POBIERZ DODATEK "ZŁOTY BANKIER" >>
Wraz z rozwojem technologicznym hasło „bezpieczny bank” nabiera zupełnie nowego znaczenia, z czego polskie banki zdają sobie doskonale sprawę. Klienci raczej nie. W tegorocznej edycji Złotego Bankiera postanowiliśmy sprawdzić właśnie z punktu widzenia użytkownika dostępność systemową serwisów bankowości elektronicznej, stosowane narzędzia uwierzytelniania i autoryzacji przy korzystaniu z bankowości elektronicznej oraz płatności elektronicznych, poufność połączenia między bankiem a klientem, proces rejestracji urządzenia mobilnego, jakość haseł i procedury ich odzyskiwania oraz zabezpieczenie przed atakami hakerów na użytkowników. Osobno przyjrzeliśmy się, jak wygląda edukacja klienta w zakresie bezpiecznego korzystania z bankowości elektronicznej, obsługa zgłoszeń incydentów oraz stosowane mechanizmy powiadomień o zdarzeniach związanych z bezpieczeństwem.
Badanie 18 banków z wykorzystaniem czterech niezależnych automatycznych narzędzi oraz ponad pięćdziesiąt cech weryfikowanych manualnie prowadziły dwie firmy: Obserwatorium.biz oraz Securing. Czas trwania: styczeń-marzec 2016. Wnioski? Różnie bywa z aktualizowaniem zabezpieczeń i edukowaniem klientów w zakresie bezpiecznego korzystania z kanałów elektronicznych, choć widać pozytywne zmiany w tym zakresie. Najpopularniejsze zabezpieczenie wciąż sanowi hasło i identyfikator do logowania oraz kody SMS do autoryzacji wykonywanych transakcji. Karty z kodami statycznymi to już przeszłość, choć kilka banków jeszcze ma je w ofercie. Podobnie wygląda sprawa z tokenami sprzętowymi, których żaden z badanych banków nie oferował jako podstawowe narzędzie autoryzacji. W przypadku aplikacji ogólny poziom zabezpieczeń jest wysoki. Proces odblokowania dostępu najczęściej odbywa się poprzez połączenie z infolinią banku. W czasie rozmowy klienta uwierzytelnia się za pomocą danych statycznych typu numer PESEL czy nazwisko panieńskie matki oraz odpowiadającna dodatkowe pytanie o produkty. Banki cały czas inwestują w rozwój funkcjonalności dostępnych w bankowości mobilnej, co przekłada się na coraz większe znaczenie mechanizmów autoryzacji z poziomu aplikacji. Ponadto coraz częściej odchodzą od blokowania możliwości instalacji aplikacji na urządzeniach zrootowanych. Miejsce ścisłej polityki bezpieczeństwa coraz częściej zajmuje edukacja i informowanie klienta o potencjalnych zagrożeniach i sposobach zabezpieczania swoich telefonów. Na ostateczną ocenę najlepszych praktyk w zakresie bezpieczeństwa składały się oceny cząstkowe o określonej wadze. W badaniu serwisów internetowych maksymalnie do zdobycia były 254 pkt. w tym 100 pkt. za testy wykonywane przez automat i 151 pkt. za testy manualne. W badaniu aplikacji mobilnych, w których suma wynosiła 88 pkt., podział wynosi odpowiednio: 25 i 64 pkt. Łącznie można było zdobyć 342 pkt. Po przeanalizowaniu 18 banków okazało się, że różnica w punktacji trzech najlepszych banków jest tak nieznaczna, że zapadła decyzja o przyznaniu trzech równorzędnych wyróżnień za najlepsze praktyki w zakresie bezpieczeństwa mBankowi, Millennium oraz ING Bankowi Śląskiemu. Na wyróżnienie w poszczególnych elementach badania zasługują też: mBank za akcję edukacji klientów mBank, Bank Ochrony Środowiska, BPH i Pekao za dostępności serwisów internetowych PKO BP w zakresie bezpiecznego szyfrowania połączenia do bankowości elektronicznej Millennium za innowacyjne podejście do odblokowania kanału internetowego z wykorzystaniem bankomatu. eurobank za token mobilny oraz za pierwsze wdrożenie na rynku oprogramowania IBM Trusteer dostępnego dla każdego klienta Citi Handlowy za wdrożenie zabezpieczenia antymalware w aplikacji mobilnej ING Bank Śląski za proces weryfikacji ważności dowodu, a ponadto za pomoc w weryfikacji danych przelewu w trakcie wklejania numeru rachunku w bankowości internetowej BZ WBK jest wzorem, jeśli chodzi o implementację mechanizmów bezpieczeństwa na poziomie nagłówków http.