Raport specjalny. Bezpieczeństwo banków: Płatnicze precjoza

BANK 2018/04

Dużym wyzwaniem w powszechnym wykorzystaniu internetu rzeczy jest zapewnienie bezpieczeństwa samych urządzeń. Jednym z powodów jest to, że po ich wyprodukowaniu nie jest łatwo zapewnić efektywny proces aktualizacji oprogramowania. W efekcie urządzenia pozbawione właściwego wsparcia szybko staną się podatne na cyberataki, umożliwiające potencjalnie obejście zabezpieczeń chroniących system płatniczy.

Dużym wyzwaniem w powszechnym wykorzystaniu internetu rzeczy jest zapewnienie bezpieczeństwa samych urządzeń. Jednym z powodów jest to, że po ich wyprodukowaniu nie jest łatwo zapewnić efektywny proces aktualizacji oprogramowania. W efekcie urządzenia pozbawione właściwego wsparcia szybko staną się podatne na cyberataki, umożliwiające potencjalnie obejście zabezpieczeń chroniących system płatniczy.

Marcin Podleśny

Siłą internetu rzeczy (Internet of Things, IoT) jest łączenie przedmiotów codziennego użytku z technologią. Tak jak w przypadku sojuszu Visy i greckiego banku NBG, które wraz z firmami Folli Follie oraz Links of London testują biżuterię z funkcją płatniczą. Konsumenci w Grecji jako pierwsi będą mogli sprawdzić działanie pierścionków i bransoletek umożliwiających dokonywanie płatności zbliżeniowych. To dopiero początek wykorzystywania biżuterii do płatności.

Urządzeń z grupy internetu rzeczy szybko przybywa. Już teraz jest ich więcej niż ludzi na świecie, a według przewidywań Gartnera liczba inteligentnych urządzeń może wzrosnąć z 8,4 mld w 2017 r. do 20,4 mld w roku 2020. Niestety, coraz częściej słyszymy o nieodpowiednim zabezpieczeniu tych przedmiotów. Fortinet, dostawca cyberzabezpieczeń, zaprezentował wyniki najnowszego raportu dotyczącego zagrożeń informatycznych. Według niego cyberprzestępcy coraz częściej biorą na cel urządzenia IoT. Trzy spośród dwudziestu największych ataków zostało zidentyfikowanych jako wymierzone w przedmioty IoT w firmach. W przeciwieństwie do wcześniejszych ataków, skoncentrowanych na jednym błędzie oprogramowania, nowe botnety IoT (np. Reaper, Hajime) wykorzystują wiele luk jednocześnie. Tego typu cyberatak jest znacznie trudniejszy do odparcia. O możliwościach Reapera świadczy wzrost liczby powiązanych z nim eksploitów z 50 tys. do 2,7 mln – i to w ciągu zaledwie kilku dni.

Eksperci Fortinet wykryli też czterokrotnie większą aktywność złośliwego oprogramowania atakującego kamery Wi-Fi. Obecnie trudno jest natrafić na model telewizora, który nie łączyłby się z internetem. Wielu użytkowników nie zdaje sobie sprawy z zagrożeń, które są spowodowane przez pośpiech, z jakim producenci wypuszczają kolejne inteligentne gadżety na rynek – bez rozważenia jakichkolwiek środków bezpieczeństwa. Wkrótce każde urządzenie w domu połączy się z internetem, a użytkownik nie będzie nawet o tym wiedział. Te z pozoru zwyczajne akcesoria tak naprawdę będą „inteligentne” – choć korzyść wynikająca z ich połączenia z siecią może okazać się znikoma. Prawdziwą motywacją dla tworzenia kolejnych rozwiązań typu smart będzie chęć zgromadzenia danych na temat użytkowników.

Mieszkańcy Grecji jako pierwsi skorzystają z pierścionków i bransoletek umożliwiających dokonywanie płatności zbliżeniowych.

image

Sprawdzone standardy

– Biorąc pod uwagę skalę zjawiska, rządy państw powinny podjąć kroki w celu nałożenia odpowiednich wymogów dotyczących bezpieczeństwa na producentów urządzeń z zakresu internetu rzeczy. Nie można sprzedawać zabawek, które mają ostre krawędzie, bo stanowiłyby zagrożenie dla dziecka. Nie można sprzedawać samochodów, w których nie działają hamulce. Tak samo nie powinno się sprzedawać urządzeń IoT, które mogą sprawić, że konto bankowe zostanie wyczyszczone – twierdzi Karolina Małagocka, ekspert ds. prywatności w F-Secure.

Zorganizowane grupy przestępcze szukają dziś łatwych metod wzbogacenia się. Swoją uwagę kierują w szczególności na nowatorskie wdrożenia, w których mogą czaić się luki w bezpieczeństwie. Mogą one wynikać np. z niedociągnięć na etapie tworzenia architektury rozwiązania lub z błędów popełnionych przy implementacji.

– Poprzedzenie wprowadzenia innowacyjnego rozwiązania szczegółowym modelowaniem zagrożeń, z którego będą wynikały wymagania odnośnie zabezpieczeń, a następnie zgodny z najlepszymi praktykami proces ich implementacji pomogą zapewnić, że bezpieczeństwo systemu płatniczego nie zostanie osłabione – przekonuje Michał Kurek, partner w dziale usług doradczych, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.

