Nowy standard zabezpieczeń w polskiej bankowości?

Pierwszym zabezpieczeniem bankowości internetowej stosowanym w polskich bankach były tokeny. Równolegle stosowano stałych odbiorców, których klienci definiowali w oddziałach. Nieliczne banki flirtowały z zabezpieczeniem w postaci dwóch haseł lub podpisu cyfrowego przechowywanego lokalnie lub w repozytorium banku. Umasowienie bankowości internetowej nadeszło wraz z kodami jednorazowymi, tak zwanymi TANami. Przez lata był to podstawowy system zabezpieczenia operacji aktywnych, powszechnie stosowany do tej pory i mający się cały czas bardzo dobrze.

Skuteczność TANów teoretycznie jest taka sama jak kilka lat temu, kiedy pojawiły się wraz z pierwszymi bankami wirtualnymi. Można powiedzieć, że to właśnie dzięki nim bankowość internetowa święci triumfy w naszym kraju. Problem w tym, że wraz z umasowieniem tego kanału dystrybucji, pojawili się użytkownicy, którzy łagodnie rzecz ujmując niekoniecznie w pełni są świadomi zagrożeń czyhających w internecie. Nawet jeśli jest to mniej niż 3-4% wszystkich internautów korzystających z bankowości on-line, to mamy ok. 300 tysięcy klientów, którzy mogą być narażeni na prosty phishing i utratę danych karty lub z konta. W ich przypadku TANy niestety mają podstawową wadę – nie są generowane w momencie autoryzacji transakcji, a co za tym idzie są podatne na przechwycenie i wykorzystanie w późniejszym terminie. W przypadku bardziej zaawansowanych ataków liczba potencjalnie narażonych ofiar rośnie. Coraz szybsze komputery i stałe łącza pozwalają przestępcom na znacznie więcej niż w przypadku ataków, gdzie przede wszystkim liczy się na naiwność i nieświadomość klientów. Według różnych szacunków około 4 procent komputerów w Polsce to tzw. zombi. Ile z nich należy do klientów korzystających z bankowości internetowej?

W trwającym wyścigu pomiędzy przestępcami a bankowcami, ci pierwsi zawsze są o mały krok do przodu. Należy jednak mieć świadomość, że sama teoretyczna możliwość wykorzystania słabych miejsc w zabezpieczeniu, nie oznacza automatycznie spowodowania jakichkolwiek strat. Rośnie jednak niebezpieczeństwo pojawienia się ich w przyszłości. Ogromnym problemem jest również to, że bardzo często sama możliwość utraty pieniędzy z punktu widzenia reputacji, działa tak samo jak faktyczna strata. Tak jest na przykład z phishingiem, gdzie zdecydowana większość (praktycznie wszystkie) takich ataków kończy się fiaskiem, to znaczy nie dochodzi do utraty środków z rachunków i kart klientów. W tym przypadku poza edukacją klientów nie ma skutecznego sposobu, żeby się zabezpieczyć. Swoją drogą – warto wykonać test, czy rozpoznaje się podstawione strony: https://www.phish-no-phish.com/. Aż dziw bierze, że żaden polski bank czegoś takiego jeszcze nie zrobił u siebie.

Największym problemem przed jakim stoją banki, jest zachowanie poziomu bezpieczeństwa na odpowiednio wysokim poziomie. Musi ono spełniać trzy warunki – być skuteczne, a jednocześnie łatwe w użyciu i oczywiście tanie. Im zabezpieczenie skuteczniejsze, tym mniej wygodne w użyciu, a do tego w praktyce okazuje się bardzo drogie. Tak jest ze wszystkimi tokenami, podpisami elektronicznymi, etc. W tym przypadku TANy były idealne. Twórczym rozwinięciem, które zwiększa bezpieczeństwo są hasła SMSowe, które bez żadnych wątpliwości stają się obowiązującym standardem i pozostaną nim przez najbliższe lata. Mimo swoich niewątpliwych zalet mają one też swoje wady. Są skuteczne i wygodne, ale niestety nie są tanie. Kolejnym problemem jest fakt, że w najnowszych typach ataków przestępca może wykorzystać nieuwagę klienta, który niekoniecznie czyta dokładną treść SMSa, a zatem co podpisuje. Jeszcze gorzej jest w przypadku podpisywania paczek przelewów, gdzie siłą rzeczy ilość przekazywanych informacji musi być mniejsza. W efekcie już teraz widać, że chociaż SMSy są bardzo bezpieczne, to również mają swoje wady. Oczywiście nie takie jak TANy.

