Newsy

Witryny internetowe polskich instytucji finansowych są niewystarczająco zabezpieczone. Kradzież tożsamości jest zjawiskiem powszechnym

2018-12-17  |  06:00

W dobie powszechnego dostępu do internetu tożsamość jest najcenniejszą informacją. Niestety witryny internetowe nie są wystarczająco zabezpieczone przed atakami hackerskimi. Według badań Związku Banków Polskich tylko w trzecim kwartale tego roku doszło do 1,5 tysiąca prób wyłudzenia kredytów za pośrednictwem wykradzionej tożsamości. Z raportu Grupy BST wynika zaś, że witryny polskich instytucji finansowych są zabezpieczone tylko certyfikatem SSL, który jest niewystarczający w przypadku wyłudzeń.

– Poziom zabezpieczeń witryn internetowych jest niewystarczający. O ile poufność transakcji, danych wymienianych na linii klient–instytucja jest na wysokim poziomie, jest zabezpieczona, tak już kradzież tożsamości jest zjawiskiem powszechnym i jest znana od dawna, a tak naprawdę instytucje robią bardzo mało, aby temu zapobiec – mówi w rozmowie z agencją informacyjną Newseria Innowacje Andrzej Kempa z Grupy BST.

Na problem kradzieży tożsamości zwrócili uwagę unijni urzędnicy, którzy twierdzą, że w pierwszej kolejności państwa członkowskie powinny wprowadzić ujednolicone dowody osobiste, które miałyby zawierać zabezpieczenia biometryczne zapisane na mikroprocesorze. Dokument taki przechowywałby dane m.in. o odciskach palców czy wizerunku danego obywatela. To jednak nie wystarczy, aby całkowicie zapobiec kradzieży tożsamości, gdyż wielu przestępstw na tym tle dokonuje się za pośrednictwem internetu, a wszystkiemu winne są źle zabezpieczone strony internetowe.

Firmy zajmujące się cyberbezpieczeństwem postulują wprowadzenie dodatkowych zabezpieczeń, które uzupełniałyby niedoskonałe certyfikaty SSL.

– Jeżeli mówimy o zabezpieczeniu transakcji, poufności pomiędzy instytucją a klientem, to ten poziom jest zachowany. Można to porównać do rozmowy telefonicznej. Certyfikat SSL jest jak uniemożliwienie podsłuchu naszych rozmów telefonicznych. Możemy sobie swobodnie rozmawiać, ale w momencie kiedy ktoś do nas zadzwoni, przedstawi się jako osoba, którą bardzo dobrze znamy, to my nie będziemy widzieli różnicy i powiemy jej tak naprawdę wszystko, co chce wiedzieć. I dlatego uważam, że certyfikat SSL jest niewystarczający – przekonuje Andrzej Kempa.

Inżynierowie pracujący dla mBanku chcą wprowadzić na swoją stronę bankową system biometrycznej ochrony behawioralnej. Algorytm miałby analizować nasze zachowanie w sieci, np. poprzez monitorowanie intensywności wpisywania słów na klawiaturze czy przyzwyczajeń związanych z korzystaniem z myszy lub klawiatury, aby w ten sposób ustalać, czy ma do czynienia z właścicielem konta, na którym właśnie ktoś się loguje.

Bezpieczeństwo mogłoby zapewnić połączenie certyfikatu SSL z protokołem DNSSEC, wykorzystującym kryptografię asymetryczną oraz podpisy cyfrowe, z którego jednak zdecydowana większość polskich instytucji finansowych nie korzysta.

Z badania „Bezpieczeństwo domen internetowych – sektor finansowy 2018” przygotowanego przez Grupę BST wynika, że wszystkie domeny główne należące do 29 banków objętych badaniem miały zabezpieczenie certyfikatem SSL, lecz tylko 14 proc. bankowych domen głównych zabezpieczono protokołem DNSSEC.

– Protokół DNSSEC jest protokołem, który uniemożliwia kradzież naszej tożsamości, podszycie się pod którąś z witryn internetowych. Instytucje powinny stosować ten protokół dlatego, że ataki przestępcze z wykorzystaniem podszycia się pod inny serwer są na tyle powszechne i perfidne, że użytkownik może się w ogóle nie zorientować, że ma do czynienia nie z tą jednostką, do której chciał się zalogować – twierdzi ekspert.

