Wyzwania informatyki bankowej 2016
wyzwania_informatyki_bankowej_0
wyzwania_informatyki_bankowej_0
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Two-factor i multi factor authentication<br />
W poprzednim punkcie wspomniałem o potrzebie silnego uwierzytelnienia<br />
z użyciem metody two-factor authentication. Zwana także czasami multi factor<br />
authentication lub 2 step authentication wymaga do poprawnego uwierzytelnienia<br />
posiadania przynajmniej dwóch z trzech rzeczy:<br />
• czegoś, co wie tylko użytkownik (np. identyfikator, nazwa użytkownika,<br />
hasło),<br />
• czegoś, co ma użytkownik (np. urządzenie mobilne),<br />
• czegoś, czym użytkownik jest (np. metody biometryczne oparte o głos,<br />
odciski placów itp.).<br />
Standardy bezpieczeństwa<br />
Nie tylko technologia, ale i standardy bezpieczeństwa starają się nadążyć za<br />
przestępcami i atakującymi. Obecnie globalnie jest stosowanych co najmniej<br />
kilkadziesiąt różnych standardów w zakresie (cyber)bezpieczeństwa. Samo<br />
ich pobieżne omówienie wystarczyłoby na osobną książkę. Dlatego ograniczyłem<br />
się tylko do jednego przykładu, który dobrze wiąże się z rynkiem finansowym<br />
oraz omówionymi wcześniej problemami. Oczywiście w sektorze<br />
finansowym w Polsce niezwykle istotnym standardem jest Rekomendacja D<br />
KNF oraz bazujące na niej wytyczne dla pozostałych podmiotów rynku finansowego.<br />
PCI DSS<br />
Standard ten jest doskonałym przykładem, jak bardzo standardy bezpieczeństwa<br />
nie nadążają za zmieniającą się dynamicznie rzeczywistością oraz<br />
wymaganiami względem realnego bezpieczeństwa. Najnowsza wersja 3.2<br />
(w trakcie pisania tego tekstu aktualną była 3.1) ma się ukazać prawdopodobnie<br />
pod koniec kwietnia <strong>2016</strong> r. Zmiany pomiędzy wersją 3.0 a 3.1 objęły<br />
m.in. zaostrzenie wymagań odnośnie testów bezpieczeństwa (w tym testów<br />
penetracyjnych) oraz uwzględniły poruszone wcześniej problemy i ataki na<br />
implementacje protokołów SSL/TLS. Szybko jednak okazało się, że wyłączenie<br />
ze środowisk produkcyjnych rozwiązań, które wspierają (tylko) starsze,<br />
a w konsekwencji niebezpieczne wersje protokołów nie jest możliwe<br />
Cybersecurity – moda, mit czy rzeczywistość?<br />
177