W opublikowanym jakiś czas temu przez Bankier.pl wskazywaliśmy, że stosunkowo bezpieczny (ale nie tak wygodny jak SMSy) jest token GSM. Główną zaletą w porównaniu do innych sposobów jest fakt, że klient musi tam potwierdzić (a zatem przeczytać) typ i wartość transakcji. Nie ma też kłopotów z przesyłaniem wiadomości, brakiem zasięgu, etc. Dużo do życzenia pozostawia natomiast wygoda dla klienta, ale za to cenowo jest to sposób bezkonkurencyjny. Pamiętajmy, że SMSy to koszt – czy to dla klienta czy banku. Te kilka (dla banku) czy kilkanaście groszy (dla klienta) jest sporym problemem w przypadku autoryzacji dziesiątków czy setek tysięcy operacji. W skali miesiąca czy roku robią się spore kwoty. No a sam klient nie lubi płacić za przelewy czy ich autoryzację. Do tego bank jest uzależniony od właściwego funkcjonowania zewnętrznej infrastruktury. Można poczytać grupy dyskusyjne czy media społecznościowe, żeby od razu zobaczyć, kiedy dana sieć ma problem. Na kogo zrzucają winę klienci? Na bank, a nie na operatora GSM. Zresztą od zawsze podobnie jest w przypadku dostępu przez internet – no ale tutaj jak nic nie działa, to znaczy, że to nie jest wina banku. Jak zatem widać chociaż przed SMSami nie ma ucieczki, to nie jest to rozwiązanie wszystkich kłopotów, aczkolwiek na ten moment rozwiązują te najważniejsze, co oznacza że liczba potencjalnych poszkodowanych drastycznie maleje.

Jednym z rozwiązań, które może rozwijać się równolegle w stosunku do SMSów jest token GSM. Nie jest to może super wygodne rozwiązanie (jak to z tokenami bywa), ale jest bezpieczne (można powiedzieć, że nawet bardziej niż SMS) no i najważniejsze – tanie. Dla banku to koszt licencji, dla klienta koszt pobrania aplikacji. Oznacza to, że bank wykorzystujący takie rozwiązanie w sposób masowy, dramatycznie redukuje koszty, zwiększając do tego bezpieczeństwo. I to chyba przyświecało Bankowi Pekao SA, który właśnie wdraża taki token. Klienci banku będą mogli skorzystać z tego rozwiązania już w połowie lutego. Nam udało się przetestować to rozwiązanie wcześniej. Działa świetnie i możemy stwierdzić – ruch Pekao SA wyznacza nowy standard na bankowym rynku. Można się spodziewać, że tym tropem podążą inne banki.

Do tej pory token GSM był w ofercie jedynie eurobanku. Bank równolegle proponował klientom tradycyjny token. W przypadku Pekao SA do wyboru są bezpłatne TANy, płatne 20 groszy SMSy no i od 17 lutego PekaoToken. Nowa metoda autoryzacji umożliwia generowanie kodów jednorazowych służących do akceptowania operacji zlecanych na rachunkach prowadzonych w Banku Pekao S.A. oraz w Domu Maklerskim Pekao.

Porównując aplikację PekaoToken do tej z eurobanku widać wiele cech wspólnych, ale też są i różnice. Po pierwsze wersja Żubra jest w wersji graficznej – to znaczy jest ładniejsza. Nie zanotowaliśmy problemów z obsługą jak w przypadku tokena z eurobanku, gdzie musimy potwierdzać operacje przez wybór w menu „więcej”, bo normalne wybieranie nie działa. Z jednej strony token z Pekao SA jest nowszy z drugiej wersja graficzna może nieco ograniczyć liczbę obsługujących go aparatów. To jest ciekawy problem, przed którym stoją wszystkie banki, które chcą budować aplikacji bankowości mobilnej. Kilka wersji systemu na iPhona, ok. 6 Windows mobile, kilka BlackBerry, nie mówiąc o oprogramowaniu najpopularniejszych komórek takich jak Nokia czy SE.

Ciekawy jest sposób wgrywania aplikacji na komórkę. W eurobanku trzeba się wybrać do placówki. W Pekao SA cały proces wykona się nie ruszając sprzed komputera. Może jest trochę z tym dłubaniny, ale każdy klient otrzyma instrukcję, w której wszystko jest dokładnie zapisane. Wydaje się zatem, że nie powinno być problemu, chociaż nie jest to zwykłe ściągnięcie aplikacji. Trzeba jeszcze wpisać unikalny kod (dostępny w serwisie transakcyjnym), a potem nadać PIN do aplikacji, do czego trzeba się połączyć z bankiem.

Kolejną różnicą jest system pozwalający na sprawdzenie, czy na samym początku klient wprowadził prawidłowy PIN. Przy jego generacji widzimy flagę i nazwę państwa, którą powinniśmy zapamiętać. Przy każdym logowaniu pojawia się flaga – prawidłowa w sytuacji, gdy PIN jest ok i zła, jeśli klient pomylił się przy wpisywaniu. Opcja ta nieco opóźniła wdrożenie tokena, ale jest przydatna. Klient po prostu może dość szybko w innym przypadku zablokować sobie dostęp do bankowości internetowej – nie ma bowiem świadomości, że wszystkie generowane hasła są nieprawidłowe. Inna ciekawą funkcjonalnością jest automatyczne wylogowywanie z aplikacji po okresie bezczynności. Tych rzeczy nie ma w aplikacji oferowanej przez eurobank.