Według Microsoftu kradzież tożsamości można drastycznie ograniczyć, wprowadzając tożsamość cyfrową, która zapewniłaby ochronę przed cyberprzestępcami. Firma we współpracy z MasterCard planuje opracować ujednolicony wzór cyfrowej tożsamości, który pozwoliłby wypracować spójne procedury ochrony danych osobowych stosowane przez usługodawców z całego świata, a przy okazji byłby prosty do wdrożenia przez firmy zewnętrzne. Propozycja Microsoftu pozwoliłaby uprościć proces weryfikacji tożsamości, a to czynnik ludzki jest dziś najsłabszym elementem wszystkich systemów bezpieczeństwa.

Badania przeprowadzone przez SailPoint Technologies wykazały, że aż 75 proc. pracowników wykorzystuje te same hasła do logowania się do różnych witryn. Dlatego wprowadzając kolejne zabezpieczenia, właściciele witryn powinni w pierwszej kolejności myśleć o komforcie użytkownika.

– Zwielokrotnianie zabezpieczeń dodatkowych jest nie na miejscu. W mojej opinii duet certyfikatu SSL i protokołu DNSSEC w zupełności wystarczy. Banki mają swoje systemy weryfikujące tożsamość, wielokrotny proces logowania przez stronę jest mocnym zabezpieczeniem. Najlepiej podać to na przykładzie: co z tego, że będziemy mieli najwyższy system antywłamaniowy w drzwiach, jak nie zostawimy ich na noc zamkniętych, bądź też zostawimy otwarte? Ten duet zabezpieczeń jest w mojej opinii wystarczający – przekonuje Andrzej Kempa.

Analitycy z agencji MarketsandMarkets szacują, że wartość globalnego rynku rozwiązań z zakresu cyberbezpieczeństwa wyniesie w 2018 roku 153 mld dol. Przez najbliższe pięć lat branża będzie rozwijała się w tempie 10 proc. w skali roku, a do 2023 roku osiągnie wartość 248 mld dol.

Czytaj także

CES 2019

Energetyka

Inteligentnym oświetleniem można już sterować za pomocą głosu. Na rynek trafia też pierwszy, inteligentny zamiennik 100-watowej żarówki

Na rynek trafia coraz więcej rodzajów urządzeń wchodzących w skład inteligentnego domu. Smart Home to już nie tylko telewizor, system nagłośnienia czy nawet pralka i lodówka sterowane za pomocą aplikacji mobilnej. Teraz to już także inteligentne oświetlenie, które kontrolować można za pomocą głosu. Na rynek trafi niebawem pierwsza inteligentna żarówka LED o mocy równoważnej 100 watom. Zaprezentowano także inteligentny reflektor, który poprawi bezpieczeństwo domu, chroniąc przed włamywaczami.

Medycyna

Domowe badanie czynności serca dziecka w łonie matki dzięki specjalnej opasce. Na rynku pojawia się coraz więcej inteligentnych urządzeń baby tech

Rynek baby tech, czyli technologii służących głównie dzieciom i ich rodzicom, rozwija się w coraz szybszym tempie. Pojawia się coraz więcej innowacyjnych urządzeń, które wspierają rozwój dziecka już od momentu poczęcia. Inteligentna skarpetka potrafi monitorować tętno i oddech dziecka, a specjalne głośniki sprawiają, że muzyka dotrze jeszcze do płodu. Zaprezentowana na targach CES 2019 inteligentna opaska do monitorowania tętna płodu sprawi, że badanie kardiotokografii będzie można wykonywać w domu.

 

Gadgety

Uczące się słuchawki dostosują poziom dźwięku do użytkownika. Budują jego profil w sposób podobny do badania audiologicznego

Słuchawki pozwalają już nie tylko słuchać muzykę, lecz także ją poczuć. Inteligentne, uczące się słuchawki potrafią przetestować słuch i dostosować wszystkie ustawienia do unikalnego słuchu użytkownika. W ten sposób uzyskiwany jest wysoki poziom immersyjności, a użytkownik ma wrażenie zanurzenia się w dźwięku. W przyszłości do słuchawek trafią także asystenci głosowi.