EY StartUp Talk z Secfense i BNP Paribas Polska

Wybrane pytania i odpowiedzi z podcastu EY StartUp Talk z Secfense i BNP Paribas Polska

EY StartUp Talk

EY StartUp Talk to cykliczny program organizowany przez EY Polska w ramach programu EYnovation. Do realizowanych od 2018 roku audycji zapraszane są wiodące firmy technologiczne i organizacje, które wdrożyły innowacyjne rozwiązania. Zaproszeni goście opowiadają jak nowe technologie wpływają na rozwój organizacji.

Secfense jako innowacyjna firma technologiczna została zaproszona do programu EY StartUp Talk wraz ze swoim klientem bankiem BNP Paribas Polska. W programie wzięli udział Leszek Leszek Zalewski, senior security architect w zespole cyberbezpieczeństwa BNP Paribas Polska oraz Tomasz Kowalski, CEO firmy technologicznej Secfense. Program poprowadził Michał Piętka – EYnovation Leader. Cały odcinek zatytułowany EY StartUp Talk: Uwierzytelnienie wieloskładnikowe (MFA) – kierunek zmian czy realna potrzeba dnia dzisiejszego? odsłuchać można na stronach EY. Poniżej znajduje się kilka wybranych fragmentów audycji.

Dlaczego bank BNP Paribas Polska wybrał Secfense?

Michal Piętka: No dobra to uchylmy rąbka tajemnicy i z pewnością nie powiem nic odkrywczego, bowiem rozwiązanie Secfense zostało wdrożone w waszym banku. Co istotnego albo jakie korzyści wnosi do waszej organizacji współpraca z takim podmiotem jak Secfense?

Leszek Zalewski: Produkt firmy Secfense jest na tyle ciekawy, że umożliwia nam zaimplementowanie wieloskładnikowego uwierzytelniania w aplikacjach legacy, czyli aplikacjach, które mamy w naszej infrastrukturze od dawna. To o czym Tomek wspomniał, że niektóre z aplikacji, z których korzystamy na co dzień, oferowanych w formule SaaS mają już opcję uruchomienia składnika dodatkowego uwierzytelnienia, tyle że to są aplikacje, które są rozwijane na bieżąco. Bank, zwłaszcza taki bank jak nasz, który rozwijają się przez wiele lat poprzez akwizycję innych banków posiada w swoim portfolio wewnętrznych aplikacji i dużo z tych aplikacji nich jest rozwijanych już na bieżąco, są w formule archiwalnej aby zapewnić dostęp do informacji, które będą zgodnie z wymaganiami prawnymi niezbędne jeszcze przez wiele, wiele lat a mogą być napisane w technologiach, które nie są już rozwijane. Produkt firmy Secfense może nam pozwolić na zaimplementowanie wieloskładnikowego uwierzytelniania nawet w tych aplikacjach, a dzięki użyciu takiej technologii nie musimy inwestować w rozwój tych aplikacji i podnieść znacząco poziom bezpieczeństwa bez ogromnych inwestycji w bardzo ograniczone zasoby deweloperów aplikacji.

Czy Secfense jest potrzebny gdy mam Windows Hello?

Michal Piętka: No dobra, a zaskoczę Cię, albo spróbuję Cię w takim razie zaskoczyć. Windows Hello… Dlaczego firmy miałyby zdecydować się na wdrożenie waszego rozwiązania skoro komputery wyposażone w Windows 10 już mają tą funkcjonalność, Windows Hello.