Najważniejszą rzeczą odróżniającą propozycję Pekao SA od tokena z eurobanku jest jednak autoryzacja operacji aktywnych. W tym przypadku klient wpisuje 4 ostatnie cyfry konta na które przelewa pieniądze i numer wygenerowany przez system. Po wpisaniu tego ciągu liczb generowane jest hasło jednorazowe, które pozwala na autoryzację. To inaczej niż w tokenie eurobanku, gdzie na podstawie wygenerowanego ciągu cyfr aplikacja odczytuje typ i kwotę transakcji (w miarę dokładnie). W przypadku PekaoToken jeśli klient uważnie wpisuje cyfry rachunku docelowego (np. z kartki lub innego okna), nie ma możliwości przełamania zabezpieczenia. Pytanie co z oprogramowaniem, które potrafi symulować na ekranie wszystkie operacje klienta i w odpowiednim momencie podstawić docelowy numer rachunku (inny niż wpisał klient). Jeśli klient nie zauważy podmiany, a do banku nie dojdzie numer wpisywany przez klienta tylko ten od przestępcy, autoryzacja i przelew na obce konto może dojść do skutku. Teoretycznie przecież jeśli na ekranie komputera widać jedynie symulację tego co się dzieje, to 4 ostatnie cyfry mogą być z rachunku przestępcy, a liczba kontrolna nie musi się przecież zgadzać. Podobnie jak w przypadku SMSów – trzeba liczyć na spostrzegawczość klienta. Oczywiście to bardzo, bardzo, bardzo trudny atak, do tego skierowany na konkretną osobę, ale teoretycznie możliwy do wykonania – dlatego przydałaby się tutaj podobna opcja potwierdzenia operacji na osobnym urządzeniu – w tym przypadku komórce klienta. Biorąc jednak pod uwagę, że w tym przypadku i tak klient jest bezpieczniejszy niż w przypadku SMSów, a te ostatnie należy uznać za najbezpieczniejsze masowe rozwiązanie, to Pekao SA należy uznać za jednego z liderów bezpieczeństwa na polskim rynku.

W połączeniu z szykowanym już niedługo relaunchem systemu transakcyjnego naszym zdaniem to będzie jedna z ciekawszych ofert na rynku! A to wszystko między innymi dzięki menagerom pozyskanym z BPH, którzy razem z silną ekipą z Pekao SA wdrożyli nowe rozwiązanie. Biorąc pod uwagę, że to chodzi właśnie o Żubra, to czapki z głów w należnym szacunku. Rozwiązanie jest bardzo bezpieczne, tanie – dla klienta i dla banku, w miarę wygodne. Zważywszy, że Pekao SA ma sporo klientów bankowości internetowej, a do tego system wgrywania apliacji odbywa się zdalnie, można powiedzieć, że szybko uzyska odpowiednią masę krytyczną. Powinno to zachęcić konkurencję do wzięcia pod uwagę w swoich planach nowego rozwiązania. Nawet jeśli nie zdecydują się na token GSM, to zawsze zamiast TANów są SMSy w odwodzie. Być może będzie to rozwiązanie dywersyfikujące sposób zabezpieczenia – tak jak to jest w Pekao SA, gdzie są trzy różne sposoby zabezpieczeń.

TokenGSM należy obecnie do najbezpieczniejszych systemów autoryzacji. Na polskim rynku działa też już kilka firm, które oferują go w różnych wersjach. Dla eurobanku token wprowadziła firma Wheel, a dla Pekao SA wdrożyło Asseco. Na rynku ze swoim rozwiązaniem jest jeszcze PWPW. Z naszych informacji wynika zaś, że nowym rozwiązaniem jest zainteresowanych kilka banków, chociaż trudno powiedzieć, czy się zdecydują. Sam token GSM bez SMSów czy TANów to trochę ryzyko braku edukacji i zaufana do nowego rozwiązania. Z całą pewnością ruchPekao SA ułatwi jednak podjęcie decyzji. Nie ujmując, ale Eurobank jest graczem niszowym.

TokenGSM to rozwiązanie stosunkowo nowe, wzorowane na rynku korporacyjnym. Umieszczenie aplikacji na komórce klienta znacząco zmniejsza koszty utrzymania i dystrybucji. Nie należy jednak zapominać o jednym. Nowe komórki coraz bardziej przypominają komputery. A to sprawia, że prędzej czy później tutaj również zacznie się problem z różnego rodzaju wirusami. W takim przypadku zarówno SMSy jak i tokeny nie będą już w pełni bezpieczne. Oczywiście zanim do tego dojdzie minie wiele lat, ale już teraz sektor bankowy myśli nad kolejnymi sposobami zabezpieczeń. Czy będzie to podpis elektroniczny ze specjalnym czytnikiem, na którym będziemy widzieli co się w danej chwili podpisuje? A może bezpieczne pamięci wpinane przez USB, gdzie nie będzie można nic nagrać ani zmienić? Zobaczymy. Na ten moment jedno jest pewne. Polskie banki należą do jednych z najbezpieczniejszych na świecie. I to bez wyjątku. TANy, które są obecnie zastępowane przez SMSy czy Tokeny GSM są w wielu krajach wciąż szczytem bezpieczeństwa. To zaś tylko pokazuje, jak bardzo zaawansowany jest nasz system bankowy. Można się z tego powodu tylko cieszyć!

Źródło: PR News