Mówi: | Andrzej Kempa |
Firma: | Grupa BST |
Witryny internetowe polskich instytucji finansowych są niewystarczająco zabezpieczone. Kradzież tożsamości jest zjawiskiem powszechnym
W dobie powszechnego dostępu do internetu tożsamość jest najcenniejszą informacją. Niestety witryny internetowe nie są wystarczająco zabezpieczone przed atakami hackerskimi. Według badań Związku Banków Polskich tylko w trzecim kwartale tego roku doszło do 1,5 tysiąca prób wyłudzenia kredytów za pośrednictwem wykradzionej tożsamości. Z raportu Grupy BST wynika zaś, że witryny polskich instytucji finansowych są zabezpieczone tylko certyfikatem SSL, który jest niewystarczający w przypadku wyłudzeń.
– Poziom zabezpieczeń witryn internetowych jest niewystarczający. O ile poufność transakcji, danych wymienianych na linii klient–instytucja jest na wysokim poziomie, jest zabezpieczona, tak już kradzież tożsamości jest zjawiskiem powszechnym i jest znana od dawna, a tak naprawdę instytucje robią bardzo mało, aby temu zapobiec – mówi w rozmowie z agencją informacyjną Newseria Innowacje Andrzej Kempa z Grupy BST.
Na problem kradzieży tożsamości zwrócili uwagę unijni urzędnicy, którzy twierdzą, że w pierwszej kolejności państwa członkowskie powinny wprowadzić ujednolicone dowody osobiste, które miałyby zawierać zabezpieczenia biometryczne zapisane na mikroprocesorze. Dokument taki przechowywałby dane m.in. o odciskach palców czy wizerunku danego obywatela. To jednak nie wystarczy, aby całkowicie zapobiec kradzieży tożsamości, gdyż wielu przestępstw na tym tle dokonuje się za pośrednictwem internetu, a wszystkiemu winne są źle zabezpieczone strony internetowe.
Firmy zajmujące się cyberbezpieczeństwem postulują wprowadzenie dodatkowych zabezpieczeń, które uzupełniałyby niedoskonałe certyfikaty SSL.
– Jeżeli mówimy o zabezpieczeniu transakcji, poufności pomiędzy instytucją a klientem, to ten poziom jest zachowany. Można to porównać do rozmowy telefonicznej. Certyfikat SSL jest jak uniemożliwienie podsłuchu naszych rozmów telefonicznych. Możemy sobie swobodnie rozmawiać, ale w momencie kiedy ktoś do nas zadzwoni, przedstawi się jako osoba, którą bardzo dobrze znamy, to my nie będziemy widzieli różnicy i powiemy jej tak naprawdę wszystko, co chce wiedzieć. I dlatego uważam, że certyfikat SSL jest niewystarczający – przekonuje Andrzej Kempa.
Inżynierowie pracujący dla mBanku chcą wprowadzić na swoją stronę bankową system biometrycznej ochrony behawioralnej. Algorytm miałby analizować nasze zachowanie w sieci, np. poprzez monitorowanie intensywności wpisywania słów na klawiaturze czy przyzwyczajeń związanych z korzystaniem z myszy lub klawiatury, aby w ten sposób ustalać, czy ma do czynienia z właścicielem konta, na którym właśnie ktoś się loguje.
Bezpieczeństwo mogłoby zapewnić połączenie certyfikatu SSL z protokołem DNSSEC, wykorzystującym kryptografię asymetryczną oraz podpisy cyfrowe, z którego jednak zdecydowana większość polskich instytucji finansowych nie korzysta.
Z badania „Bezpieczeństwo domen internetowych – sektor finansowy 2018” przygotowanego przez Grupę BST wynika, że wszystkie domeny główne należące do 29 banków objętych badaniem miały zabezpieczenie certyfikatem SSL, lecz tylko 14 proc. bankowych domen głównych zabezpieczono protokołem DNSSEC.
– Protokół DNSSEC jest protokołem, który uniemożliwia kradzież naszej tożsamości, podszycie się pod którąś z witryn internetowych. Instytucje powinny stosować ten protokół dlatego, że ataki przestępcze z wykorzystaniem podszycia się pod inny serwer są na tyle powszechne i perfidne, że użytkownik może się w ogóle nie zorientować, że ma do czynienia nie z tą jednostką, do której chciał się zalogować – twierdzi ekspert.
Według Microsoftu kradzież tożsamości można drastycznie ograniczyć, wprowadzając tożsamość cyfrową, która zapewniłaby ochronę przed cyberprzestępcami. Firma we współpracy z MasterCard planuje opracować ujednolicony wzór cyfrowej tożsamości, który pozwoliłby wypracować spójne procedury ochrony danych osobowych stosowane przez usługodawców z całego świata, a przy okazji byłby prosty do wdrożenia przez firmy zewnętrzne. Propozycja Microsoftu pozwoliłaby uprościć proces weryfikacji tożsamości, a to czynnik ludzki jest dziś najsłabszym elementem wszystkich systemów bezpieczeństwa.
Badania przeprowadzone przez SailPoint Technologies wykazały, że aż 75 proc. pracowników wykorzystuje te same hasła do logowania się do różnych witryn. Dlatego wprowadzając kolejne zabezpieczenia, właściciele witryn powinni w pierwszej kolejności myśleć o komforcie użytkownika.
