Într-o eră în care atacurile informatice şi fraudele cresc galopant şi devin din ce în ce mai complexe, nevoia de întărire a securităţii autentificării devine critică, mai ales pe zona financiar-bancară, acolo unde tot mai multe tranzacţii se realizează la distanţă. şi în România, segmentul serviciilor de internet banking a cunoscut o creştere considerabilă în ultimii ani, necesitând o dezvoltare continuă a zonei de securitate. De la accesul iniţial pe bază de user şi parolă, tot mai multe bănci au ales să întărească partea de autentificare şi autorizare prin folosirea de tokenuri, pentru a face faţă noilor ameninţări informatice care ţintesc clienţii lor.

Cele mai cunoscute şi utilizate metode în autentificarea la platformele de e-banking sunt sistemele cu tokenurile OTP (One Time Password). Practic, aceste dispozitive generează un cod unic, pe baza unui anumit algoritm, cod valabil o singură dată şi pentru o perioadă scurtă de timp – de regulă 30 de secunde – acesta fiind utilizat de client în procesul de autentificare. Modelele mai vechi de astfel de dispozitive sunt prevăzute cu un singur buton, care generează respectivul cod, în timp ce tokenurile mai noi sunt prevăzute cu o tastatură numerică şi utilizează sistemul challange response: eliberează respectivul cod numai după ce primesc un parametru suplimentar de la utilizator, pe care acesta îl introduce cu ajutorul tasta­turii. Mai nou, acest sistem OTP, de generare de parole unice, a fost încorporat în carduri, acestea fiind echipate cu un mic ecran şi tastatură digitală. De asemenea, pentru autentificare pot fi utilizate cardurile cu cip, prin intermediul unui token cu tastatură, care joacă rolul de cititor al cipului de pe card. Alături de tokenurile OTP, în zona de autentificare, în special pe segmentul „enterprise”, se folosesc tokenurile USB, pe care se pot stoca parole, certificate digitale. „Dife­renţa între un dispozitiv OTP şi unul cu conectivitate pe USB este că cele din urmă au aceste certificate pe care utilizatorul le poate folosi nu doar să se autentifice într-o aplicaţie, ci şi să semneze digital sau să se conecteze securizat la distanţă la reţeaua companiei”, arată Andreea Hârza, Unit Director în cadrul ProVision.

RSA şi Vasco concentrează piaţa de token-uri

La nivel mondial, această piaţă a auten­tificării pe sistem OTP este evaluată la 430 de milioane de dolari la nivelul lui 2008, potrivit unei analize a companiei de cercetare şi consultanţă Frost & Sullivan. Potrivit lui Ariel Avitan, expert în securitatea informaţiei din cadrul Frost & Sullivan, numărul total de tokenuri de securitate vândute la nivel global în 2008 a fost de 65 de milioane de unităţi. Dintre acestea, aproximativ 15-20 de milioane erau cardurile bancare cu sistem OTP. Studiul citat estimează o creştere a veniturilor pe piaţa OTP de 6,7% în 2009, la 460 de milioane de dolari, urmând ca, la finalul lui 2010, această piaţă să depăşească pragul de 500 de milioane de dolari. Liderul acestei pieţe este RSA, cu o cotă de piaţă de circa 62% la nivelul lui 2009. Alături de Vasco, cele două companii controlează aproximativ 80% din piaţa OTP, potrivit studiului Frost & Sullivan. Aladdin, Activit Identity şi Todos sunt alte nume semnificative pe această zonă, cu o cotă de piaţă redusă în comparaţie cu primii doi jucători.

Tokenurile OTP, preferate pentru internet banking

În România, majoritatea băncilor folosesc tokenurile OTP pentru securizarea autentificării la serviciile de internet banking, în special pe zona de retail banking. Potrivit unui studiu realizat de compania Asseco, furnizoare de soluţii în domeniul bancar, la nivelul a 20 de bănci din România, ce însumează aproximativ 90% din piaţă, circa 75% dintre instituţiile analizate utilizează tokenurile de autentificare pentru aplicaţiile de internet banking. Există însă în continuare un număr semnificativ de bănci care folosesc în procesul de autentificare la aplicaţiile de internet banking sistemul pe bază de utilizator şi parolă statică, învechit şi foarte vulnerabil în faţa noilor ameninţări. Din punct de vedere al vendorilor, segmentul autohton al tokenurilor de autentificare pentru aplicaţiile de internet banking este dominat de brandul Vasco, alături de care, într-o măsură însă mai mică, există şi dispozitive Aladdin, RSA sau, mai nou, Todos. „Tokenurile Vasco sunt cele mai răspândite în zona bancară. În jur de 70%-80% dintre bănci au implementat tokenuri Vasco în zona de internet banking. Cele mai uzitate sunt tokenurile <challange response>, cu tastatură, întrucât au şi un PIN asociat cu ele”, declară Gabriela Balaş, Product Manager în cadrul Scop Computers, unul dintre cei mai importanţi vendori ai echipamentelor Vasco în România.