Jacek Mainda, starszy specjalista ds. bezpieczeństwa informacji w Credit Agricole Bank Polska, jest zdania, że łączenie przedmiotów z urządzeniami płatniczymi nie wpływa na bezpieczeństwo systemu płatniczego, czy odbiega od zabezpieczeń stosowanych obecnie w tradycyjnych kartach płatniczych. Dla opasek, zegarków czy wisiorków, za pomocą których można dokonać płatności zbliżeniowych, podstawowym zabezpieczeniem w przypadku zagubienia lub kradzieży jest możliwość zablokowania „karty” w banku, tak jak w przypadku tradycyjnego plastiku. Ich używanie nie odbiega znacząco od używania zwykłej karty z funkcją zbliżeniową. Dla tych rozwiązań dodatkowym czynnikiem zabezpieczającym jest konieczność podania kodu PIN dla płatności przekraczających 50 zł.

– Wydaje się więc, że przeniesienie płatności do urządzeń internetu rzeczy nie niesie ze sobą znaczących zmian dla bezpieczeństwa, a w pewnych kwestiach może pozytywnie wpływać na jego poprawę – zauważa Jacek Mainda.

image

Wygodne gadżety

Czy zatem pierścionki płatnicze, bransoletki, wisiorki etc. to sposoby realizowania płatności, które mają stać się powszechne, czy jedynie ciekawostki, które jednak mogą być źródłem pieniędzy.

– Z jednej strony są to nowe rozwiązania, wykorzystujące najnowszą technologię, która zapewnia wyższy poziom zabezpieczeń. Dodatkowym atutem biżuterii płatniczej jest to, że użytkownik ma ją zawsze w zasięgu wzroku. Dzięki temu zapisane na niej dane mogą być znacznie trudniejsze do zeskanowania przez przestępców niż informacje z karty, którą nosi się w portfelu. Są też bardzo wygodne w użyciu. Dzięki tego typu rozwiązaniom, nie mając gotówki, karty ani telefonu użytkownik może szybko i sprawnie dokonać transakcji. Nowe urządzenia płatnicze mogą okazać się także bardzo użyteczne dla starszych ludzi, których technologia często onieśmiela – zauważa Tomasz Leś, Senior Product Manager w Asseco Poland.

Z drugiej strony, pojawienie się kolejnych sposobów realizowania płatności może mieć też negatywny wpływ na bezpieczeństwo. Chodzi tu głównie o liczbę narzędzi, które są spięte z jednym rachunkiem. Duża ilość tego typu urządzeń nie tylko zwiększa ryzyko utraty jednego z nich, ale stwarza także nowe możliwości dla potencjalnych włamywaczy. Rozwiązaniem tego problemu może okazać się np. ograniczenie liczby dziennych transakcji realizowanych za ich pośrednictwem lub zwiększenie częstotliwości weryfikacji kodem PIN.

– Nie jestem sceptyczny co do tego typu form płatniczych, ponieważ uważam, że mają one szansę znaleźć swoich zwolenników i z czasem zyskać na popularności. Jednak patrząc na to, w jakim kierunku rozwija się świat, uważam, że narzędziem, które będzie coraz bardziej zyskiwać na znaczeniu jest smartfon – twierdzi Tomasz Leś.

Michał Kurek przekonuje, że jeśli te ciekawostki okażą się wygodne w użyciu i bezpieczne, mają szansę upowszechnić się, zmieniając całkowicie sposób w jaki realizowane są płatności. Nowe technologie i internet rzeczy stwarzają ogromne możliwości do wprowadzania znaczących zmian w tym obszarze. Wraz z rozwojem technologii zmienia się ustawodawstwo. Wejście w życie dyrektywy PSD2 ułatwi upowszechnienie innowacyjnych usług płatniczych.

– Bezpieczeństwo pozostaje kluczowym czynnikiem warunkującym sukces danego rozwiązania. Cyberprzestępcy szybko wykorzystają jakiekolwiek niedociągnięcia w tym zakresie. A wracając do przykładu zgubienia biżuterii do realizowania płatności, dodam tylko, że w dobrze zaprojektowanym systemie bezpieczeństwa nie powinno prowadzić to do znaczącej utraty pieniędzy. Istnieje szereg zabezpieczeń, jak np. dodatkowe uwierzytelnienie, limity dla transakcji itp., które właściwie wdrożone skutecznie ograniczą tego typu ryzyko – dodaje Michał Kurek.

Dużym wyzwaniem w obszarze internetu rzeczy jest zapewnienie bezpieczeństwa samych urządzeń. Jest to spowodowane przede wszystkim faktem, że po ich wyprodukowaniu nie jest łatwo zapewnić efektywny proces aktualizacji oprogramowania. W efekcie urządzenia pozbawione właściwego wsparcia szybko staną się podatne na cyberataki umożliwiające potencjalnie obejście zabezpieczeń chroniących system płatniczy. Oczywiście bezpieczeństwo samych urządzeń to nie wszystko – trzeba patrzeć na cały ekosystem, w jakim funkcjonują. Każdy system zabezpieczeń jest bowiem tak silny jak jego najsłabsze ogniwo.

– Dziś wygoda, ergonomia i wygląd danego rozwiązania mogą być kluczowym czynnikiem sukcesu rynkowego. Przeważnie jednak czynniki te stoją w przeciwwadze do bezpieczeństwa. Nie może ono jednak stać się przeszkodą dla innowacyjnych rozwiązań. Każde wdrożenie nowej technologii musi zostać poprzedzone gruntowną analizą ryzyka. Powinna ona prowadzić do świadomych decyzji odnośnie sposobu jego ograniczenia oraz akceptacji pewnego poziomu, który jest uzasadniony biznesowo. Proces ten jest możliwy jedynie w przypadku właściwej komunikacji pomiędzy przedstawicielami biznesu oraz ekspertami bezpieczeństwa – podsumowuje Michał Kurek.

Udostępnij artykuł: