Wynalazek, który powstał w Alior Banku to przyszłość bezpiecznej bankowości internetowej

Technologia zmienia nasz świat. Czasem nie do poznania. Jedna rzecz jednak pozostaje w nim stała. Pieniądze. Zmieniają się waluty, ich nośniki, sposób w jaki dokonujemy transakcji i tak dalej, ale koncepcja dzisiejszego pieniądza wcale nie różni się tak bardzo od swoich pierwotnych wersji. To samo można powiedzieć o kradzieży pieniędzy.

Kilka dekad temu polegało to na broni palnej, masce na twarzy i szybkim samochodzie pod bankiem. Dzisiaj najwięcej kradzieży pieniędzy dokonuje się za pomocą różnego typu oprogramowania.

Są to narzędzia, które potrafią podmienić numer konta bankowego w schowku pamięci waszego komputera. Fałszywe strony udające witrynę waszego banku albo niewidzialne procesy, które bez naszej wiedzy zapisują loginy i hasła do kont bankowych, żeby przekazać je swoim twórcom. Dziesiątki rozwiązań, które tylko czekają na moment naszej nieuwagi.

Najbardziej łakomymi kąskami dla nowego pokolenia przestępców są firmy. Jak wynika z raportu PwC, w 2015 roku infrastruktura IT w ponad połowie firm zarejestrowanych w Polsce była atakowana przynajmniej 6 razy. Ma to sens. Prywatni użytkownicy kont bankowych zazwyczaj nie dysponują zbyt dużą kwotą na swoim rachunku.

A firmy? Na kontach niektórych z nich znajdują się setki milionów złotych. Jesteście w stanie, bez zastanawiania się, wskazać jakąkolwiek platformę czy komputerowy system bezpieczeństwa, któremu powierzylibyście taką kwotę bez żadnych obaw? Jeśli odpowiedzieliście twierdząco, to mam złą wiadomość.

— Dzisiejsze systemy operacyjne są tak skomplikowane i tak rozbudowane, że zawsze może znaleźć się w nich jakaś luka. Proszę spojrzeć chociażby na liczbę aktualizacji udostępnianych co miesiąc dla najpopularniejszych systemów. Zarówno tych stacjonarnych, jak i mobilnych. My po prostu nie możemy sobie pozwolić na pełne zaufanie do infrastruktury po stronie klienta – mówi Paweł Ogonowski, starszy menedżer ds. inżynierii bezpieczeństwa systemów informatycznych w Alior Banku.

Nie jest to zresztą żadną tajemnicą. W erze automatyzacji i wymiany danych przez sieć, banki nadal stosują typowe rozwiązania. Potwierdzenie przelewu przez telefon, własnoręczne dostarczenie numerów kont bankowych swoich kontrahentów, etc.

Sposobów jest wiele, ale wszystkie mają ten sam wydźwięk: drogi kliencie, boimy się, że gdzieś w twoim systemie może czaić się pułapka, przez którą stracisz swoje pieniądze. Klienci oczywiście ze zrozumieniem kiwają głową, ale bez mrugnięcia okiem zamieniliby te wszystkie rozwiązania na coś szybszego i niezawodnego.

Możecie wierzyć lub nie, lecz urządzenie, którego prototyp miałem okazję oglądać z bliska, nie powstało jako korporacyjny projekt. Zaczęło się od luźnych rozmów kilku utalentowanych osób i pracy po godzinach. Do pełnego obrazka historii rodem z Doliny Krzemowej brakuje w zasadzie tylko garażu. No, ale nikt nie jest idealny.

Zdjęcia, które oglądacie w tym tekście to dopiero prototypy. Kiedy urządzenie pojawi się na rynku będzie oczywiście ładniejsze, ale nie to jest najważniejsze. Chodzi o to, co ten gadżet potrafi. Aha, jeśli chcielibyście poznać jego nazwę, to na razie musicie zadowolić się "bezpiecznym urządzeniem kryptograficznym". Pamiętajcie - produkt nie jest jeszcze ukończony.

No dobrze, ale co właściwie robi to urządzenie kryptograficzne? Bez wchodzenia zbyt głęboko w technikalia, najlepiej myśleć o nim, jako o "wycinku" bankowego systemu bezpieczeństwa, bezpiecznej przestrzeni dla naszych pieniędzy albo jak o sejfie przyszłości. Jego obsługa jest banalnie prosta. Podłączamy urządzenie do komputera przy pomocy kabla USB. Żadnego instalowania sterowników ani skomplikowanej konfiguracji. Plug & Play.

