Czym jest CERB i jaka jest idea powstania takiego oprogramowania?
Patryk Brożek, Dyrektor Zarządzający Wheel Sp. Z o.o.: By zobrazować czym dokładnie jest CERB, wesprę się przykładem. Wyobraźmy sobie, że logujemy się do banku internetowego – jesteśmy proszeni o podanie identyfikatora oraz hasła. Identyfikator wpisujemy „z pamięci“, natomiast hasło zostaje nam wygenerowane przez telefon komórkowy. Za generację hasła odpowiada aplikacja zainstalowana w aparacie (nie jest to hasło otrzymane w wiadomości SMS!). Po prawidłowym logowaniu dostajemy się do swojego konta. Następnie chcemy wykonać przelew – podajemy więc dane odbiorcy, numer konta, kwotę. Zatwierdzamy. W tym momencie na stronie banku pojawia się ciąg cyfr, który wpisujemy do tej samej aplikacji za pomocą której zalogowaliśmy się do systemu. Po wpisaniu aplikacja pyta nas czy jesteśmy pewni, że dana kwota ma trafić na podany rachunek. W momencie potwierdzenia dostajemy kod potwierdzający i prośbę o wpisanie go na stronie banku. Jeżeli wszystko zostało przeprowadzone poprawnie transakcja dochodzi do skutku. Szybko, łatwo i bezpiecznie! W dodatku z wykorzystaniem telefonu, z którym 99,9% osób praktycznie się nie rozstaje.
Tym właśnie jest CERB – systemem, który pozwala na uwierzytelnienie użytkowników z wykorzystaniem telefonu komórkowego i aplikacji na niej instalowanej. Tą aplikacją jest JavaToken (składowa CERB‘a) i to ona odpowiada za generację haseł i kodów potwierdzających.
Ale JavaToken to nie wszystko. CERB pozwala również na logowanie z wykorzystaniem SMS’ów, kart zdrapek a także współpracuje z tokenami firm trzecich, m.in. z tokenami RSA Security. Udostępnia te metody, które są już wykorzystywane na rynku.
Reasumując, CERB to kompletny, innowacyjny system uwierzytelnienia i autoryzacji użytkowników, w którym flagową rolę pełni JavaToken.
Jeżeli chodzi o historię i genezę powstania CERB‘a to warto powiedzieć, że pierwsze wersje CERB‘a zostały wprowadzone na rynek ponad dwa lata temu. Nie możemy tego potwierdzić fizycznie, ale naszym zdaniem CERB był pierwszym lub jednym z pierwszych tego typu rozwiązań na świecie. Owszem, były systemy sms’owe, były tokeny sprzętowe, były również aplikacje generujące hasła na kilku urządzeniach typu „smartphone“ ale nie było rozwiązania dostępnego praktycznie na wszystkie telefony. Taki właśnie był pomysł i idea – zrobić coś co zastąpi tokeny a zarazem będzie rozwiązaniem powszechnym. JavaToken ma wszystkie cechy by być właśnie takim rozwiązaniem. Jest bezpieczniejsza niż standardowy token sprzętowy przy tym przyjemniejsza w użytkowaniu i znacznie tańsza.
Obecnie na świecie działa już kilka firm, które oferują podobne rozwiązania ale nie znamy firmy, która miałaby tak kompletny system jak CERB. Ponadto od naszych klientów wiemy, że nasz JavaToken w porównaniu do innych aplikacji alternatywnych jest dużo łatwiejszy w obsłudze. To cieszy. Tak naprawdę dopiero teraz produkt zaczyna zdobywać rynek bankowy. Dwa lata temu CERB i JavaToken były opisywane przez prasę branżową jako „bezpieczeństwo przyszłości“. Podobne deklaracje słyszeliśmy w bankach. W tamtym okresie skupiliśmy się więc na korporacjach i to właśnie na tym rynku mieliśmy pierwsze wdrożenia. CERB to nie tylko bezpieczeństwo bankowości elektronicznej, to również świetny system uwierzytelnienia dla wszelkiego rodzaju firm. Logowanie do VPN’ów, dostęp do Intranetu, VoIP, WiFI. CERB to naprawdę rozbudowane narzędzie.
