Łukasz Piechowiak: Czym jest etyczny hacking? Przykłady?

Paul Heffernan: Etyczny hacking to wykorzystanie narzędzi i metod, którymi posługują się hackerzy, w celu identyfikacji słabych punktów systemu bezpieczeństwa. Różnica polega na tym, że zdobyta wiedza nie służy do dokonywania przestępstw – uzyskiwania nielegalnego dostępu, niszczenia lub kradzieży danych – lecz przeciwdziałaniu im i uszczelnianiu ochrony.

Wiele organizacji, w tym Revolut, współpracuje z zaufanymi ekspertami w ramach tzw. “bug bounty programs”. Programy te zapewniają wynagrodzenie oraz odpowiednią motywację do poszukiwania i zgłaszania potencjalnych luk w systemie bezpieczeństwa. Współpraca tego typu bywa długofalowa i korzystna dla każdej ze stron.

Ł.P.: Jak bardzo Revolut narażony jest na ataki hakerów?

P.H.: Jak każda instytucja w sektorze finansowym, zdajemy sobie sprawę z tego, że przestępcy będą brali na celownik naszych użytkowników, ich dane, finanse. Zapobiegamy temu wbudowując bezpieczeństwo w nasz produkt. Przykładami są karty wirtualne ze zmiennym numerem do bezpiecznych zakupów w Internecie oraz łatwe do kontrolowania z poziomu aplikacji ustawienia bezpieczeństwa karty.

Z jednej strony pomagamy użytkownikom wziąć sprawy w swoje ręce i samodzielnie zarządzać poziomem bezpieczeństwa karty i aplikacji. Z drugiej strony sami zatrudniamy etycznych hakerów i ekspertów do spraw bezpieczeństwa by lepiej chronić nasze systemy. Szkolimy też developerów aplikacji z tego jak tworzyć oprogramowanie, które będzie bezpieczne już od pierwszej linijki kodu.

Ł.P.: Cyber bezpieczeństwo we współczesnym świecie – co przez to rozumiesz?

P.H.: Cyber przestępcy i oszuści tworzą innowacje tak jak współczesne firmy technologiczne. Na czarnym rynku budują swoje marki i konkurują ze sobą w zakresie jakości obsługi. Kradzione dane osobowe są wystawiane i sprzedawane w Dark Webie detalicznie i hurtowo. Niektórzy sprzedawcy mają nawet swoje ratingi, programy lojalnościowe i gwarancję zwrotu kosztów.

Współczesna organizacja musi brać pod uwagę te zagrożenia, budować zdolność do obrony przed atakami i świadomie zarządzać ryzykiem cybernetycznym. Powinna sprawdzać, czy w Dark Webie ktoś nie handluje danymi jej klientów. Nasze podejście polega na przekazaniu narzędzi do cyfrowej samoobrony użytkownikom i pracownikom, ochronie systemów firmy i monitorowaniu działań oszustów na ich terenie, szukaniu powiązań między nimi.

Przy tworzeniu nowych usług stosujemy metodę “security by design”, używamy technologii szyfrujących, wielopoziomowego systemu dostępów do danych wrażliwych, kładziemy nacisk na budowanie wysokiej kultury bezpieczeństwa wśród pracowników.

Ł.P.: Jak zintegrować zasady cyber bezpieczeństwa z procesem tworzenia aplikacji?

P.H.: Wiele organizacji zastanawia się jak nadążyć za tempem zmian na rynku i wykształcić zdolność do szybkiego wprowadzania innowacji. Revolut od początku korzysta z metodyk agile oraz infrastruktury chmurowej, co pozwala na implementację wielu zmian i iteracji dziennie. To zdolność, którą musi zbudować każdy współczesny fintech.

Podejście “security by design” oznacza to, że funkcja bezpieczeństwa nie może być końcowym etapem w procesie tworzenia usługi, audytem na doczepkę, tylko pierwszym. Począwszy od szkolenia developerów, po automatyczne testowanie kodu i systemów. Tylko kombinacja kultury, procesów i technologii daje szansę skutecznej integracji funkcji bezpieczeństwa w proces tworzenia aplikacji.

Ł.P.: Po czym poznać, że fintech traktuje serio cyber bezpieczeństwo?

P.H.: Zaufanie to fundament relacji z użytkownikami. Dlatego stosujemy podejście “security by design”. Trudno mi powiedzieć, które fintechy tak postępują, a które nie. Dowodem, że takie podejście przynosi efekty choćby w postaci nowych rozwiązań, są nasze karty wirtualne ze zmiennym numerem. To coś unikatowego w ofercie instytucji finansowych. Takich funkcji i usług mamy i będziemy mieli coraz więcej, bo nasi developerzy stale zgłaszają nowe pomysły. Zaczyna się zawsze od czyjegoś pomysłu.

Ł.P.: Często najsłabszym ogniwem jest konsument, czy macie rozwiązania które chronią klientów przed nimi samymi?

P.H.: To prawda, że wiele cyberataków i oszustw polega na próbie obejścia barier technicznych i kryptograficznych poprzez przechytrzenie ludzi. Wystarczy, że ktoś udostępni swoje dane osobowe, dane dostępowe, hasła. Odbywa się to za pomocą technik nazywanych phishingiem. Szansą na ograniczenie tego ryzyka i roli haseł jest biometria.

W Revolut stosujemy silne uwierzytelnienie za pomocą odcisku palca, myślimy nad kolejnymi innowacjami. Dzielimy się wiedzą z regulatorami i bankami publikując materiały o najczęstszych próbach oszustw i najnowszych technikach kradzieży. Chodzi o to by zwiększać świadomość ryzyk na rynku i wśród konsumentów.

Ł.P.: Czy możesz wymienić kluczowe ryzyka, na które powinni uważać użytkownicy?

P.H.: Dużym problemem jest w tej chwili częstotliwość i skala kradzieży danych wrażliwych. To zjawisko globalne. Drugi rok z rzędu ogłaszany na Światowym Forum Ekonomicznym w Davos “Global Risk Report” wśród 5 globalnych ryzyk o największym prawdopodobieństwie wystąpienia wskazuje – obok trzech związanych z pogodą i przyrodą – dwa ryzyka cybernetyczne: ataków hakerskich i kradzieży danych.

W ostatnich miesiącach i latach nastąpiło wiele bardzo dużych wycieków danych. W rękach przestępców znajduje się ogromna ilość adresów email i haseł. Scamerzy wiedzą, że większość konsumentów nie radzi sobie z ustawianiem silnych unikalnych haseł osobno dla każdego konta. Dlatego, wykorzystują kradzione dane do logowania się na wszystkie konta ofiary. Nie kończy się na przejęciu jednego, ale kilkunastu.

Najlepszą metodą zabezpieczania się przed kłopotami jest w dalszym ciągu tworzenie trudnych, unikalnych haseł osobno dla każdego konta. To nie jest wygodne, trudno je wszystkie spamiętać, ale z pomocą przychodzą tu aplikacje do zarządzania hasłami.

Konsumenci powinni być wyczuleni na oszustwa phishingu, w których scamerzy próbują nas skłonić do podania danych osobowych lub haseł. Z reguły podszywają się pod oficjalną korespondencję z zaufanej organizacji. Revolut nigdy nie wyśle maila z prośbą o dane osobowe lub hasła. Nasz support komunikuje się wyłącznie poprzez czat w aplikacji.

Pytania zadał Łukasz Piechowiak.