Po podłączeniu do komputera, urządzenie to odrobinę zmienia sposób wykonywania przelewów z naszego konta. Ale spokojnie, nie są to wielkie zmiany. Zanim wykonamy przelew, na ekranie urządzenia wyświetli się informacja o koncie, na które chcemy wysłać pieniądze. Następnie urządzenie poprosi nas o jego weryfikację przez wpisanie kilku cyfr rachunku kontrahenta, a całą transakcję potwierdzimy wstukując na nim nasz PIN. Nic trudnego.

Najważniejsze rzeczy dzieją się bez udziału użytkownika. Urządzenie posiada wbudowany chip kryptograficzny, działający w oparciu o technikę krzywych eliptycznych. Zaszyte w nim klucze zostały skonstruowane w taki sposób, że klucz prywatny nigdy nie opuszcza samego urządzenia, a wszystkie dane, które to robią, szyfrowane są przy pomocy algorytmu AES256 ze zmiennym kluczem transportowym wyliczanym przez algorytm Diffiego-Hellmana. Jeśli nie wiecie, o czym mówię, cały ten akapit oznacza, że dane odpowiadające za bezpieczeństwo waszego konta bankowego chronione są zgodnie z najwyższymi, kryptograficznymi standardami.

A co najlepsze - ochrona ta jest całkowicie niezależna od waszego komputera, zainstalowanego na nim oprogramowania, routera, firewalla czy serwera firmowego. To małe urządzenie komunikuje się bezpośrednio z systemem Alior Banku. Nieważne ile złośliwych programów znajduje się po stronie klienta. Nie mogą one nic wskórać. Pieniądze trafiają tam, gdzie życzy sobie tego klient. Nawet taki, który totalnie nie radzi sobie z zabezpieczeniem swojego systemu.

Pomysł moim zdaniem jest genialny i jestem szczerze zdziwiony, że nikt wcześniej nie wpadł na podobne rozwiązanie. Właśnie tak. Na rynku nie znajduje się żadna alternatywa dla tego polskiego wynalazku.

Najbardziej zbliżone rozwiązania wykonywane są na zamówienie i kosztują fortunę. Zgadnijcie, ile kosztować będzie to polskie urządzenie kryptograficzne. 50 zł. Pół stówki. W zasadzie tyle co nic. Alior Bank nie chce bowiem zarabiać na jego sprzedaży. Z ich punktu widzenia to się zupełnie nie opłaca.

Wolą oferować je „po kosztach” w celu zwiększenia standardu bezpieczeństwa transakcji, którym pośredniczą. Wyższy standard to wyższa satysfakcja klientów. A zadowoleni klienci to najlepsza reklama ich banku.

Alior Bank chce zostać pionierem nowej ery bezpieczeństwa bankowości internetowej. Swoje rozwiązanie zaprezentował już członkom Związku Banków Polskich, gdyż chciałby, aby w przyszłości stało się ono standardem sieciowych transakcji. Niczego nie ukrywa. Zasady działania oraz wykorzystane algorytmy podawane są na tacy, co wydaje się działaniem wbrew logice. Przypominam jednak, że tak samo, jeśli chodzi o kwestie szyfrowania danych, robią najbardziej zaufane firmy zajmujące się bezpieczeństwem i kryptografią. Open Whisper Systems, firma odpowiedzialna za komunikator Signal polecany przez Edwarda Snowdena, ma takie samo podejście.

Alior Bank chce w pierwszej kolejności oferować swój nowy sposób zabezpieczania transakcji firmom. Przy tak niskim koszcie pojedynczego urządzenia, wyposażenie w nie nawet dużego działu księgowości nie będzie ogromnym wydatkiem dla firmy. Poziom bezpieczeństwa, który gwarantuje to rozwiązanie, jest bezcenny. I nie byłbym wielce zdziwiony, gdyby wynalazkiem Polaków zaczęły interesować się zagraniczne podmioty. Moim zdaniem jest to brakujący element układanki, który pozwoli bankowości internetowej w pełni wkroczyć w XXI wiek.

Potrzeba mu jeszcze tylko chwytliwej nazwy. Na szczęście nie jest to aż takie ważne.