Dziś żaden bank nie powinien polegać na zabezpieczaniu tożsamości pracowników przy pomocy tradycyjnego hasła. Według raportu Verizon’s 2022 Data Breach Investigations Report, prawie 50% naruszeń bezpieczeństwa wiąże się właśnie z wykorzystaniem skradzionych danych uwierzytelniających. Na tym problemie powinny skoncentrować się też banki spółdzielcze, które coraz częściej stają się celem cyberprzestępców. Wielu z nich podczas ataków phishingowych podszywa się pod klientów tych banków, wykorzystując m.in. fakt, że spółdzielcy doskonale ich znają i oferują im szybkie załatwienie pożyczek czy kredytów.

Ponad 80% incydentów cyberbezpieczeństwa zaczyna się od przejęcia konta użytkownika.  Firmy i organizacje – w tym również banki – właśnie w ten sposób najczęściej tracą ważne dane. Banki spółdzielcze stosują dziś technologiczne i proceduralne środki zabezpieczeń przed cyberprzestępcami, w czym pomaga im między innymi Centrum Rozwoju Usług Zrzeszeniowych (CRUZ). Mimo to, muszą liczyć się z tym, że intruzi coraz bardziej będą interesować się ich placówkami. Te – zlokalizowane poza głównymi miastami – stają się coraz częściej celem mniej zaawansowanych przestępców, którzy działając z terenów Europy Wschodniej lub Chin, są również trudniejsi w schwytaniu przez policję.

Edukacja i technologia

Wśród przedstawicieli bankowości spółdzielczej częste jest przekonanie, że wyłudzenia w obszarze transakcji, kredytów czy aplikacji webowych dotyczą głównie banków komercyjnych. Argumentem na poparcie tej tezy jest zwykle stwierdzenie, iż spółdzielcy znają doskonale swoich klientów i ich zachowania, dlatego trudno im “nabrać się” na podstęp cyberprzestępcy podszywającego się pod osobę im znaną. To może być jednak złudne poczucie bezpieczeństwa. Banki spółdzielcze, podobnie jak komercyjne, oferują swe usługi w internecie, rośnie też odsetek klientów spoza bezpośredniego obszaru ich działania.

Myślenie, że lokalne instytucje finansowe są poza zainteresowaniem cyberprzestępców, nie znajduje odzwiercie­dlenia w rzeczywistości. W obliczu nowych zjawisk, takich jak masowa migracja klientów do kanałów zdalnych czy praca online, lokalne instytucje finansowe stają się takim samym celem intruzów jak banki komercyjne.

Globalny problem

W Polsce, jak podaje raport ZBP InfoDok, tylko w I kwartale 2022 r. oszuści podjęli 1915 prób kradzieży z wykorzystaniem przejętych danych osobowych, w sumie na kwotę 575 tys. zł. To średnio aż 21 wyłudzeń dziennie.

Cyberbezpieczeństwo

Celem ataków bardzo często są banki i instytucje finansowe, które broniąc się przed nimi, wykorzystują różne technologie. Jedną z nich jest MFA, czyli wieloskładnikowe uwierzytelnianie. W bankach – zarówno w Polsce, jak i na całym świecie – technologia 2FA lub MFA nie jest dla nikogo nowością. Globalnym wyzwaniem drugiej dekady dwudziestego pierwszego wieku pozostaje jednak wysoki poziom skomplikowania i różnorodności środowisk IT oraz implementacja w nich skutecznych metod MFA. Między innymi z tego powodu większość banków stosuje uwierzytelnianie, które nie jest ani wygodne w użyciu, ani wystarczająco odporne na ataki cyberprzestępców.

Według badania firmy HYPR Report: State of Authentication in the Finance Industry 2022, 32% pracowników banków z USA (200 osób), Wielkiej Brytanii (100 osób), Francji (100 osób) i Niemiec (100 osób) nadal korzysta z tradycyjnych metod MFA, takich jak SMS-y i hasła jednorazowe, 43% polega na menedżerach haseł, a 22% wyłącznie na nazwach użytkowników i hasłach. I jeśli faktycznie kilka lat temu uwierzytelnianie wieloskładnikowe było nawet głównym zaleceniem cyberbezpieczeństwa dla firm i banków, to dziś wyrafinowani intruzi znaleźli sposoby, aby obejść i te zabezpieczenia.

