St.Galler Kantonalbank AG (SGKB) tražio je novo rješenje za bolju sigurnost i kontrolu pristupa vlastitim aplikacijama banke dok je u pokretu i iz inozemstva. Sa Swisscomom, SGKB je uspostavio koncept "donesi svoj uređaj" za zaposlenike i kombinirao jednostavnost korištenja s visokom razinom sigurnosti koja ispunjava stroge zahtjeve u bankarstvu – uz niže troškove i manje administrativnih napora.
Kao vodeća financijska institucija u istočnoj Švicarskoj, St.Galler Kantonalbank (SGKB) već više od 150 godina nudi sveobuhvatne financijske usluge privatnim i poslovnim klijentima. Zapošljava ukupno 1200 ljudi u svom sjedištu u St. Gallenu i u dodatnih 38 podružnica. Od toga, oko 300 zaposlenika banke i oko 100 vanjskih djelatnika redovito treba pristupiti aplikacijama banke izvan ureda. To uključuje prekogranične putnike u Austriji i Njemačkoj, kao i administratore sustava, od kojih neki trebaju pristup aplikacijama iz inozemstva.
Sigurnost na račun jednostavnosti za korištenje
Guido Kölliker je glavni službenik za informacijsku sigurnost u SGKB-u od 1. srpnja 2017. i u toj je ulozi odgovoran za informacijsku sigurnost banke. Jedan od prvih izazova kao CISO bio je poboljšati sigurnost 2-faktorske autentifikacije udaljenog pristupa kao i jača kontrola regionalnog pristupa iz inozemstva. Do tada su se zaposlenici koji su se htjeli prijaviti dok su bili na putu radili s RSA tokenom ili SMS-om kao drugim faktorom uz lozinku. Fizički token generirao je šesteroznamenkasti sigurnosni kod koji je korisnik morao unijeti za prijavu. Isto je vrijedilo i za SMS, koji je generirao četveroznamenkasti kod.
Međutim, RSA token nije bio popularan i kod menadžera i kod osoblja iz nekoliko razloga. Kao prvo, to je značilo dodatni uređaj koji su zaposlenici morali stalno nositi sa sobom kako bi pristupili aplikacijama. Drugo, VPN-ovi su lako zaobišli funkciju geo-ograđivanja temeljenu na IP-u i stoga sama nije pružala potrebnu razinu sigurnosti za pristup iz inozemstva. Stoga je, kao alternativa, testirana autentifikacija putem SMS-a kao drugi faktor za zamjenu dodatnog uređaja i više uključivanja privatnih uređaja (pametnih telefona) zaposlenika.
"Čim je zaposlenik zaboravio svoj RSA token kod kuće, nije mogao raditi", prisjeća se Kölliker. "Zato sam tražio rješenje koje uključuje pametni telefon zaposlenika. Uostalom, svoj privatni pametni telefon uvijek pakirate sa sobom. Putem SMS-a smo uspostavili uređaje zaposlenika kao drugi faktor, ali ova metoda nije dala željeno razinu sigurnosti, jer se pokazalo da se može iskoristiti u prošlosti."
Traže se: sigurnost, upotrebljivost i kontrola
Novo rješenje stoga je moralo u jednakoj mjeri ponuditi visoku razinu sigurnosti, upotrebljivosti i veću kontrolu nad stranim pristupom. Potraga za odgovarajućom tehnologijom u početku se pokazala teškom. Rješenje temeljeno na aplikaciji koje je koristilo pozadinsku buku za provjeru je isključeno jer bi potrebni mikrofoni na privatnom računalu korisnika prouzročili dodatne troškove. Rješenja temeljena na uređajima koja su koristila pametnu karticu kao drugi faktor, na primjer, također su bila neprikladna jer su povlačila iste probleme kao i RSA token i uključivala puno administracije.
Tijekom potrage Kölliker je ušao i u razgovor sa Swisscomom, s kojim SGKB već godinama uspješno surađuje. S jedne strane, Swisscom upravlja SGKB-ovom ICT infrastrukturom i radnim mjestima; s druge strane, radna mjesta zaposlenika su u to vrijeme migrirana na Windows 10 i trenutno obnavljaju infrastrukturu sa stolnim računalima, prijenosnim računalima i tankim klijentima. Već neko vrijeme se raspravljalo o mogućnosti implementacije jake 2-faktorske autentifikacije zajedno s obnovom radnih mjesta. Međutim, zbog ovisnosti o rasporedu, ovo je odgođeno za kasniji datum.
