni i mamy problem z pamiętaniem wielu różnych haseł i nie stosujemy się do zaleceń takich, żeby w każdej aplikacji zwłaszcza pomiędzy życiem prywatnym a służbowym używać innych haseł i eliminacja haseł z naszego życia na pewno ułatwi nam podniesienie poziomu bezpieczeństwa.
Jak wybrać dostawcę cyberbezpieczeństwa
Michał Piętka: Jakie czynniki decydują o tym, na jakiego dostawcę technologii powinniśmy się zdecydować?
Leszek Zalewski: To jest według mnie bardzo skomplikowane pytanie i ciężko odpowiedzieć w jednym zdaniu. Na rynku jest bardzo dużo dużych firm, które od lat dostarczają rozwiązania z zakresu cyberbezpieczeństwa. Jest też bardzo dużo startupów, które są dużo bardziej elastyczne i dostarczają swoje produkty bardziej wycelowane w konkretne nisze, których może brakować na rynku i jest to trudne zadanie. My jako bank mamy to szczęście, że mamy zespół ludzi, którzy mogą zająć się weryfikacją dostępnych rozwiązań i sprawdzeniem tego, czy te rozwiązania pasują do naszych potrzeb i zweryfikować, czy obiecane funkcjonalności naprawdę pokrywają się z tym, co jest w ulotkach reklamowych.
Jak często pracownik używa 2FA w ciągu dnia?
Leszek Zalewski: Częstotliwość koniecznego uwierzytelnienia ponownego i wykorzystania drugiego składnika głównie zależy od wrażliwości danych, które zawiera dana aplikacja. Jeśli aplikacja zawiera dane, które nie są często modyfikowane nie dotyczą danych finansowych czy danych poufnych naszych klientów jest to w troszeczkę mniejszym interwale. W momencie, kiedy mówimy o aplikacjach, które mogą obsługiwać transakcje jest to już troszeczkę inne wymaganie co do zabezpieczenia i tutaj jest to dużo częściej. Ale staraliśmy się wypośrodkować bezpieczeństwo w używaniu z używalnością i wydaje mi się, że do tej pory nasi pracownicy są zadowoleni z tego, co udało nam się osiągnąć.
Jak wygląda onboarding 2FA w dużej organizacji?
Leszek Zalewski: W tym wypadku jest to tak, że jest to troszeczkę szersze niż pojedyncza komunikacja. Staramy się cały czas podnosić na bieżąco poziom wiedzy na temat bezpieczeństwa informatycznego wśród naszych pracowników. Nie tylko wśród pracowników działów IT, ale zwłaszcza wśród pracowników, którzy mają kontakt z klientem, którzy w razie czego mogą także ostrzec klienta o zagrożeniach, na które może być on narażony. Jeśli chodzi o samo wdrożenie aplikacji tutaj przeprowadziliśmy kilka akcji awareness-owych i oczywiście nie zrobiliśmy tego jedną wielką nawałnicą nowych powiadomień a raczej podeszliśmy do tego w ten sposób, że implementacja wieloskładnikowego uwierzytelniania była wprowadzana powoli na kolejnych aplikacjach o różnej wrażliwości i za każdym razem informacja dedykowana była dla tylko tych pracowników, których to dotknie, ponieważ uważam, że przesycanie komunikatami powoduje co najwyżej to, że maile czy notyfikacje trafiają tylko do śmietnika i nie są czytane. Dlatego też chcieliśmy także podejść do tego w ten sposób, żeby ograniczyć ilość komunikatów, a także zorganizować możliwość zadania pytań przez pracowników. Jeśli są ciekawi tego rozwiązania, czy mają jakieś wątpliwości. Przez długi czas rozmawialiśmy zarówno z właścicielami produktów, które będą dotknięte wdrożeniem nowych rozwiązań i słuchaliśmy także ich uwag i zastrzeżeń także mieliśmy tutaj ogromne wsparcie ze strony Tomka i jego zespołu w tym, że słuchali bardzo uważnie naszych uwag sugestii i bardzo szybko wprowadzali modyfikacje do produktu , które wydaje mi się były z benefitem nie tylko dla nas, ale także dla jakości ich produktu.
