O St.Galler Kantonalbank AG (SGKB) estava procurando uma nova solução para proteger e controlar melhor o acesso aos aplicativos do próprio banco em trânsito e no exterior. Com a Swisscom, a SGKB estabeleceu um conceito de “traga seu próprio dispositivo” para os funcionários e combinou facilidade de uso com um alto nível de segurança que atende aos rigorosos requisitos bancários – a custos mais baixos e com menos esforço administrativo.
Como a instituição financeira líder no leste da Suíça, o St.Galler Kantonalbank (SGKB) oferece serviços financeiros abrangentes para clientes particulares e empresariais há mais de 150 anos. Emprega um total de 1.200 pessoas em sua sede em St. Gallen e nas 38 filiais adicionais. Destes, cerca de 300 funcionários do banco e cerca de 100 funcionários externos precisam acessar regularmente os aplicativos do banco fora do escritório. Estes incluem passageiros transfronteiriços na Áustria e na Alemanha, bem como administradores de sistema, alguns dos quais precisam de acesso a aplicativos do exterior.
Segurança em detrimento da facilidade de uso
Guido Kölliker é Chief Information Security Officer da SGKB desde 1 de julho de 2017 e nesta função é responsável pela segurança da informação do banco. Um dos primeiros desafios como CISO foi melhorar a segurança da autenticação de dois fatores de acesso remoto, bem como um controle mais forte do acesso regional do exterior. Até então, os funcionários que queriam fazer login enquanto viajavam o faziam com um token RSA ou SMS como segundo fator além da senha. O token físico gerava um código de segurança de seis dígitos que o usuário precisava inserir para fazer login. O mesmo acontecia com o SMS, que gerava um código de quatro dígitos.
No entanto, o token RSA era impopular entre gerentes e funcionários por vários motivos. Por um lado, significava um dispositivo adicional que os funcionários precisavam carregar o tempo todo para acessar os aplicativos. Em segundo lugar, a função de geo-fencing baseada em IP foi facilmente contornada por VPNs e, portanto, por si só, não forneceu o nível de segurança necessário para acesso do exterior. Assim, como alternativa, a autenticação via SMS foi testada como um segundo fator para substituir o dispositivo adicional e incluir mais os dispositivos privados (smartphones) dos funcionários.
"Assim que um funcionário esquecia seu token RSA em casa, ele não podia trabalhar", lembra Kölliker. "Por isso eu estava procurando uma solução que incluísse o smartphone dos funcionários. Afinal, você sempre leva seu smartphone particular com você. Por meio do SMS, estabelecemos os dispositivos dos funcionários como um segundo fator, mas esse método não oferecia o nível de segurança, já que foi comprovado que pode ser aproveitado no passado."
Procura-se: segurança, usabilidade e controle
A nova solução, portanto, deveria oferecer um alto nível de segurança, usabilidade e maior controle sobre o acesso estrangeiro em igual medida. A busca pela tecnologia apropriada inicialmente se mostrou difícil. Uma solução baseada em aplicativo que usava ruído de fundo para verificação foi descartada porque os microfones necessários no computador privado do usuário teriam causado custos adicionais. As soluções baseadas em dispositivos que usavam um cartão inteligente como segundo fator, por exemplo, também eram inadequadas porque acarretavam os mesmos problemas do token RSA e envolviam muita administração.
Durante a busca, Kölliker também conversou com a Swisscom, com quem a SGKB já trabalha há anos com sucesso. Por um lado, a Swisscom opera a infraestrutura de TIC e os locais de trabalho da SGKB; por outro lado, os locais de trabalho dos funcionários foram migrados para o Windows 10 na época e atualmente estão renovando a infraestrutura com desktops, laptops e thin clients. Há algum tempo, havia discussões sobre a possibilidade de implementar uma autenticação forte de 2 fatores juntamente com a renovação dos locais de trabalho. No entanto, devido a dependências de agendamento, isso foi adiado para uma data posterior.
Com o Mobile ID, a Swisscom ofereceu uma solução que atendeu a todos os requisitos da SGKB. Ele permite o controle interno do acesso remoto, permitindo que autorizações de acesso de diferentes países sejam concedidas e revogadas temporariamente pelos próprios funcionários do banco por meio de listagem branca/negra. Outro avanço significativo é que a verificação não é baseada em IP, mas ocorre através da rede móvel. "Tentar falsificar um local diferente aqui exigiria um alto grau de energia criminosa, pois o local é determinado com base na torre de rádio e no provedor do respectivo país. Isso é muito mais difícil de contornar", diz Guido Kölliker, da satisfação.
Além disso, o Mobile ID funciona independentemente do dispositivo terminal e pode ser usado nos smartphones dos funcionários sem um aplicativo adicional, o que reduz muito os custos e o esforço administrativo. Ao fazer o login, o usuário insere seus dados, recebe uma notificação no smartphone (independentemente de estar ligado ou desligado) e confirma o login via Mobile ID com um PIN de seis dígitos, que é definido individualmente com antecedência e pode ser alterado a qualquer momento.
Adaptação às necessidades individuais
A mudança para Mobile ID começou em setembro de 2018 e ocorreu sem problemas, embora alguns obstáculos ainda tenham surgido durante o processo de implementação.
"Os requisitos para a solução eram únicos, pois a SGKB queria executar a administração de geofencing em si, mas a infraestrutura estava sendo executada na plataforma Citrix da Swisscom. Não tivemos uma situação como essa no passado", comenta Swisscom. "Tivemos que garantir que Mobile ID fosse compatível com o ambiente Citrix e que as alterações do Active Directory fossem adotadas sem problemas no back-end de Mobile ID. Tivemos que incorporar essas alterações rapidamente, mas conseguimos fazê-lo muito bem dentro do Ao final, o projeto foi concluído conforme o planejado.
Como parte da mudança, os 300 funcionários e 100 externos que precisam acessar o aplicativo bancário enquanto viajam receberam cartões SIM novos e habilitados para Mobile ID para seus dispositivos privados, que foram vinculados à sua conta de usuário no banco. Aqueles que ainda não eram clientes da Swisscom ou fornecedores sócios Mobile ID receberam um cartão SIM extra para fazer login.
Desde abril de 2019, os funcionários agora usam exclusivamente Mobile ID como um segundo fator para fazer login enquanto estão em movimento. Guido Kölliker expressa sua satisfação com a mudança: "Foi particularmente importante para mim que o controle de acesso estrangeiro esteja em nossas mãos e que os funcionários também sigam o caminho, caso contrário não teria funcionado. encontramos uma solução que foi muito bem recebida pela equipe e ao mesmo tempo oferece a segurança necessária no ambiente bancário."
Apenas o primeiro passo
Após a introdução bem-sucedida do Mobile ID para funcionários remotos, Guido Kölliker gostaria de introduzir essa forma de autenticação de dois fatores em todos os funcionários do escritório até o final de 2019, a fim de fortalecer a segurança geral no banco. Ele também recebe suporte interno do departamento de RH, que também quer integrar mais fortemente os smartphones privados no dia a dia do trabalho para registrar melhor as horas de trabalho, por exemplo. Ele, portanto, tira uma conclusão provisória completamente positiva:
"Com Mobile ID, pudemos mostrar que os conceitos de traga seu próprio dispositivo também podem funcionar muito bem no ambiente bancário sem comprometer a segurança. Além disso, estabelecemos uma base importante para o progresso digital e, no futuro, , poderemos processar convenientemente assinaturas eletrônicas qualificadas ou declarações de intenção por meio do smartphone, o que, por sua vez, será mais conveniente para os clientes.