S Mobile ID, Swisscom je u ponudi imao rješenje koje je zadovoljilo sve zahtjeve SGKB-a. Omogućuje unutarnju kontrolu daljinskog pristupa dopuštajući da autorizacije pristupa iz različitih zemalja daju i privremeno oduzmu zaposlenici banke putem bijele/crne liste. Još jedan značajan napredak je da se provjera ne temelji na IP-u, već se odvija putem mobilne mreže. "Pokušaj lažiranja drugačije lokacije ovdje zahtijevao bi visok stupanj kriminalne energije, jer se lokacija određuje na temelju radio tornja i dobavljača dotične zemlje. To je mnogo teže zaobići", kaže Guido Kölliker s zadovoljstvo.
Nadalje, Mobile ID radi neovisno o terminalnom uređaju i može se koristiti na pametnim telefonima zaposlenika bez dodatne aplikacije, što uvelike smanjuje troškove i trud administracije. Prilikom prijave korisnik unosi svoje podatke, zatim dobiva obavijest na pametnom telefonu (bez obzira da li je uključen ili isključen) i potvrđuje prijavu putem Mobile ID šesteroznamenkastim PIN-om koji se unaprijed pojedinačno postavlja i može se promijeniti u bilo kojem trenutku.
Prilagodba individualnim zahtjevima
Prijelaz na Mobile ID započeo je u rujnu 2018. i prošao je bez problema, iako se tijekom procesa implementacije još uvijek pojavilo nekoliko prepreka.
"Zahtjevi za rješenje bili su jedinstveni po tome što je SGKB želio sam voditi administraciju geofencinga, ali infrastruktura je radila na Swisscomovoj Citrix platformi. Ovakvu situaciju nismo imali u prošlosti", komentira Swisscom. "Morali smo se pobrinuti da je Mobile ID kompatibilan s okruženjem Citrix i da su promjene iz Active Directory glatko usvojene u pozadini Mobile ID. Te smo promjene morali inkorporirati u hodu, ali uspjeli smo to učiniti vrlo dobro unutar Na kraju je projekt završen prema planu.
U sklopu prelaska, 300 zaposlenika i 100 eksternih osoba koje trebaju pristupiti aplikaciji za bankarstvo dok su na putu dobilo je nove SIM kartice s Mobile IDom za svoje privatne uređaje, koje su bile povezane s njihovim korisničkim računom u banci. Oni koji već nisu bili korisnici Swisscom ili Mobile ID partner pružatelja usluga dobili su dodatnu SIM karticu za prijavu.
Od travnja 2019. zaposlenici sada isključivo koriste Mobile ID kao drugi faktor za prijavu dok su u pokretu. Guido Kölliker izražava zadovoljstvo prelaskom: "Bilo mi je posebno važno da je kontrola stranog pristupa u našim rukama i da i zaposlenici slijede put, inače ne bi funkcioniralo. Zato sam jako sretan što pronašli smo rješenje koje je osoblje vrlo pozitivno prihvatilo, a ujedno nudi sigurnost potrebnu u bankarskom okruženju."
Samo prvi korak
Nakon uspješnog uvođenja Mobile ID za udaljene zaposlenike, Guido Kölliker želio bi do kraja 2019. uvesti ovaj oblik 2-faktorske autentifikacije za sve zaposlenike u uredu kako bi se ojačala opća sigurnost u banci. Internu podršku dobiva i od HR odjela, koji također želi snažnije integrirati privatne pametne telefone u svakodnevni radni život kako bi primjerice bolje bilježili radno vrijeme. Stoga donosi potpuno pozitivan privremeni zaključak:
"S Mobile ID, uspjeli smo pokazati da koncepti "donesi svoj vlastiti uređaj" također mogu vrlo dobro funkcionirati u bankarskom okruženju bez ugrožavanja sigurnosti. Osim toga, postavili smo važan temelj za daljnji digitalni napredak i, u budućnosti , moći ćemo jednostavno obraditi kvalificirane e-potpise ili izjave namjere putem pametnog telefona, što će zauzvrat biti praktičnije za kupce.