Zbigniew Szmigiero: Polska atrakcyjna dla hakerskich rekonesansów

Finanse i gospodarka

Wypowiedź dla aleBank.pl: Zbigniew Szmigiero - Customer Technical Professional w IBM Polska

Wypowiedź dla aleBank.pl: Zbigniew Szmigiero - Customer Technical Professional w IBM Polska

Zbigniew Szmigiero: Patrząc przez pryzmat globalny, a później lokalny należy zauważyć jedną podstawową rzecz. Z punktu widzenia hakerów, grup cyberprzestępczych - niezależnie od tego czy w Polsce znajdują się firmy, które byłyby godziwym atakiem - wiele grup hakerskich musi wykonać rekonesans i sprawdzić czy istniejące rozwiązania, które będą atakować firmy większe w innych krajach będą działały w środowiskach mniejszych. Bardzo często to właśnie taki rekonesans, takie próby wykorzystania nowych technik, nowych wektorów ataków są przeprowadzane w Polsce. Ale oczywiście należy zauważyć, że jeśli chodzi o FSS, czyli generalnie o bankowość, różnego rodzaju usługi finansowe, Polska nie różni się praktycznie niczym od takich krajów jak kraje Beneluksu, Francja, Anglia. Te same metody, ataki, oprogramowanie złośliwe jest wykorzystywane u nas w celu zdobycia korzyści finansowych.

Maciej Małek: Krytycznym czynnikiem ryzyka paradoksalnie są ci, dla których pracujemy, a więc klienci. Oni chcą zarządzać swoimi pieniędzmi online intuicyjnie i bezpiecznie. Ale zapominają, że bezpieczeństwo ich danych, pieniędzy to dziś dbałość o smartfona.

ZS: Całkowicie się z tym zgadzam, lecz myślę, że to pytanie należy postawić troszkę inaczej i postawić je w stronę banku. Czy zarządzanie pieniędzmi klientów banku oznacza tyle, że klient ma być zdany tylko na siebie i budować w ramach swojego środowiska bezpieczeństwo, na które banki, wewnątrz własnej organizacji, wydają miliony? Żadnego klienta na to nie stać. Myślę, że wiele firm takich jak IBM zaczyna coraz częściej myśleć o klientach i myśli o rozwiązaniach, które pomogą bankom zbudować ochronę również po jego stronie. Taki jest cel naszego uczestnictwa w konferencji -pokazanie, że są rozwiązania, które pomogą bankom zbudować ochronę także po stronie klienta. To zbudowanie zaufania nie tylko poprzez prostą informację: “drogi kliencie sprawdź czy masz kuleczkę na przeglądarce, czy masz zainstalowany antywirus", ale również zbudowanie wiedzy dotyczącej bieżącego ryzyka związanego z transakcjami wykonywanymi przez użytkownika na jego maszynie, czy na smartfonie.

MM: System zabezpieczeń to jedno, procedury to drugie ale istotnym elementem architektury bezpieczeństwa, swoistą mapą drogową jest lad regulacyjny w odniesieniu do tego obszaru - myślę chociażby o rekomendacji D.

ZS: Całkowicie się zgadzam, ale myślę, że myślenie o bezpieczeństwie tylko i wyłącznie przez pryzmat regulacyjny jest niesłuszne. Należy zauważyć, że istnieją kraje o bardzo bogatym zasobie regulacji. Myślę tutaj o Stanach Zjednoczonych. Z jednej strony mamy ustawę SOX, ustawę dotyczącą ochrony danych medycznych HIPA, ustawę dotyczącą ochrony danych osobowych podobną w charakterze do naszej ustawy europejskiej, a jednocześnie dobrze wiemy, że jakość i bezpieczeństwo usług bankowych Stanów Zjednoczonych jest dużo, dużo niższa, niż w Europie kontynentalnej. Myślę, że to, co my robimy w ramach naszych zmian w prawodawstwie idzie w dobrym kierunku. Jednak niezależnie od tego jak bardzo mocne będą regulatory, myślę, że świadomość banku, że zarządza pieniędzmi klientów jest najważniejsza. Myślę, że z tej roli banki w Polsce dobrze się wywiązują.

MM: Przechowywanie naszych danych, ich przetwarzanie a także przesył to jest także wykorzystywanie kanałów mobilnych. Czy w tym zakresie współpraca z telekomami wypełnia te wymogi, które wynikają z bezpieczeństwa danych?

ZS: Można na to spojrzeć z dwóch różnych kierunków. Po pierwsze należy zauważyć, że wyciek danych inicjowany przez Snowdena ujawnił nam informację o PRISM - jak on działa i w jaki sposób służby amerykańskie są w stanie inwigilować praktycznie cały internet i różnego typu kanały wymiany informacji biznesowej. Myślenie o tym, że jesteśmy w stanie chronić dane tylko i wyłącznie z użyciem wsparć operatorów telefonii komórkowej, jest wystarczające. Myślę, że nie jest. Z drugiej strony wykorzystywane w tej chwili kanały dodatkowego uwierzytelniania w usługach bankowych dla użytkowników czyli tzw. out of print authentication np. z użyciem smsów wskazuje, że można go obejść. Istniejące ataki klasy ZEUS pokazały, że infekcja jednocześnie stacji roboczej użytkownika i urządzenia mobilnego mogą w łatwy sposób ten element ominąć. Dlatego też myślę, że budowanie nowych usług autentykacyjnych poza bankami, np. z użyciem IP lokacji, jest rozwiązaniem na które trzeba liczyć.

MM: Czy z punktu widzenia firmy o globalnym doświadczeniu, jaką jest IBM, poziom dojrzałości rynku odpowiada z jednej strony oczekiwaniom klientów, z drugiej strony temu co nazywamy bezpiecznym systemem choć wiemy, że takiego do końca nie ma?

ZS: Patrząc na systemy bankowe w Polsce możemy zauważyć, że bezpieczeństwo wewnętrznych systemów stoi na bardzo wysokim poziomie. Jednocześnie kompletnie w opozycji stoi bezpieczeństwo stacji roboczej użytkownika. Myślę, że najbliższe dwa lata wskażą, że przestrzeń do tej pory zaniedbana, jaką jest ochrona stacji roboczej i kooperacji oprogramowania, które będzie instalowane na stacji roboczej systemami zarządzania ryzyka w banku, będzie przyszłością do zbudowania jeszcze lepszych, bezpiecznych usług bankowych.

aleBank.pl

Zobacz rozmowę w wersji wideo: Zbigniew Szmigiero: Polska atrakcyjna dla hakerskich rekonesansów

 

Udostępnij artykuł: