Raport specjalny. Bezpieczeństwo banków: Nowe przepisy wymuszą zmiany również w obszarze IT

BANK 2018/04

Rozmowa z Marcinem Spychałą, Cyber Security Architectem w IBM PolskaIgor Lagenda

Nadchodzący rok przyniesie kolejne zmiany w obszarze regulacji dla banków i całej gospodarki. Co może okazać się największym wyzwaniem dla sektora finansowego i czy banki faktycznie mogą mieć powody do obaw?

– Patrząc na problem ze strony prawnej czy compliance, instytucje finansowe faktycznie nie muszą obawiać się natłoku zmian regulacyjnych, jakie przyniesie bądź już przyniósł ten rok. Sektor bankowy jest branżą, która od lat zdobywa coraz większe doświadczenie w dostosowywaniu się do wielu aktów prawnych i zaleceń nadzorczych równocześnie, tak więc sama adaptacja na płaszczyźnie regulacyjno-procesowej nie powinna stanowić dla banków istotnego problemu. Warto jednak przypomnieć, że tegoroczne zmiany w przepisach oznaczają znacznie więcej aniżeli tylko wdrożenie nowych procesów bądź aktualizację dotychczasowych. Najważniejsze zmiany, w przypadku takich regulacji jak RODO, będą musiały nastąpić w warstwie informatycznej przedsiębiorstw, nie tylko zresztą tych z branży bankowości i finansów. To właśnie ta sfera najczęściej nie nadąża za rozwojem rynku czy ewolucją otoczenia regulacyjnego, czego najlepszym przykładem są właśnie narastające problemy z ochroną danych osobowych.

Jednym z głównych powodów, dla których Unia Europejska zdecydowała się na gruntowną przebudowę modelu ochrony danych osobowych, po przeszło dwudziestu latach od uchwalenia dotychczas obowiązującej ustawy o ochronie danych osobowych, było szalone tempo wzrostu liczby naruszeń ochrony danych na przestrzeni ostatnich kilku lat. Co gorsza, wiele instytucji, które zostały dotknięte wyciekiem zasadniczo nie jest w stanie określić dokładnej liczby klientów, których dane mogły przedostać się w niepowołane ręce. Nieprzypadkowo na ten właśnie aspekt RODO zwraca szczególną uwagę, zrywając z modelem, w którym odpowiedzialność administratorów danych sprowadza się zasadniczo do uruchomienia stosownych procesów i zastosowania wytycznych zgodnych z obowiązującym prawem. W myśl ogólnego rozporządzenia o ochronie danych przedsiębiorcy muszą być gotowi na uruchomienie wszystkich konsekwencji ewentualnego wycieku w ciągu 72 godzin. A konsekwencje te nie ograniczają się jedynie do zgłoszenia faktu naruszenia organowi ochrony danych, ale oznaczają również konieczność poinformowania wszystkich osób, których dane dotyczą, nawet jeżeli są ich setki tysięcy. A to już jest całkiem poważne przedsięwzięcie logistyczno-operacyjne, którego nie da się przeprowadzić bez odpowiednich zmian w obszarze informatycznym danej instytucji.

Sam proces, podobnie jak dotychczas, dalej będzie mieścić się na kartce papieru, ale jego regularna egzekucja stanowić będzie nie lada wyzwanie. Podobnie będzie wyglądać realizacja takich powinności wynikających z RODO, jak prawo do bycia zapomnianym, które notabene nie jest niczym nowym w europejskim modelu ochrony prywatności. Trzeba się jednak liczyć, że wraz z rosnącą świadomością społeczeństwa w tym zakresie, do czego bez wątpienia przyczyni się medialna wrzawa wokół RODO, podmioty funkcjonujące na rynku będą coraz częściej stawać wobec żądań podnoszonych przez zwykłych konsumentów. Aby podołać tym zadaniom, trzeba będzie dokonać gruntownych przeobrażeń w obszarze narzędzi IT stosowanych w danej korporacji.

Zwiększaniu poziomu bezpieczeństwa i prywatności towarzyszy tymczasem inicjowane przez PSD2 otwieranie rynku. Jak ograniczać ryzyka związane z open bankingiem?

– Osobiście nie podzielam bezkrytycznego entuzjazmu towarzyszącego otwieraniu rynku finansowego dla tzw. podmiotów trzecich. Powinniśmy pamiętać, że wiele rozwiązań stosowanych w innych krajach Wspólnoty reprezentuje niższy poziom bezpieczeństwa aniżeli standardy wypracowane w Polsce od wielu lat. Na polskim rynku, na przykład, nigdy nie upowszechnił się screen scrapping, KNF zawsze zajmowała w tej kwestii nieprzejednane stanowisko. Po wdrożeniu PSD2 można się liczyć, że wiele podmiotów wchodzących do naszego kraju będzie chciało stosować tę technologię. Polski sektor bankowy mógłby zatem sporo stracić pod względem bezpieczeństwa, jeśli by na czas nie wdrożył odpowiednich środków. Takim rozwiązaniem stanie się rzecz jasna wypracowywany obecnie standard Polskiego API, powstaje jednak pytanie, w jakim stopniu stanie się to instrument powszechny dla całej branży bankowej. Pojawiały się przecież postulaty, aby stworzyć alternatywny model bazujący na blockchainie, co w mojej opinii byłoby dość karkołomnym zadaniem. Dużym problemem jest też brak dobrych praktyk na polskim rynku, jeśli chodzi o uwierzytelnianie biometryczne. Na chwilę obecną wymagania PSD2 dotyczą silnego uwierzytelniania. Tymczasem kwestia dwuskładnikowej autentykacji w rodzimym sektorze finansowym wygląda znakomicie w teorii, znacznie gorzej jednak prezentuje się sfera praktyczna.

Od pewnego czasu wskazuje się na niedoskonałość weryfikacji SMS-owej, czy problemem jest tu rosnące ryzyko zduplikowania karty przez oszustów?

– W przypadku uwierzytelniania SMS problem tkwi nie tyle w możliwości skimmingu karty, ile w samym modelu weryfikacji metody. Zgodnie z teorią dwuskładnikowego uwierzytelniania w procesie autentykacji powinny być wykorzystane elementy należące do dwóch spośród trzech rodzajów czynników: „to, co masz”, „to, co wiesz” i „to, kim jesteś”. Jak to wygląda w przypadku zatwierdzania transakcji SMS-em? Wprowadzamy najpierw login i hasło, czyli elementy z kategorii „to, co wiesz”. Następnie, aby sfinalizować płatność, otrzymuje się na telefon hasło SMS, które w chwili odczytania znowu staje się „tym, co wiesz”. A zatem można je wyłudzić – w analogiczny sposób jak identyfikator, hasło czy jakikolwiek inny ciąg znaków – posługując się metodami socjotechnicznymi. Tu widziałbym znacznie większe zagrożenie związane z tą formą weryfikacji niż w ewentualnym skimmingu kart, który pomimo postępu technologii wciąż nie jest najprostszym procesem.

W jakim kierunku powinno pójść uwierzytelnianie płatności? Widziałbym dwie opcje. Pierwszą jest wykorzystanie klucza, reagującego na dane biometryczne, wpinanego na przykład w port USB urządzenia. Bardziej przyszłościowym modelem wydaje się jednak tzw. biometryczny baselining, czyli wykorzystanie charakterystyki interakcji użytkownika z aplikacją bankową bądź stroną WWW. Jest to biometryczna charakterystyka dynamiczna, a na dodatek tego rodzaju dane można zebrać bez jakiegokolwiek dodatkowego angażowania użytkownika, w czasie gdy poszczególni klienci standardowo korzystają ze zdalnych kanałów transakcyjnych. Tego rodzaju technologie są doskonale znane, w niektórych bankach znalazły już nawet zastosowanie.

Spójrzmy trochę w przyszłość, która staje się teraźniejszością. W wiodących technologicznie krajach świata problemem staje się przestępcze wykorzystanie tzw. inteligentnych urządzeń. Co zrobić, by internet rzeczy nie stał się rajem dla cybermafii?

– Ataki DDoS z wykorzystaniem urządzeń funkcjonujących w internecie rzeczy stają się faktycznie coraz większym problemem. Od 2016 r., kiedy to nastąpił znany atak na zasoby dziennikarza Briana Krebsa, specjalizującego się w tematyce cybercrime, problem jest dostrzegany przez władze globalnych potęg. Na przestrzeni minionych dwóch lat USA wprowadziły przepisy, zobowiązujące producentów rozwiązań IoT dostarczającym swe wyroby administracji federalnej, aby wszystkie urządzenia wyposażać w możliwość zdalnego patchowania. Takie decyzje nie biorą się znikąd, za sporą część problemów z botnetami działającymi w obszarze IoT odpowiadają bowiem konta serwisowe poszczególnych sprzętów. Wszystkie trafiające na rynek komponenty sieciowe wykorzystywane w urządzeniach IoT powstają w dwóch, może trzech fabrykach na świecie i skonfigurowane są w sposób umożliwiający ich przejęcie z wykorzystaniem haseł łatwych do wyszukania w dokumentacji lub internecie. Hasła te można oczywiście zmienić tuż po zakupie lodówki czy telewizora, jednak w praktyce nikt tego nie robi. Skoro miliony urządzeń RTV czy AGD najnowszej generacji wykorzystują te same credentialne, zrozumiałym się staje, w jaki sposób botnet Mirai przez 2,5 tygodnia mógł przejąć kontrole nad ponad dwoma milionami urządzeń, mając w swoim kodzie zaledwie sześćdziesiąt kilka par identyfikator-hasło do kont serwisowych.

Musimy mieć świadomość, że za rozwojem technologii nie nadąża świadomość użytkowników technologii, w pełni „na czasie” są natomiast przestępcy. O ile typowy posiadacz lodówki czy smartfonu wykorzystuje od kilku do kilkunastu procent możliwości danej technologii, to cyberzłodzieje z reguły mają poszczególne systemy rozpracowane w pełni. Nieprzypadkowo za ponad 70% problemów z internetem rzeczy odpowiada niedostateczne zabezpieczenie serwisów zarządzających tymi urządzeniami, czyli mówiąc wprost – serwerów aplikacyjnych. Kolejne 20% zagrożeń generują konta serwisowe z hardkodowanymi hasłami. Nie miejmy złudzeń: oczekiwanie radykalnego wzrostu świadomości użytkowników jest w znacznej mierze utopią. Należy liczyć się z tym, że odpowiedzialność za konfigurowanie inteligentnych urządzeń przeniesiona zostanie z czasem na providerów poszczególnych usług. Tylko tak można zapewnić, by ten obszar nie stał się potężną platformą przestępczej penetracji rynku.

image

image

Wielu dostawców, mówiąc o bezpieczeństwie, ma na myśli usługi, sprzedaż rozwiązań softwarowych albo hardwarowych, ale z reguły jest to konkretny wycinek potrzeb klienta. Czy w tym rozumieniu podejście IBM się różni?

imageHubert Ortyl,
Business Development Manager,
Security Solutions, Advatech Sp. z o.o.

W przypadku IBM, możliwości współpracy oraz doboru rozwiązania pod potrzebę klienta jest wiele i nie zamyka się ona jedynie na wybrany zakres; hardware, software czy usługi. W ramach rozmowy o projektach, w których istotne jest samo zapewnienie bezpieczeństwa informacji rozwiązania IBM PowerSystems czy IBM FlashStorage świetnie znajdują swoje zastosowanie. Zaś mówiąc o potrzebach wynikających konkretnie z zapisów RODO (szyfrowanie), znajdują one odzwierciedlenie w ofercie bazującej na liniach IBM Storwize czy też IBM Storage Spectrum Scale, gdzie możemy realizować bezpieczne wymazywanie danych w połączeniu z automatyzacją migracji danych pomiędzy różnymi warstwami storage.