St.Galler Kantonalbank AG (SGKB) era alla ricerca di una nuova soluzione per proteggere e controllare meglio l'accesso alle proprie applicazioni della banca in mobilità e dall'estero. Con Swisscom, SGKB ha stabilito un concetto di porta il tuo dispositivo per i dipendenti e ha combinato facilità d'uso con un elevato livello di sicurezza che soddisfa i severi requisiti nel settore bancario, a costi inferiori e con meno oneri amministrativi.
In qualità di istituto finanziario leader nella Svizzera orientale, la St.Galler Kantonalbank (SGKB) offre servizi finanziari completi a clienti privati e commerciali da oltre 150 anni. Impiega un totale di 1.200 persone nella sua sede centrale a San Gallo e nelle altre 38 filiali. Di questi, circa 300 dipendenti di banca e circa 100 dipendenti esterni hanno bisogno di accedere regolarmente alle applicazioni della banca fuori sede. Questi includono i frontalieri in Austria e Germania, nonché gli amministratori di sistema, alcuni dei quali hanno bisogno di accedere alle applicazioni dall'estero.
Sicurezza a scapito della semplicità d'uso
Guido Kölliker è Chief Information Security Officer di SGKB dal 1° luglio 2017 e in questo ruolo è responsabile della sicurezza delle informazioni della banca. Una delle prime sfide come CISO è stata quella di migliorare la sicurezza dell'autenticazione a 2 fattori dell'accesso remoto, nonché un controllo più forte dell'accesso regionale dall'estero. Fino ad allora, i dipendenti che desideravano accedere mentre erano in viaggio lo facevano con un token RSA o un SMS come secondo fattore oltre alla password. Il token fisico generava un codice di sicurezza a sei cifre che l'utente doveva inserire per accedere. Lo stesso valeva per l'SMS, che generava un codice a quattro cifre.
Tuttavia, il token RSA era impopolare sia ai dirigenti che al personale per diversi motivi. In primo luogo, significava un dispositivo aggiuntivo che i dipendenti dovevano portare sempre con sé per accedere alle applicazioni. In secondo luogo, la funzione di geofencing basata su IP è stata facilmente aggirata dalle VPN e quindi da sola non ha fornito il livello di sicurezza necessario per l'accesso dall'estero. Pertanto, in alternativa, è stata testata l'autenticazione tramite SMS come secondo fattore per sostituire il dispositivo aggiuntivo e per includere maggiormente i dispositivi privati dei dipendenti (smartphone).
"Non appena un dipendente dimenticava il suo token RSA a casa, non poteva lavorare", ricorda Kölliker. "Ecco perché stavo cercando una soluzione che includesse lo smartphone dei dipendenti. Dopotutto, porti sempre con te il tuo smartphone privato. Tramite SMS, abbiamo stabilito i dispositivi dei dipendenti come secondo fattore, ma questo metodo non offriva il desiderato livello di sicurezza, poiché era stato dimostrato di poter essere sfruttato in passato."
Cercasi: sicurezza, usabilità e controllo
La nuova soluzione doveva quindi offrire in egual misura un elevato livello di sicurezza, usabilità e un maggiore controllo sugli accessi esteri. La ricerca della tecnologia appropriata inizialmente si è rivelata difficile. Una soluzione basata su app che utilizzava il rumore di fondo per la verifica è stata esclusa perché i microfoni richiesti sul computer privato dell'utente avrebbero causato costi aggiuntivi. Anche le soluzioni basate sui dispositivi che utilizzavano una smart card come secondo fattore, ad esempio, non erano adatte perché comportavano gli stessi problemi del token RSA e richiedevano molta amministrazione.
Durante la ricerca, Kölliker ha anche parlato con Swisscom, con la quale SGKB collabora con successo già da anni. Da un lato, Swisscom gestisce l'infrastruttura ICT e le postazioni di lavoro di SGKB; d'altra parte, i luoghi di lavoro dei dipendenti sono stati migrati a Windows 10 in quel momento e stanno attualmente rinnovando l'infrastruttura con desktop, laptop e thin client. Da tempo si discuteva sulla possibilità di implementare una forte autenticazione a 2 fattori insieme al rinnovo dei luoghi di lavoro. Tuttavia, a causa delle dipendenze di pianificazione, questo è stato posticipato a una data successiva.