Tomasz Kowalski: Wiesz co, Windows Hello jest jakby częścią takiego ekosystemu, który przychodzi z samym Windowsem. No i często nawet nie zdajemy sobie z tego sprawy, że tam taki komponent jest. No tylko zwróć uwagę, że Windows Hello wykorzystywany jest do tego, żeby pomóc Ci się zalogować bezpiecznie do stacji roboczej no i w zasadzie w tej chwili na tym miejscu przygoda z Windows Hello się może skończyć. No bo co z tego, że my się logujemy bezpiecznie do naszej stacji roboczej jak mamy aplikację, do których ktoś może spróbować zalogować się z boku? Więc to przy aplikacji trzeba zbudować takie mechanizmy, które potrafią wykorzystać to, co już masz i wpuścić tego użytkownika, który uwierzytelnił się na przykład raz przy swojej stacji roboczej. Więc mówiąc wprost my budujemy rozwiązanie, które potrafi to lokalne uwierzytelnianie ze stacji roboczej przenieść na cały ekosystem naszych aplikacji w firmie.

Michal Piętka: Czyli podsumowując to jednym słowem – Windows Hello w żadnym wypadku nie wyklucza potrzeby i i możliwości istnienia rozwiązania Secfense?

Tomasz Kowalski: Tak, bo (Windows Hello) jest to jeden ze składników silnego uwierzytelniania, natomiast Secfense jest platformą która pozwala wykorzystać dowolny składnik. Wobec tego dziś mówimy o Windows Hello na komputerze możemy powiedzieć o mechanizmach biometrycznych, które mamy na telefonie. Nieważne, to jest tylko ten komponent, który stanowi czynnik posiadania, albo ten czynnik, którym uwierzytelniamy się, ten dodatkowy składnik. Natomiast Secfense jest taką platformą, która potrafi właśnie ten element wykorzystać do tego, żebyśmy tak samo bezpiecznie mogli się logować do dowolnej korporacyjnej aplikacji.

Dlaczego passwordless to przyszłość logowania?

Leszek Zalewski: Podejście passwordless i rezygnacja z haseł to jest kierunek przyszłości nie tylko według nas, ale także według największych graczy na rynku. Bo chociażby Apple na ostatnich premierach swojego nowego systemu operacyjnego na telefony ujawnił nową funkcję, którą chcieliby rozpowszechniać, która będzie polegała na rezygnacji z haseł przy interakcji z różnymi aplikacjami w internecie. to z naszej perspektywy jest także kierunek, w którym chcielibyśmy podążać wewnątrz organizacji. Tomek wspomniał o hasłach, które mogą być niezmieniane. Ja bym dodał jeszcze proste re-użycie haseł gdzie jako ludzie jesteśmy wygodni i mamy problem z pamiętaniem wielu różnych haseł i nie stosujemy się do zaleceń takich, żeby w każdej aplikacji zwłaszcza pomiędzy życiem prywatnym a służbowym używać innych haseł i eliminacja haseł z naszego życia na pewno ułatwi nam podniesienie poziomu bezpieczeństwa.

Jak wybrać dostawcę cyberbezpieczeństwa

Michał Piętka: Jakie czynniki decydują o tym, na jakiego dostawcę technologii powinniśmy się zdecydować?

Leszek Zalewski: To jest według mnie bardzo skomplikowane pytanie i ciężko odpowiedzieć w jednym zdaniu. Na rynku jest bardzo dużo dużych firm, które od lat dostarczają rozwiązania z zakresu cyberbezpieczeństwa. Jest też bardzo dużo startupów, które są dużo bardziej elastyczne i dostarczają swoje produkty bardziej wycelowane w konkretne nisze, których może brakować na rynku i jest to trudne zadanie. My jako bank mamy to szczęście, że mamy zespół ludzi, którzy mogą zająć się weryfikacją dostępnych rozwiązań i sprawdzeniem tego, czy te rozwiązania pasują do naszych potrzeb i zweryfikować, czy obiecane funkcjonalności naprawdę pokrywają się z tym, co jest w ulotkach reklamowych.

Jak często pracownik używa 2FA w ciągu dnia?

Leszek Zalewski: Częstotliwość koniecznego uwierzytelnienia ponownego i wykorzystania drugiego składnika głównie zależy od wrażliwości danych, które zawiera dana aplikacja. Jeśli aplikacja zawiera dane, które nie są często modyfikowane nie dotyczą danych finansowych czy danych poufnych naszych klientów jest to w troszeczkę mniejszym interwale. W momencie, kiedy mówimy o aplikacjach, które mogą obsługiwać transakcje jest to już troszeczkę inne wymaganie co do zabezpieczenia i tutaj jest to dużo częściej. Ale staraliśmy się wypośrodkować bezpieczeństwo w używaniu z używalnością i wydaje mi się, że do tej pory nasi pracownicy są zadowoleni z tego, co udało nam się osiągnąć.

Jak wygląda onboarding 2FA w dużej organizacji?

Leszek Zalewski: W tym wypadku jest to tak, że jest to troszeczkę szersze niż pojedyncza komunikacja. Staramy się cały czas podnosić na bieżąco poziom wiedzy na temat bezpieczeństwa informatycznego wśród naszych pracowników. Nie tylko wśród pracowników działów IT, ale zwłaszcza wśród pracowników, którzy mają kontakt z klientem, którzy w razie czego mogą także ostrzec klienta o zagrożeniach, na które może być on narażony. Jeśli chodzi o samo wdrożenie aplikacji tutaj przeprowadziliśmy kilka akcji awareness-owych i oczywiście nie zrobiliśmy tego jedną wielką nawałnicą nowych powiadomień a raczej podeszliśmy do tego w ten sposób, że implementacja wieloskładnikowego uwierzytelniania była wprowadzana powoli na kolejnych aplikacjach o różnej wrażliwości i za każdym razem informacja dedykowana była dla tylko tych pracowników, których to dotknie, ponieważ uważam, że przesycanie komunikatami powoduje co najwyżej to, że maile czy notyfikacje trafiają tylko do śmietnika i nie są czytane. Dlatego też chcieliśmy także podejść do tego w ten sposób, żeby ograniczyć ilość komunikatów, a także zorganizować możliwość zadania pytań przez pracowników. Jeśli są ciekawi tego rozwiązania, czy mają jakieś wątpliwości. Przez długi czas rozmawialiśmy zarówno z właścicielami produktów, które będą dotknięte wdrożeniem nowych rozwiązań i słuchaliśmy także ich uwag i zastrzeżeń także mieliśmy tutaj ogromne wsparcie ze strony Tomka i jego zespołu w tym, że słuchali bardzo uważnie naszych uwag sugestii i bardzo szybko wprowadzali modyfikacje do produktu , które wydaje mi się były z benefitem nie tylko dla nas, ale także dla jakości ich produktu.

Antoni takes care of all the marketing content that comes from Secfense. Czytaj więcej

Polecane artykuły

Bądźmy w kontakcie

Czytaj więcej

Wprowadzenie do Passkeys – nagranie z SEMAFORa

Prezentacja Bartka Cieszewskiego i Damian Kuźma na konferencji Semafor Autor: Bartosz Cieszewski | Solutions Architect w Secfense W marcu tego roku miałem zaszczyt współprezentować z…
Avatar of Antoni Sikora Antoni Sikora

READ TIME 2 MIN

EMS Partner certyfikowanym partnerem firmy Secfense

Secfense i EMS Partner zacieśniają współpracę. Integrator uzyskał certyfikaty w obszarze technologii Secfense Suite. Obie firmy współdziałają od maja 2023 roku, kiedy to EMS Partner…
Avatar of Antoni Sikora Antoni Sikora

READ TIME 2 MIN

Secfense – Najciekawsza innowacja dla sektora finansowego

Gala Liderów Świata Bankowości i Ubezpieczeń Gala Liderów Świata Bankowości i Ubezpieczeń to prestiżowe wydarzenie w Polsce, mające na celu docenienie osób i firm, które…
Avatar of Antoni Sikora Antoni Sikora

READ TIME 2 MIN

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.