Wszystko, co chcielibyście wiedzieć...

...o trendach w zapewnieniu bezpieczeństwa, współpracy międzynarodowej w związku z nowymi zagrożeniami, blokowaniu ataków i pomocy, jakiej udzielają takie organizacje jak CERT Polska, rozmawiamy z Krzysztofem Silickim, dyrektorem technicznym NASK.

Jakie jest najważniejsze zagrożenie dla zwykłych użytkowników?

W tej chwili zarażają się oni sami. Oprócz luk w przeglądarkach, ale nie tylko - wykorzystywane są na dużą skalę błędy we wtyczkach do przeglądarek. Konie trojańskie, które dzięki temu się instalują na komputerze użytkownika są coraz bardziej przemyślane. Przypadkiem, dość często spotykanym, jest specjalny program, który po infekcji pozostaje niewidoczny i wykrywa zalogowanie się użytkownika do konkretnej platformy bankowości elektronicznej. Podmienia wtedy w locie polecenia transferu środków albo żąda od klienta autoryzacji nie swojego przelewu. W dalszym ciągu rozwijane są klasyczne sposoby zarażania, np. poprzez otwieranie załączników.

Jak w takim razie wygląda bezpieczeństwo systemów bankowości elektronicznej w Polsce?

Można powiedzieć, że jest nieźle. Standardem jest dwuskładnikowe uwierzytelnienie, coraz częściej spotyka się też hasła SMS. W środku, w systemach transakcyjnych jest dobrze, gorzej bywało z systemami samoobsługowymi, takimi jak home-banking. U nas nie ma już systemów, które bazowałyby na statycznym haśle, a takie nadal działają w innych krajach. Stosujemy hasła jednorazowe. Najczęściej jest to karta z hasłami, token lub hasła przesyłane przez SMS na telefon komórkowy użytkownika. Tokeny są znane, sprawdzone od lat, choć też posiadają słabości. Zapewniają jednak dobry poziom bezpieczeństwa. Hasła SMS dają jednak szansę jego podwyższenia przez przypisanie do konkretnej operacji, która podlega autoryzowaniu.

Operacje zatwierdza się też podpisem odręcznym...

To prawda, podpis odręczny nadal pozostaje jednym ze sposobów autoryzacji. Należy jednak spojrzeć na to nieco inaczej - nie na sam podpis, ale na sposób jego składania. Posiadamy bowiem już technologię rozpoznawania składanego odręcznie podpisu, analizując parametry typu kąt narzędzia pisarskiego, jego szybkość i dynamikę. Jest ona znacznie lepsza od statycznej analizy już złożonego podpisu, chociaż nad tym też pracujemy w naszym laboratorium zajmującym się rozwiązaniami biometrycznymi.

Pracownik w banku podpis porównuje osoba, to nie wystarczy jako zabezpieczenie?

Ale ta osoba nie jest grafologiem. Nasze rozwiązanie porównuje zaś cechy dynamiczne poszczególnych elementów obu podpisów i w ten sposób określa autentyczność. Narzędzia te mają wspomóc analizę podpisów już złożonych na papierze i tych zeskanowanych w późniejszym czasie. Zadaniem specjalnego oprogramowania jest pomoc pracownikowi instytucji finansowej, który nie jest grafologiem, w podjęciu czasami trudnej decyzji o autoryzacji ważnych operacji.