Wracając do rynku bankowości internetowej, obecna sytuacja jest inna od tej sprzed dwóch lat. Rynek dojrzał i CERB zyskuje na popularności. Przygotowaliśmy także specjalną, dedykowaną wersję systemu, która uwzględnia wymagania banków. Pozwala wykorzystać różne metody uwierzytelnienia, posiada zmodyfikowaną wersję JavaToken (JavaToken Light) i bezpieczny sposób jej dystrybucji, chroni różne kanały dostępu do konta i usług (IVR, BOK, Internet, oddział banku), autoryzuje dostęp do konkretnych produktów oraz oferuje wiele innych typowo bankowych funkcjonalności.
Jakie są koszty wdrożenia takiej technologii dla banku? W jakim stopniu może to stanowić konkurencję dla takich rozwiązań jak hasła jednorazowe?
P.B.: Ciężko tak naprawdę jest mówić o kosztach bez poznania konkretnych potrzeb banku. Mogę zapewnić, że biorąc pod uwagę wieloskładnikowe modele uwierzytelniania, jest to rozwiązanie najtańsze. CERB jest licencjonowany wyłącznie po stronie serwerowej i cena zależy jedynie od ilości użytkowników. Jeżeli bank decyduje się korzystać z CERB‘a i tylko z funkcjonalności JavaToken, to jest to koszt jednorazowy – nie ma wymiany urządzeń co kilka lat jak to ma miejsce w przypadku tokenów sprzętowych, nie ma drukowania kart zdrapek, nie ma kosztu sms’ów, nie ma kosztu dodatkowych urządzeń jak w przypadku podpisu elektronicznego. Ponadto dochodzi oszczędność w postaci kosztów logistyki. Bank nie musi dystrybuować tokenów do placówek – JavaToken zostanie przekazany klientowi zdalnie, nie trzeba przesyłać list haseł jednorazowych itd.. To naprawdę inna jakość za atrakcyjną cenę. Nie zapominajmy również o aspekcie innowacyjności. Bank, który zaoferuje to rozwiązanie swoim klientom będzie postrzegany jako nowoczesny, wygodny, bezpieczny. A to przecież również przekłada się na wyniki finansowe.
Co dzieje się kiedy zgubimy telefon z zainstalowaną aplikacją? Czy wasze rozwiązanie gwarantuje 100% bezpieczeństwo dla końcowego użytkownika? Jak pokonać psychologiczną barierę klienta związaną z utratą takiego tokena?
P.B.: Z takimi i podobnymi pytaniami spotykamy się bardzo często. Jest to naturalne, ponieważ CERB to system uwierzytelnienia, to bezpieczeństwo dostępu do konta. Odpowiedź jest jednoznaczna. To jedno z najbardziej bezpiecznych rozwiązań dostępnych na rynku. Powołam się na badania firmy Accenture, które wskazują, że hasła jednorazowe generowane przez telefon komórkowy są równie bezpieczne jak tokeny sprzętowe i bezpieczniejsze niż software’owe PKI. Zaznaczę w tym miejscu, że nasz JavaToken przy samej generacji haseł daje dużo większe możliwości niż token sprzętowy, chociażby konfiguracja rodzaju i długości hasła czy PIN do aplikacji. Poza tym JavaToken to nie tylko hasła jednorazowe ale również potwierdzanie transakcji tj. operacje typu challenge – response. Bank podaje na stronie kod-pytanie, a aplikacja po jego wpisaniu podaje kod-odpowiedź. I co bardzo ważne, w przypadku JavaToken po wpisaniu kodu-pytania aplikacja wyświetla dane transakcji (kwotę i numer rachunku). Dzięki temu użytkownik wie co potwierdza i niejako podpisuje elektronicznie daną transakcję. Takie rozwiązanie chroni przed popularnymi obecnie atakami typu Phishing i Pharming. Ten poziom bezpieczeństwa jest znacznie wyższy niż tokenów sprzętowych odpowiadających za generację wyłącznie haseł. Potwierdzają to ponadto niezależne audyty naszej aplikacji przeprowadzane przez naszych nowych klientów.
