Internetowa bankowość jest w Polsce coraz popularniejsza. Według Związku Banków Polskich liczbę aktywnych internetowych klientów na koniec ubiegłego roku szacować można na 8 mln (w tym ponad 900 tys. są to małe i średnie firmy). Przy czym liczba klientów, z którymi banki mają podpisane umowy bankowości elektronicznej, przekroczyła już 13,5 miliona.
Zagrożone informacje
Coraz większa skala bankowości elektronicznej powoduje jednak także wzrost aktywności cyberprzestępców, którzy próbują wyłudzić dane, a nieraz całe tożsamości od internetowych klientów i osiągać w ten sposób korzyści finansowe. – Grupy cyberprzestępców stosują dobrze przemyślane działania mające na celu pozyskanie cennych informacji i wykorzystują nie tylko najnowszą technologię, lecz także metody inżynierii społecznej – mówi Maciej Sobianek, specjalista ds. bezpieczeństwa sieci w Panda Security Polska.
Podkreśla on przy tym, że choć ataki typu phishing (mające na celu wyłudzanie danych) najczęściej kojarzone są z bankami, to dziś coraz częściej ich celem jest także pozyskiwania danych dostępowych do serwisów społecznościowych, portali aukcyjnych oraz skrzynek pocztowych. Dlatego nie tylko instytucje finansowe, ale i firmy działające w innych branżach powinny stosować narzędzia zapewniające kontrolę bezpieczeństwa. Tokeny generują każdorazowo unikalne hasła, chroniące nie tylko transakcje, ale także dostęp do jakichkolwiek danych, w szczególności historii i stanu kont.
Komórka zamiast breloczka
Na rynku możemy spotkać dwa rodzaje tokenów: w postaci sprzętu, tzw. hardware’owe (np. breloczki z wyświetlaczem czy kluczyki USB), lub oprogramowania, tzw. software’owe. W tej drugiej grupie jednym z rozwiązań, które ostatnio pojawiły się na rynku jest mToken, wprowadzony do oferty przez Polską Wytwórnię Papierów Wartościowych (PWPW). Jest to program, który instaluje się w telefonie komórkowym, a jego zadaniem jest generowanie haseł jednorazowych.
Aplikacja współdziała z mechanizmami zarządzania kontem przez internet. Ponieważ instalowana jest ona w telefonie, a nie na karcie SIM, nawet ewentualne sklonowanie i wykorzystanie karty SIM nie narazi użytkownika na niebezpieczeństwo.
– mToken to system uwierzytelnienia dwuskładnikowego, oferuje on generowanie haseł jednorazowych oraz uwierzytelnianie transakcji metodą challenge-response przy użyciu aplikacji zainstalowanej na telefonie komórkowym – tłumaczy Tomasz Ćwietkowki, twórca aplikacji z PWPW.
Podkreśla przy tym, że mToken obok typowych rozwiązań, które oferują tego rodzaju produkty, ma dodatkowo całkowicie nowe funkcjonalności będące przedmiotem rozpoczętego postępowania patentowego. Są to nowatorski mechanizm synchronizacji aplikacji telefonicznej z serwerem, sposób wizualnej weryfikacji stanu synchronizacji oraz zabezpieczenie antyphishingowe polegające na prezentowaniu przez aplikację webową własnego hasła jednorazowego dla pragnącego zalogować się użytkownika.
Przedstawiciel PWPW twierdzi, że mToken to produkt nie tylko dla instytucji bankowych, ale także dla małych i średnich firm.
– Wyobraźmy sobie niewielką firmę opierającą swą działalność na pracy handlowców oraz współpracującą z siecią resellerów. Zabezpieczenie dostępu do systemu zbierania zamówień ma znaczenie kluczowe dla jej funkcjonowania – przekonuje Tomasz Ćwietkowski.
Pożytek dla firmy
mToken ma istotną zaletę dla mniejszych firm. Może to być usługa, gdzie część serwerowa będzie hostowana po stronie PWPW. Taki sposób wykorzysta nia aplikacji w najbliższym czasie firma zaproponuje sektorowi MSP. Jest też tańszy od tokena sprzętowego. – Dodajmy jeszcze wygodę użytkownika. Token sprzętowy to kolejny przedmiot, o którym musimy pamiętać i który musimy ze sobą zabierać. Natomiast mała aplikacja zainstalowana w telefonie mobilnym jest o wiele wygodniejsza, bo o tym, by zabrać ze sobą komórkę rzadko zapominamy – przekonuje Ćwietkowski.
A co w sytuacji, gdy użytkownikowi zostanie ukradziona komórka lub ją zgubi? – Wtedy powinien powiadomić o tym operatora chronionego systemu, czyli na przykład bank. Natychmiast zablokowany zostanie dostęp przy użyciu aplikacji mToken z dotychczasowym kodem aktywacyjnym. Użytkownik otrzyma nowy kod, który pozwoli mu ponownie korzystać z dobrodziejstw mTokena – wyjaśnia Tomasz Ćwietkowski.
