Newsy

Witryny internetowe polskich instytucji finansowych są niewystarczająco zabezpieczone. Kradzież tożsamości jest zjawiskiem powszechnym

2018-12-17  |  06:00

W dobie powszechnego dostępu do internetu tożsamość jest najcenniejszą informacją. Niestety witryny internetowe nie są wystarczająco zabezpieczone przed atakami hackerskimi. Według badań Związku Banków Polskich tylko w trzecim kwartale tego roku doszło do 1,5 tysiąca prób wyłudzenia kredytów za pośrednictwem wykradzionej tożsamości. Z raportu Grupy BST wynika zaś, że witryny polskich instytucji finansowych są zabezpieczone tylko certyfikatem SSL, który jest niewystarczający w przypadku wyłudzeń.

– Poziom zabezpieczeń witryn internetowych jest niewystarczający. O ile poufność transakcji, danych wymienianych na linii klient–instytucja jest na wysokim poziomie, jest zabezpieczona, tak już kradzież tożsamości jest zjawiskiem powszechnym i jest znana od dawna, a tak naprawdę instytucje robią bardzo mało, aby temu zapobiec – mówi w rozmowie z agencją informacyjną Newseria Innowacje Andrzej Kempa z Grupy BST.

Na problem kradzieży tożsamości zwrócili uwagę unijni urzędnicy, którzy twierdzą, że w pierwszej kolejności państwa członkowskie powinny wprowadzić ujednolicone dowody osobiste, które miałyby zawierać zabezpieczenia biometryczne zapisane na mikroprocesorze. Dokument taki przechowywałby dane m.in. o odciskach palców czy wizerunku danego obywatela. To jednak nie wystarczy, aby całkowicie zapobiec kradzieży tożsamości, gdyż wielu przestępstw na tym tle dokonuje się za pośrednictwem internetu, a wszystkiemu winne są źle zabezpieczone strony internetowe.

Firmy zajmujące się cyberbezpieczeństwem postulują wprowadzenie dodatkowych zabezpieczeń, które uzupełniałyby niedoskonałe certyfikaty SSL.

– Jeżeli mówimy o zabezpieczeniu transakcji, poufności pomiędzy instytucją a klientem, to ten poziom jest zachowany. Można to porównać do rozmowy telefonicznej. Certyfikat SSL jest jak uniemożliwienie podsłuchu naszych rozmów telefonicznych. Możemy sobie swobodnie rozmawiać, ale w momencie kiedy ktoś do nas zadzwoni, przedstawi się jako osoba, którą bardzo dobrze znamy, to my nie będziemy widzieli różnicy i powiemy jej tak naprawdę wszystko, co chce wiedzieć. I dlatego uważam, że certyfikat SSL jest niewystarczający – przekonuje Andrzej Kempa.

Inżynierowie pracujący dla mBanku chcą wprowadzić na swoją stronę bankową system biometrycznej ochrony behawioralnej. Algorytm miałby analizować nasze zachowanie w sieci, np. poprzez monitorowanie intensywności wpisywania słów na klawiaturze czy przyzwyczajeń związanych z korzystaniem z myszy lub klawiatury, aby w ten sposób ustalać, czy ma do czynienia z właścicielem konta, na którym właśnie ktoś się loguje.

Bezpieczeństwo mogłoby zapewnić połączenie certyfikatu SSL z protokołem DNSSEC, wykorzystującym kryptografię asymetryczną oraz podpisy cyfrowe, z którego jednak zdecydowana większość polskich instytucji finansowych nie korzysta.

Z badania „Bezpieczeństwo domen internetowych – sektor finansowy 2018” przygotowanego przez Grupę BST wynika, że wszystkie domeny główne należące do 29 banków objętych badaniem miały zabezpieczenie certyfikatem SSL, lecz tylko 14 proc. bankowych domen głównych zabezpieczono protokołem DNSSEC.

– Protokół DNSSEC jest protokołem, który uniemożliwia kradzież naszej tożsamości, podszycie się pod którąś z witryn internetowych. Instytucje powinny stosować ten protokół dlatego, że ataki przestępcze z wykorzystaniem podszycia się pod inny serwer są na tyle powszechne i perfidne, że użytkownik może się w ogóle nie zorientować, że ma do czynienia nie z tą jednostką, do której chciał się zalogować – twierdzi ekspert.