Co do bezpieczeństwa samego JavaToken‘u i sytuacji gdy gubimy/tracimy telefon to również zapewniam, że nie ma czego się obawiać – JavaToken jest w pełni bezpieczny. Posiada wiele mechanizmów bezpieczeństwa, które skutecznie eliminują wszelkie próby ataków. Przede wszystkim część krytyczna, czyli ciąg losowy identyfikujący użytkownikowa jest cały czas zaszyfrowany. By dostać się do aplikacji należy podać nieweryfikowalny PIN tj. błędne podanie PIN‘u umożliwia wejście do aplikacji, ale hasła i kody będą generowane błędnie. Atakujący nigdy nie będzie wiedział czy podał właściwy PIN czy nie. To eliminuje ataki typu „brute force“. Ponadto po stronie serwera można ograniczyć liczbę prób logowania. Po kilku nieudanych próbach konto zostaje zablokowane. By ułatwić pracę z nieweryfikowalnym PINem właściwemu użytkownikowi dodaliśmy do aplikacji funkcję podpowiedzi do PINu, która w żaden sposób nie wpływa na bezpieczeństwo a inteligentnie pozwala skojarzyć czy podany PIN jest poprawny. Oczywiście jest to pomocne wyłącznie dla właściwego użytkownika. Dzieje się to w taki sposób, że po podaniu PINu aplikacja wyświetla kompozycje kart, która odpowiada danemu ciągowi liczb (PINowi). Czyli np. podając 2233 otrzymamy podpowiedź „Dama Pik“, a podając 2244 otrzymamy np. „Król Kier“. Zapewniam, że sposób się sprawdza, i już za drugim, trzecim razem podając PIN wiemy jaka powinna być podpowiedź. I jeszcze raz zaznaczam, że to absolutnie nie wpływa na bezpieczeństwo, ponieważ do jednej kompozycji może być przypisanych wiele PINów.
Mówiąc o bezpieczeństwie chciałbym dodać, że jest ono dla nas bezapelacyjnym priorytetem. Równie dużo czasu zajmuje nam praca nad łatwością obsługi i projektowaniem przyjaznego użytkownikowi interfejsu. Niezmiernie ciężko jest bowiem połączyć bezpieczeństwo z łatwością obsługi. Bezpieczeństwo nie lubi kompromisów i wiele firm rezygnuje z szukania rozwiązań optymalnych. My działamy inaczej, co potwierdzają opinie naszych klientów.
Jak wygląda zainteresowanie ze strony banków i czy macie już pierwsze wdrożenia?
P.B.: Zainteresowanie jest bardzo duże i mam nadzieję, że wkrótce przełoży się ono na liczne wdrożenia. Mówiąc konkretnie jest jeden bank, który zdecydował się na nasze rozwiązanie, wdrożył je i aktualnie przygotowuje się do zaoferowania go swoim klientom. Niestety nie mogę powiedzieć który to bank, z jakiego jet kraju i kiedy dokładnie system ujrzy światło dzienne. Kolejne dwa, trzy banki są bliskie wdrożenia, natomiast kolejnych kilkanaście mocno się zastanawia. Tak naprawdę wszyscy czekają na pierwszą referencję na rynku bankowości internetowej. A ta będzie niebawem.
Proszę zwrócić uwagę, że 2 lata temu pisano o nas „bezpieczeństwo przyszłości“, i było nam bardzo ciężko przekonać banki do wejścia w tą technologię. Obecnie rozmowy są bardzo konkretne. Ale aby do tych rozmów doszło musieliśmy mieć sukcesy na innych rynkach. I takie mamy! Obecnie z CERB‘a na rynku korporacyjnym korzysta kilka tysięcy użytkowników w takich firmach jak Netia, Play (P4), Allegro.pl (QXL), Comarch, PBG. Produkt zbiera świetne recenzje i we wszystkich przypadkach pilotażowe wdrożenia zamieniały się w produkcyjne.
Jestem pewny, że wyżej wspomniane wdrożenie w pierwszym banku zakończy się sukcesem zarówno banku jaki i naszym, dzięki czemu kolejne instytucje nie będą miały problemu z decyzją.
Dodam tylko, że tak decyzje powinny zapadać jak najszybciej. Rynek nie lubi próżni a obecna na świecie tendencja wskazuje by w systemach uwierzytelnienia wykorzystywać właśnie telefon komórkowy. Swoją drogą to proces bardzo naturalny, kolejne ułatwienie dla użytkownika, a przy tym bardzo bezpieczne!
Wojciech Boczoń
