Eksperci z Alior Banku znaleźli sposób na ochronę firmowego konta przed cyberatakami. Stworzyli urządzenie kryptograficzne, które zabezpiecza przelewy internetowe. SherLOCK, bo tak nazywa się przypominające wyglądem telefon komórkowy narzędzie, skutecznie szyfruje bankowe transakcje i chroni je przed złośliwym oprogramowaniem, które potrafi wykraść dane oraz pieniądze.
Do tej pory banki, by zabezpieczyć środki finansowe na rachunkach klientów przed atakami cyberprzestępców, stosowały kody jednorazowe, hasła maskowane, karty mikroprocesorowe, kody SMS itd. Alior Bank chce wprowadzić na rynek kolejne, przełomowe rozwiązanie do ochrony wykonywanych przez klientów transakcji w postaci kryptograficznego urządzenia pod nazwą SherLOCK. Obecnie trwa jego pilotaż wśród wybranej grupy klientów biznesowych. Jeśli przebiegnie pozytywnie, narzędzie wkrótce trafi do regularnego użycia. Prototyp SherLocka został zaprezentowany podczas odbywającego się na początku października w Krakowie IV Europejskiego Forum Cyberbezpieczeństwa – CYBERSEC 2018.
– Urządzenie zostało stworzone z myślą o klientach firmowych, którzy wykonują więcej transakcji niż klienci indywidualni i zazwyczaj na większe kwoty. Wierzymy, że wprowadzone przez nas teraz rozwiązanie jest dużym krokiem w kierunku podniesienia bezpieczeństwa środków biznesowych użytkowników bankowości internetowej – wyjaśnił Paweł Ogonowski, Menedżer Zespołu Bezpieczeństwa Sieci w Alior Banku.
Korzystanie z narzędzia jest banalnie proste. Wystarczy kabel USB, by podłączyć SherLOCKa do komputera – system rozpoznaje go jako kartę sieciową. Należy następnie postępować według instrukcji wyświetlanej na ekranie urządzenia. Tam widoczna jest dla użytkownika każda zatwierdzana transakcja. Narzędzie wyposażone jest w bezpieczny chip kryptograficzny, który szyfruje i skutecznie zabezpiecza klucz prywatny klienta przed skopiowaniem i nieuprawnionym użyciem.
Co ważne, mechanizm SherLOCKa działa niezależnie od poziomu bezpieczeństwa komputera klienta. Zaszyfrowany kryptogram, który jest generowany po stronie banku jest przekazywany do urządzenia bezpośrednio, bez modyfikacji, więc każda próba ingerencji w komunikację lub próba zmiany kryptogramu uniemożliwia przeprowadzenie transakcji. Głównym założeniem projektu urządzenia kryptograficznego, było właśnie zapewnienie braku możliwości ingerencji w rachunek kontrahenta na wykonywanym przelewie przed złośliwym oprogramowaniem, a w konsekwencji nieuprawnionym użyciem.
Menedżer Zespołu
Bezpieczeństwa Sieci
w Alior Banku
– Żeby wykonać szyfrowany przelew, należy podłączyć SherLOCKa do komputera. Na ekranie urządzenia wyświetli się informacja o koncie, na które chcemy wysłać pieniądze. Następnie SherLOCK poprosi o jego weryfikację przez wpisanie kilku cyfr rachunku kontrahenta, a całą transakcję potwierdzimy wstukując na nim nasz PIN – wytłumaczył Paweł Ogonowski.
SherLOCK skutecznie chroni transakcje komunikując się z bankiem w kanale szyfrowanym z dodatkowo szyfrowanymi komunikatami, gdzie klucze zabezpieczające dla każdej kolejnej komunikacji są zmieniane. Dodatkowo autoryzacja przelewu, podobnie jak dla blockchain, jest ściśle powiązana z poprzednimi transakcjami tworząc tzw. łańcuch podpisów dla konkretnego urządzenia.
Koncepcja bezpiecznego urządzenia kryptograficznego powstała w 2015 roku. – W styczniu 2016 roku zaprezentowaliśmy ją na forum Związku Banków Polskich. Oprócz samej koncepcji pokazaliśmy algorytm komunikacji z urządzeniem kryptograficznym oraz wynik przeprowadzonych w środowisku rozwojowym symulacji. Sposób działania rozwiązania oraz metody ograniczania ryzyk były szeroko dyskutowane w gronie specjalistów od bezpieczeństwa IT praktycznie z wszystkich banków działających w Polsce – oznajmił przedstawiciel Alior Banku. Już w połowie roku 2016 powstał pierwszy prototyp urządzenia kryptograficznego, który był poddawany testom i modyfikacjom. Kolejne dwa prototypy urządzenia powstały pod koniec 2016 i 2017 roku.