Według Microsoftu kradzież tożsamości można drastycznie ograniczyć, wprowadzając tożsamość cyfrową, która zapewniłaby ochronę przed cyberprzestępcami. Firma we współpracy z MasterCard planuje opracować ujednolicony wzór cyfrowej tożsamości, który pozwoliłby wypracować spójne procedury ochrony danych osobowych stosowane przez usługodawców z całego świata, a przy okazji byłby prosty do wdrożenia przez firmy zewnętrzne. Propozycja Microsoftu pozwoliłaby uprościć proces weryfikacji tożsamości, a to czynnik ludzki jest dziś najsłabszym elementem wszystkich systemów bezpieczeństwa.

Badania przeprowadzone przez SailPoint Technologies wykazały, że aż 75 proc. pracowników wykorzystuje te same hasła do logowania się do różnych witryn. Dlatego wprowadzając kolejne zabezpieczenia, właściciele witryn powinni w pierwszej kolejności myśleć o komforcie użytkownika.

– Zwielokrotnianie zabezpieczeń dodatkowych jest nie na miejscu. W mojej opinii duet certyfikatu SSL i protokołu DNSSEC w zupełności wystarczy. Banki mają swoje systemy weryfikujące tożsamość, wielokrotny proces logowania przez stronę jest mocnym zabezpieczeniem. Najlepiej podać to na przykładzie: co z tego, że będziemy mieli najwyższy system antywłamaniowy w drzwiach, jak nie zostawimy ich na noc zamkniętych, bądź też zostawimy otwarte? Ten duet zabezpieczeń jest w mojej opinii wystarczający – przekonuje Andrzej Kempa.

Analitycy z agencji MarketsandMarkets szacują, że wartość globalnego rynku rozwiązań z zakresu cyberbezpieczeństwa wyniesie w 2018 roku 153 mld dol. Przez najbliższe pięć lat branża będzie rozwijała się w tempie 10 proc. w skali roku, a do 2023 roku osiągnie wartość 248 mld dol.

Czytaj także

Kalendarium

Więcej ważnych informacji

Kongres MOVE

Jedynka Newserii

Jedynka Newserii

Venture Cafe Warsaw

Infrastruktura

Sektor ochrony zdrowia odpowiada za większe emisje CO2 niż lotnictwo. Zielone zmiany wymagają drastycznego przyspieszenia

Sektor ochrony zdrowia ponosi znaczące konsekwencje wynikające z rosnącej liczby ekstremalnych zjawisk klimatycznych, ale też poważnego zanieczyszczenia powietrza, a koszty z tym związane będą rosły. Z drugiej strony sam sektor też się przyczynia do zmian klimatycznych – odpowiada za 4 proc. emisji CO2, czym wyprzedza takie branże jak żegluga czy lotnictwo. O potrzebie przyspieszenia zielonych zmian w ochronie zdrowia coraz więcej się mówi, ale to wymaga konkretnych działań. Temu ma służyć powołana właśnie do życia Zielona Koalicja dla Zdrowia, w której uczestniczy prawie 30 podmiotów i której patronuje m.in. Narodowy Fundusz Zdrowia.

Prawo

Postęp technologiczny rewolucjonizuje pracę specjalistów ds. finansów. Stają się strategicznymi doradcami biznesu

Częste zmiany regulacyjne i postęp technologiczny wymuszają na specjalistach ds. finansów ciągłe nabywanie nowych kompetencji, doszkalanie i uaktualnianie swojej wiedzy. Ci, którzy potrafią się dostosować do szybkich zmian i wesprzeć swoimi umiejętnościami rozwój biznesu, mogą jednak liczyć na większe możliwości rozwoju kariery. – Finanse operują w świecie, który coraz szybciej się zmienia. To powoduje, że w przyszłości ludzie z obszaru finansów będą musieli poświęcać dużo więcej energii na to, żeby dotrzymać tempa – mówi Kuba Neneman, head of finance.ai, commercial data science manager w Shellu.

Polityka

Poparcie Europejczyków dla Ukrainy pozostaje silne. Bardziej kontrowersyjna jest kwestia jej wejścia do NATO

Silne poparcie dla Ukrainy w Europie sprawia, że politycy prezentujący odmienną wizję nie mają przestrzeni na próby wykorzystywania prorosyjskich postaw w kształtowaniu polityki zagranicznej. Badania naukowców z Uniwersytetu w Exeter przeprowadzone w kilkunastu europejskich krajach wskazują, że poparcie dla Ukrainy i polityki skupiającej się na pomocy zaatakowanemu krajowi jest szerokie, ale najsilniejsze w państwach mających doświadczenia z polityką Kremla w czasach Związku Radzieckiego. Najsilniejsza polaryzacja nastrojów w Europie jest zauważalna w kwestii ewentualnego przystąpienia Ukrainy do Paktu Północnoatlantyckiego.

Szkolenia

Akademia Newserii

Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a  także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.