“Bo tam były pieniądze” – tak w filmie Vabank Henryk Kwinto odpowiada na pytanie, dlaczego “zrobił” tyle banków. I niestety, nie wszyscy włamywacze wchodzą do skarbców z tak etycznych pobudek, jak te opisane w doskonałej produkcji Juliusza Machulskiego. Za to wielu przygotowuje się w równie drobiazgowy sposób, a dysponując kompleksową wiedzą i narzędziami, okazuje się tak samo skutecznymi. Czy przyszłość bez haseł to właściwy kierunek aby zabezpieczyć banki i ich klientów przed nowoczesnymi włamywaczami?
Phishing, czyli nowoczesny włam
I dzisiaj osiągają oni ten sam rezultat bez podkopów, wysadzeń i stetoskopów, a – przykładowo – za pomocą phishingu, wireless sniffingu czy ataków typu Man-in-the-Middle. To znaczy mogą podawać się za zaufane instytucje i prosić o przekazanie naszych danych, w tym loginów i haseł, podsłuchiwać transmisję w sieciach Wi-Fi i odczytywać przesyłane tam loginy oraz hasła, a także podszywać się pod odwiedzane serwisy, przechwytywać ruch i wykorzystywać zdobyte w ten sposób dane do nieautoryzowanego dostępu.
Banki a cyberbezpieczeństwo
Na szczęście instytucje finansowe zdają sobie sprawę, że zawsze były i nadal są łakomym kąskiem dla włamywaczy. I nie chodzi tylko o te wymienione przez Kwinto możliwe do skradzenia pieniądze. Wyciek danych może wiązać się z wysokimi karami nakładanymi przez instytucje nadzorujące, RODO i KNF, a sama tylko informacja o udanym włamaniu na pewno wpłynie na prestiż banku, co spowoduje odejścia klientów i mniejsze zainteresowanie ze strony inwestorów. Dlatego banki wdrażają coraz bardziej zaawansowane procedury i narzędzia podnoszące bezpieczeństwo. Jako klienci musimy autoryzować płatności kartami, co zostało zapisane w unijnej dyrektywie PSD2 (Revised Payment Services Directive). Wiele innych operacji finansowych wymaga dodatkowego ich potwierdzania, za pomocą SMS’ów, kodów wysyłanych e-mailem czy przy użyciu dedykowanych aplikacji na smartphonach. Czyli – poza wcześniejszym zalogowaniem się na nasze konta – korzystamy z tzw. drugiego składnika uwierzytelniania, a taka 2-etapowa operacja nazywana jest silnym uwierzytelnianiem.
Forum Bezpieczeństwa Banków i przyszłość bez haseł
Mamy więc zabezpieczoną pewną część sytuacji, w których może dojść do nadużyć. A ponieważ wiadomo, że każdy system jest tak bezpieczny, jak jego najsłabsze ogniwo, zastanówmy się, czy podobne silne uwierzytelnianie stosujemy w przypadku wszystkich aplikacji webowych, z jakich korzystają klienci, pracownicy czy współpracownicy banku.
Na początku maja uczestniczyliśmy w konferencji Forum Bezpieczeństwa Banków. Przy tej okazji przedstawiliśmy, jak w prosty i szybki sposób, nie modyfikując istniejących aplikacji wdrożyć omawiane zabezpieczenia w całej organizacji.
W ciągu kilkunastu minut pokazaliśmy, jak działa opracowane przez nas rozwiązanie i zademonstrowaliśmy jego wdrożenie na przykładzie portalu organizatorów konferencji.
Odpowiedzieliśmy też na najczęściej zadawane pytania i zaprosili do kontaktu z nami.
Serdecznie zapraszamy do zapoznania się z materiałem filmowym z konferencji poprzez kliknięcie w powyższe obrazy.
Antoni Sikora 