St.Galler Kantonalbank AG (SGKB) letade efter en ny lösning för att bättre säkra och kontrollera åtkomsten till bankens egna applikationer på resande fot och från utlandet. Med Swisscom etablerade SGKB ett bring-your-own-device-koncept för medarbetarna och kombinerad användarvänlighet med hög säkerhetsnivå som möter de hårda kraven inom bankverksamheten – till lägre kostnader och med mindre administrativ ansträngning.
Som den ledande finansiella institutionen i östra Schweiz har St.Galler Kantonalbank (SGKB) erbjudit omfattande finansiella tjänster till privat- och företagskunder i över 150 år. Den sysselsätter totalt 1 200 personer vid sitt huvudkontor i St. Gallen och i de ytterligare 38 filialerna. Av dessa behöver cirka 300 bankanställda och cirka 100 externa medarbetare regelbundet komma åt bankens applikationer utanför kontoret. Dessa inkluderar gränspendlare i Österrike och Tyskland samt systemadministratörer, av vilka några behöver tillgång till ansökningar från utlandet.
Säkerhet på bekostnad av användarvänligheten
Guido Kölliker är sedan 1 juli 2017 Chief Information Security Officer på SGKB och ansvarar i denna roll för bankens informationssäkerhet. En av de första utmaningarna som CISO var att förbättra säkerheten för 2-faktors autentisering av fjärråtkomst samt starkare kontroll av regional åtkomst från utlandet. Fram till dess gjorde anställda som ville logga in medan de var på väg det med en RSA-token eller SMS som en andra faktor utöver lösenordet. Den fysiska token genererade en sexsiffrig säkerhetskod som användaren var tvungen att ange för att logga in. Detsamma gällde för SMS:et som genererade en fyrsiffrig kod.
RSA-tokenet var dock impopulärt bland både chefer och personal av flera anledningar. För det första innebar det en extra enhet som anställda var tvungna att bära med sig hela tiden för att komma åt applikationer. För det andra förbigicks den IP-baserade geo-fenceringsfunktionen lätt av VPN och gav således inte ensam den nödvändiga säkerhetsnivån för åtkomst från utlandet. Därför testades som ett alternativ autentisering via SMS som en andra faktor för att ersätta den extra enheten och för att inkludera de anställdas privata enheter (smartphones) mer.
"Så fort en anställd glömt sin RSA-token hemma kunde han inte arbeta", minns Kölliker. "Därför letade jag efter en lösning som inkluderade medarbetarnas smartphone. Man packar trots allt alltid med sig sin privata smartphone. Genom SMS etablerade vi medarbetarnas enheter som en andra faktor, men denna metod erbjöd inte önskat säkerhetsnivån, eftersom den hade visat sig kunna utnyttjas tidigare."
Sökes: säkerhet, användbarhet och kontroll
Den nya lösningen var därför tvungen att erbjuda en hög nivå av säkerhet, användbarhet och större kontroll över utländsk tillgång i lika hög grad. Sökandet efter lämplig teknik visade sig initialt vara svårt. En appbaserad lösning som använde bakgrundsljud för verifiering uteslöts eftersom de erforderliga mikrofonerna på användarens privata dator skulle ha orsakat extra kostnader. Enhetsbaserade lösningar som använde ett smartkort som en andra faktor var till exempel också olämpliga eftersom de innebar samma problem som RSA-token och innebar mycket administration.
Under sökandet kom Kölliker också i samtal med Swisscom, som SGKB redan har arbetat framgångsrikt med i flera år. Å ena sidan driver Swisscom SGKB:s ICT-infrastruktur och arbetsplatser; å andra sidan migrerades de anställdas arbetsplatser till Windows 10 vid den tiden och förnyar just nu infrastrukturen med stationära datorer, bärbara datorer och tunna klienter. Sedan en tid tillbaka hade det diskuterats om möjligheten att implementera en stark 2-faktors autentisering tillsammans med förnyelse av arbetsplatserna. Men på grund av schemaläggningsberoenden sköts detta upp till ett senare datum.
Med Mobile ID hade Swisscom en lösning som uppfyllde alla SGKB:s krav. Det möjliggör intern kontroll av fjärråtkomst genom att tillåtelsebehörigheter från olika länder kan beviljas och återkallas tillfälligt av bankens egna anställda via vit/svartnotering. Ett annat betydande framsteg är att verifieringen inte är IP-baserad, utan sker via mobilnätet. "Att försöka fejka en annan plats här skulle kräva en hög grad av kriminell energi, eftersom platsen bestäms utifrån radiotornet och leverantören av respektive land. Detta är mycket svårare att kringgå", säger Guido Kölliker med tillfredsställelse.
Dessutom fungerar Mobile ID oberoende av terminalenheten och kan användas på de anställdas smartphones utan extra app, vilket kraftigt minskar kostnaderna och administrationsarbetet. Vid inloggning anger användaren sina uppgifter, får sedan ett meddelande på smarttelefonen (oavsett om den är på eller av) och bekräftar inloggningen via Mobile ID med en sexsiffrig PIN-kod, som ställs in individuellt i förväg och kan ändras när som helst.
Anpassning till de individuella kraven
Övergången till Mobile ID började i september 2018 och gick utan problem, även om några hinder fortfarande uppstod under implementeringsprocessen.
"Kraven på lösningen var unika genom att SGKB ville sköta administrationen av geofencing själv, men infrastrukturen kördes på Swisscoms Citrix-plattform. Vi har inte haft en sådan här situation tidigare", kommenterar Swisscom. "Vi var tvungna att se till att Mobile ID var kompatibel med Citrix-miljön och att ändringarna från Active Directory antogs smidigt i backend av Mobile ID. Vi var tvungna att införliva dessa ändringar direkt, men vi lyckades göra det väldigt bra inom Till slut slutfördes projektet som planerat.
Som en del av övergången fick de 300 anställda och 100 externa som behöver komma åt bankapplikationen när de var på resande fot nya och Mobile ID-aktiverade SIM-kort för sina privata enheter, som var kopplade till deras användarkonto på banken. De som inte redan var kunder hos Swisscom eller Mobile ID partnerleverantörer fick ett extra SIM-kort för att logga in.
Sedan april 2019 använder anställda nu exklusivt Mobile ID som en andra faktor för att logga in när de är på resande fot. Guido Kölliker uttrycker sin tillfredsställelse med bytet: "Det var extra viktigt för mig att kontrollen av utlandstillträde är i våra händer och att även de anställda följer vägen, annars hade det inte fungerat. Därför är jag väldigt glad att vi hittade en lösning som mottogs mycket positivt av personalen och som samtidigt erbjuder den trygghet som krävs i bankmiljön."
Bara det första steget
Efter den framgångsrika introduktionen av Mobile ID för distansanställda vill Guido Kölliker införa denna form av 2-faktorsautentisering över hela linjen även för alla anställda på kontoret i slutet av 2019 för att stärka den allmänna säkerheten i banken. Han får även stöd internt från HR-avdelningen som också vill integrera privata smartphones starkare i vardagen i arbetslivet för att till exempel bättre kunna registrera arbetstider. Han drar därför en genomgående positiv delslutsats:
"Med Mobile ID har vi kunnat visa att ta-din-egen-enhet-koncept också kan fungera mycket bra i bankmiljön utan att kompromissa med säkerheten. Dessutom har vi lagt en viktig grund för ytterligare digitala framsteg och i framtiden , kommer vi att bekvämt kunna behandla kvalificerade e-signaturer eller avsiktsförklaringar via smarttelefonen, vilket i sin tur blir mer bekvämt för kunderna.