– Zwielokrotnianie zabezpieczeń dodatkowych jest nie na miejscu. W mojej opinii duet certyfikatu SSL i protokołu DNSSEC w zupełności wystarczy. Banki mają swoje systemy weryfikujące tożsamość, wielokrotny proces logowania przez stronę jest mocnym zabezpieczeniem. Najlepiej podać to na przykładzie: co z tego, że będziemy mieli najwyższy system antywłamaniowy w drzwiach, jak nie zostawimy ich na noc zamkniętych, bądź też zostawimy otwarte? Ten duet zabezpieczeń jest w mojej opinii wystarczający – przekonuje Andrzej Kempa.
Analitycy z agencji MarketsandMarkets szacują, że wartość globalnego rynku rozwiązań z zakresu cyberbezpieczeństwa wyniesie w 2018 roku 153 mld dol. Przez najbliższe pięć lat branża będzie rozwijała się w tempie 10 proc. w skali roku, a do 2023 roku osiągnie wartość 248 mld dol.
Czytaj także
- 2024-04-30: Miliony Polaków klikają w linki wyłudzające dane i pieniądze. Liczba oszustw w internecie będzie rosnąć
- 2024-04-26: T-Mobile startuje w Polsce z nowym konceptem. Pozwoli klientom przetestować i doświadczyć najnowocześniejszych technologii
- 2024-04-29: Niepełnoletni internauci czują się coraz mniej pewnie w sieci. Zasad cyberbezpieczeństwa mogą się uczyć za pomocą gry edukacyjnej
- 2024-03-29: Zorganizowane grupy cyberprzestępcze sięgają po coraz bardziej zaawansowane narzędzia sztucznej inteligencji. Często celem ataków jest infrastruktura krytyczna
- 2024-03-27: Polacy obawiają się o swoje cyberbezpieczeństwo w obszarze finansów. Połowa odczuwa braki w wiedzy na ten temat
- 2024-04-05: Cyfryzacja polskiej energetyki mocno spowolniła. Pilną potrzebą jest wdrożenie rozwiązań z zakresu cyberbezpieczeństwa
- 2024-03-12: Wątpliwości dotyczące bezpieczeństwa danych przetwarzanych w różnych urzędach. NIK zapowiada kontrole we wszystkich jednostkach samorządu terytorialnego
- 2024-02-21: Anonimowość w internecie motywowana jest nie tylko chęcią trollowania. Dla niektórych to bezpieczna przestrzeń do wyrażenia siebie
- 2024-03-01: Agenci sztucznej inteligencji pomogą osobom z niepełnosprawnościami korzystać z internetu. Zastosowanie rozwiązania może być jednak dużo szersze
- 2024-02-23: Polski rynek IT cierpi na niedobór specjalistów od cyberbezpieczeństwa. Podnoszenie kompetencji cyfrowych kobiet mogłoby częściowo zaradzić tym brakom
Kalendarium
Więcej ważnych informacji
Jedynka Newserii
Jedynka Newserii
Konsument
T-Mobile startuje w Polsce z nowym konceptem. Pozwoli klientom przetestować i doświadczyć najnowocześniejszych technologii
T-Mobile już od kilku lat realizuje strategię, która mocno skupia się na innowacjach i doświadczeniach klienta związanych z nowymi technologiami. Połączeniem obu tych elementów jest Magenta Experience Center – nowoczesny koncept, który ma zapewnić klientom możliwość samodzielnego przetestowania najnowszych technologii. Format, z sukcesem działający już na innych rynkach zachodnioeuropejskich, właśnie zadebiutował w Warszawie. Będą z niego mogli korzystać zarówno klienci indywidualni, jak i biznesowi.
Konsument
Od 28 kwietnia Polacy żyją na ekologiczny kredyt. Zmiana zachowań konsumentów może odwrócić negatywny trend
Dzień Długu Ekologicznego, czyli data, do której zużyliśmy wszystkie zasoby, jakie w ciągu roku może zapewnić Ziemia, w tym roku w Polsce przypada 28 kwietnia, kilka dni wcześniej niż rok temu. Coroczne przyspieszenie tego terminu to sygnał, że czerpiemy bez umiaru z naturalnych systemów, nie dając im czasu na odbudowę. – Polskie społeczeństwo staje się coraz bardziej konsumpcyjne, kupujemy i wyrzucamy coraz więcej. Ale też nie mamy tak naprawdę efektywnego narzędzia, żeby temu zapobiec – ocenia Filip Piotrowski, ekspert ds. gospodarki obiegu zamkniętego z UNEP/GRID-Warszawa.
Transport
Chiny przyspieszają inwestycje w odnawialne źródła. Nie przestają jednak rozbudowywać mocy węglowych
Coraz dotkliwsze skutki zmian klimatycznych, ale przede wszystkim chęć zbudowania bezpieczeństwa energetycznego i uniezależnienia się od zewnętrznych dostaw surowców skłoniły rząd w Pekinie do ekspresowych inwestycji w nowe moce odnawialnej energii. W efekcie Chiny wyrastają na globalnego lidera transformacji energetycznej – odpowiadają dziś za największy na świecie przyrost mocy zainstalowanych w fotowoltaice i wiatrakach. Co ciekawe, nie rezygnują jednak przy tym również z inwestycji w energetykę węglową.
Szkolenia
Akademia Newserii
Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.