Zona tokenurilor atrage noi jucători

Una dintre cele mai noi tehnologii intrate pe această zonă, în a doua parte a anului trecut, este sistemul de auten­tificare şi autorizare al tranzacţiilor pe bază de card cu cip şi token. Tehnologia este furnizată de Todos şi a fost adoptată de Raiffeisen Bank, care a comandat aproape 200.000 de astfel de dispozitive. Instituţia s-a confruntat în trecut cu cele mai multe atacuri de phishing din întregul sistem bancar românesc. Spre deosebire de tokenurile deja existente, soluţia adoptată de Raiffeisen se bazează pe tokenuri care îndeplinesc rolul de cititor al cipului de pe card, fără să mai aibă încorporată niciun fel de logică. Anterior, Raiffeisen utiliza pentru aplicaţia de internet banking un sistem mult mai simplu, bazat pe user, parolă şi cifre aleatorii din numărul cardului.
„După ce Raiffeisen şi-a schimbat sistemul de autentificare, cu tokenuri de ultimă generaţie, atacurile de phishing au dispărut, pentru că sistemul nu mai era vulnerabil. Anterior, sistemul era mai flexibil pentru clienţi, dar mai permisiv la astfel de atacuri de inginerie socială. Acum, sistemul a devenit sigur şi din perspectiva clientului, însă nu mai este atât de <user-friendly>”, declară Călin Randu, CEO IIRUC Service, parte a Raiffeisen Informatik Austria. Compania are discuţii cu alte trei bănci din România pentru introducerea acestei tehnologii Todos, proiectele fiind în prezent în faza de pilot.
Incepând de la finalul anului trecut, tokenurile şi soluţiile Todos sunt furnizate şi de Oberthur, un jucător cunoscut pentru activitatea pe zona personalizării de carduri, în baza unui parteneriat semnat la nivel global între cele două companii. În România, compania are clienţi importanţi pe zona cardurilor – BRD, Banca Transil­vania, ING sau Bancpost – şi încearcă, în baza noului parteneriat, să-şi extindă afacerile şi pe segmentul securizării accesului clienţilor de internet banking. „Oportunităţile vin din două zone. Pe piaţă sunt multe bănci care utilizează tokenuri, însă o parte semnificativă dintre echipamente sunt învechite tehnologic şi trebuie schimbate. Cele mai interesante oportunităţi vin dintre băncile care utilizează soluţii vechi sau slabe şi sunt interesate să adopte noi tehnologii”, a declarat Andrei Nagy, Finance Business Manager, Oberthur România.
În prezent, Oberthur are implementată la BRD o soluţie de autentificare pe bază de token USB, în cadrul soluţiei pentru cardurile personalizate „A la carte”. Tokenul este utilizat de angajaţii din sucursalele BRD, pentru autentificarea securizată la portalul Oberthur, pe care încarcă imaginile care vor fi imprimate pe cardurile comandate de clienţi.

Oportunităţi pe zona non-bancară

O piaţă importantă pentru sistemele de autentificare pe bază de token o reprezintă zona non-bancară. Dispozitivele token, în principal cele USB, sunt utilizate pentru accesul securizat la resursele informatice ale companiei, îmbunătăţirea securizării datelor privind criptarea lor şi folosirea semnăturii digitale, reducerea vulnera­bilităţilor prin folosirea unui sistem de management al parolelor. Astfel de soluţii au fost adoptate în companii şi organizaţii din sectorul telecomunicaţiilor, utilităţilor, bancar, dar şi cel public, după cum arată Andreea Hârza de la ProVision.
„Segmentul autentificării este încă o zonă ce urmează să fie exploatată în România. Tendinţa pentru 2010 vizează produsele de autentificare sigură, uşor de folosit, ce oferă mobilitate utilizatorului, care pot genera şi stoca cheile private, parolele şi certificatele di­gi­tale în mediul protejat al ci­pului. Vor avea succes soluţiile care permit folo­sirea unui sis­tem de control centralizat al in­fras­tructurii cons­truite pe baza dis­- pozitivelor de auten­tificare smart­card, cu conectivitate USB, dispo­zitive cu generare unică de parolă sau hi­bri­de”, a declarat reprezentantul ProVision.