Con Mobile ID, Swisscom aveva in offerta una soluzione che soddisfaceva tutti i requisiti di SGKB. Consente il controllo interno dell'accesso remoto consentendo di concedere e revocare temporaneamente autorizzazioni di accesso di diversi paesi da parte dei dipendenti della banca tramite white/black list. Un altro progresso significativo è che la verifica non è basata su IP, ma avviene tramite la rete mobile. "Cercare di falsificare una posizione diversa qui richiederebbe un alto grado di energia criminale, poiché la posizione è determinata sulla base della torre radio e del fornitore del rispettivo paese. Questo è molto più difficile da aggirare", afferma Guido Kölliker con soddisfazione.
Inoltre, Mobile ID funziona indipendentemente dal dispositivo terminale e può essere utilizzato sugli smartphone dei dipendenti senza un'app aggiuntiva, il che riduce notevolmente i costi e lo sforzo amministrativo. All'accesso l'utente inserisce i propri dati, quindi riceve una notifica sullo smartphone (indipendentemente dal fatto che sia acceso o spento) e conferma l'accesso tramite Mobile ID con un PIN di sei cifre, che viene impostato individualmente in anticipo e può essere modificato in qualsiasi momento.
Adeguamento alle esigenze individuali
Il passaggio a Mobile ID è iniziato a settembre 2018 ed è avvenuto senza intoppi, anche se durante il processo di implementazione sono sorti ancora alcuni ostacoli.
"I requisiti per la soluzione erano unici in quanto SGKB voleva eseguire l'amministrazione del geofencing in proprio, ma l'infrastruttura funzionava sulla piattaforma Citrix di Swisscom. Non abbiamo mai avuto una situazione del genere in passato", commenta Swisscom. "Dovevamo assicurarci che Mobile ID fosse compatibile con l'ambiente Citrix e che le modifiche di Active Directory fossero adottate senza problemi nel back-end di Mobile ID. Abbiamo dovuto incorporare queste modifiche al volo, ma siamo riusciti a farlo molto bene all'interno del Alla fine, il progetto è stato completato come previsto.
Nell'ambito del passaggio, i 300 dipendenti e 100 esterni che devono accedere all'applicazione bancaria mentre sono in viaggio hanno ricevuto nuove schede SIM abilitate per Mobile ID per i loro dispositivi privati, che sono state collegate al loro account utente presso la banca. Coloro che non erano già clienti di Swisscom o di fornitori partner di Mobile ID hanno ricevuto una scheda SIM aggiuntiva per il login.
Da aprile 2019, i dipendenti utilizzano ora esclusivamente Mobile ID come secondo fattore di accesso durante gli spostamenti. Guido Kölliker esprime la sua soddisfazione per il passaggio: "Per me era particolarmente importante che il controllo degli accessi all'estero fosse nelle nostre mani e che anche i dipendenti seguissero la strada, altrimenti non avrebbe funzionato. Ecco perché sono molto felice che abbiamo trovato una soluzione che è stata accolta molto positivamente dal personale e allo stesso tempo offre la sicurezza necessaria nell'ambiente bancario."
Solo il primo passo
Dopo l'introduzione di successo di Mobile ID per i dipendenti remoti, Guido Kölliker vorrebbe introdurre questa forma di autenticazione a 2 fattori su tutta la linea anche per tutti i dipendenti in ufficio entro la fine del 2019 al fine di rafforzare la sicurezza generale della banca. Riceve anche supporto internamente dal dipartimento delle risorse umane, che vuole anche integrare più fortemente gli smartphone privati nella vita lavorativa quotidiana per registrare meglio, ad esempio, l'orario di lavoro. Pertanto trae una conclusione intermedia assolutamente positiva:
"Con Mobile ID, siamo stati in grado di dimostrare che i concetti Bring Your Own Device possono funzionare molto bene anche nell'ambiente bancario senza compromettere la sicurezza. Inoltre, abbiamo gettato una base importante per un ulteriore progresso digitale e, in futuro , saremo in grado di elaborare comodamente firme elettroniche qualificate o dichiarazioni di intenti tramite lo smartphone, che a sua volta sarà più conveniente per i clienti.