Aktualnie jedynym rozwiązaniem, w pełni odpornym na phishing oraz kradzież loginów i haseł, jest otwarty i darmowy standard FIDO2, który pozwala na wykorzystanie kluczy kryptograficznych, ale również urządzeń, które zawsze mamy przy sobie, takich jak laptopy z wbudowaną kamerą, Windows Hello lub smartfony z czytnikiem linii papilarnych.

Niewykorzystane i darmowe bezpieczeństwo

Zdanie specjalistów od bezpieczeństwa IT potwierdzają również osoby na co dzień pracujące w zbadanych przez HYPR instytucjach finansowych. Aż 99% ankietowanych osób przyznało, że metody uwierzytelniania stosowane w ich organizacjach wymagają unowocześnienia. Nie jest to jednak aktualnie możliwe, ponieważ na przeszkodzie stoją m.in. problemy z posiadanymi przez firmy systemami informatycznymi (75%), w tym złożone nimi zarządzanie (33%) i trudności związane z integracją (27%).

bank, cyberbezpieczeństwo

W kwestii MFA największy kłopot wciąż sprawia implementacja. Wdrożenie jest trudne, uciążliwe i kosztowne. Co więcej, jeśli bank posiada w swojej infrastrukturze IT setki aplikacji – a tak jest przecież w bankach spółdzielczych – masowa implementacja na wszystkich programach jest praktycznie niewykonalna. Efekt? Jedna z najlepszych metod uwierzytelniania, czyli standard FIDO2 – choć zaprojektowany w kwietniu 2018 – po ponad czterech latach wciąż jest jeszcze dodatkiem, a nie uniwersalnym sposobem zabezpieczania tożsamości w internecie.

Z podobnym wyzwaniem jeszcze niedawno mierzył się Bank BNP Paribas Polska. Wdrożenie w tej organizacji silnego uwierzytelniania – co istotne bez ingerencji w kod chronionej aplikacji – na masową skalę stało się możliwe dzięki Secfense User Access Security Broker. Dziś bank może stosować silne dwuskładnikowe uwierzytelnianie na poziomie aplikacji i tym samym zabezpieczać całą organizację przed wyłudzaniem informacji i kradzieżą danych uwierzytelniających.

Spółdzielcze z holistycznym MFA

Śladem największych instytucji finansowych idą banki spółdzielcze. Centrum Rozwoju Usług Zrzeszeniowych (CRUZ) podjęło ważną i strategiczną decyzję. Wprowadziło do oferty technologię Secfense, która pomoże w zapewnieniu bankom spółdzielczym takiego samego poziomu bezpieczeństwa dostępu do swoich wewnętrznych aplikacji i danych, jakie mają największe instytucje finansowe w Polsce i na świecie.

Do tej pory implementacja technologicznych nowości w organizacjach o złożonej strukturze IT była droga, złożona, czasochłonna, a czasem nawet niemożliwa. Często banki, firmy czy instytucje nie były w stanie sprostać temu wyzwaniu.

Dzięki rozwiązaniom działającym w warunkach “zerowej” wiedzy o aplikacjach i środowisku informatycznym, umiejących się uczyć i rozumieć procesy możliwe są szybkie, łatwe i nieingerujące w kod wdrożenia.

To również niezwykle istotne w przypadku banków spółdzielczych, które w dobie coraz szybciej rosnących zagrożeń muszą adaptować swoje środowiska IT i polityki bezpieczeństwa do nowej rzeczywistości. Dobrze, że do wartości, które na co dzień wyznają, czyli solidarność, samopomoc, elastyczność, bliskość, zaufanie, współzarządzanie, walka z wykluczeniem finansowym i dbałość o środowisko, dołącza teraz także bezpieczeństwo IT.