Bezpieczny bank - najlepsze praktyki

Miłosz Brakoniecki, Obserwatorium.biz Łukasz Bobrek, Securing
opublikowano: 21-04-2021, 20:00

Eksperci od bezpieczeństwa wskazali trzy projekty, które zasługują na wyróżnienie w rankingu Złoty Bankier.

Bezpieczeństwo cyfrowe banków jest tak samo ważne jak inne elementy infrastruktury krytycznej. Warto o nie właściwie zadbać.

Pięć lat temu, gdy realizowaliśmy wspólnie - jako Obserwatorium.biz i Securing - pierwszą analizę bezpieczeństwa bankowości elektronicznej, byliśmy ciekawi reakcji rynku na tę pionierską próbę wyróżnienia banków, stosujących najlepsze praktyki w tym kluczowym obszarze działalności. Okazało się, że sam ranking został dobrze przyjęty, zdobywcy wyróżnień je doceniali, a przede wszystkim równolegle z całym rynkiem umiejętnie wdrażali coraz to bardziej zaawansowane rozwiązania i podwyższali standardy techniczne.

Rynek inwestuje też coraz mocniej w edukację klienta. Dzisiaj nikt już nie musi przekonywać do korzystania z bankowości elektronicznej – w dobie trwającej pandemii używają jej niemal wszyscy klienci, co oznacza, że jej bezpieczeństwo jest podobnie istotne dla funkcjonowania gospodarki i społeczeństwa, jak bezpieczeństwo infrastruktury energetycznej czy medycznej.

W edycji 2021 do grona zeszłorocznych laureatów, czyli Alior Banku i Getin Banku, dołączył znany z wyróżnienia we wcześniejszych edycjach mBank. Pionier cyfrowej bankowości w Polsce powrócił do ścisłej czołówki, uzyskując zrównoważone wyniki w zakresie bezpieczeństwa aplikacji mobilnej i serwisu internetowego. Tradycyjnie wyróżnił się w sferze edukacji dzięki kampaniom medialnym i rozwiązaniom takim jak CyberRescue. Z pozostałych wyróżnionych banków Alior Bank uzyskał najwyższy wynik w kategorii mobile, natomiast Getin Bank został liderem w podrankingu serwisów internetowych.

Wyniki analizy bezpieczeństwa bankowości elektronicznej 2021 oraz wnioski i prognozy - w telegraficznym skrócie:

Po pierwsze - edukacja

- mBank jest zdecydowanym liderem w obszarze edukacji w zakresie bezpieczeństwa. Kompleksowo, czytelnie i w wielu kanałach informuje klientów o ryzyku i dobrych praktykach korzystania z cyfrowej bankowości.

- Wiele banków cały czas po macoszemu traktuje kanał mobilny w kontekście informowania o zasadach bezpieczeństwa – a tam jest przecież najwięcej codziennych interakcji z klientami i realizowanych transakcji!

Biometria standardem, czas na algorytmy

- W większości banków można logować się z użyciem biometrii telefonu (odcisk palca lub twarzy).

- Banki wprowadzają algorytmy pozwalające np. na dobór lub rezygnację z metod autoryzacji w zależności od rodzaju transakcji (np. niskokwotowe przelewy). W przypadku transakcji niskiego ryzyka systemy bankowe stosują czasem rozwiązania automatyczne, niezależne od ustawień użytkownika, i np. nie wymagają potwierdzenia transakcji, choć klient wskazał to jako wymóg. Takie rozwiązania, wprowadzanie dla wygody użytkowników, wbrew intencjom mogą budzić podejrzenia, że serwis działa nieprawidłowo, a zatem nie jest bezpieczny. Dlatego wdrożenie rozwiązań bezpieczeństwa IT bazujących na algorytmach i sztucznej inteligencji musi być zawsze dobrze przygotowane, również pod względem ergonomii.

Premia za możliwość wyboru

- W naszym badaniu premiujemy rozwiązania pozwalające użytkownikom samodzielnie zarządzać bezpieczeństwem. Aplikacje umożliwiają już podgląd historii autoryzacji, oferują wygodne zarządzanie limitami transakcyjnymi lub czasowe wyłączenie aktywności karty. Rynek zmierza w kierunku „kockpitu zarządzania bezpieczeństwem” jako pewnego rodzaju standardu w serwisach bankowych – to właściwa droga.

Nowe potrzeby, nowe narzędzia

- Tylko jeden bank umożliwia zastrzeganie dowodu osobistego z poziomu aplikacji mobilnej, wiele instytucji natomiast powala na zastrzeganie lub wyzerowanie limitów kart płatniczych lub ustanawianie tymczasowych limitów również przy użyciu tego kanału. Jest to słuszny krok, umożliwiający klientom szybką reakcję na incydenty, takie jak kradzież dokumentów.

- Kilka banków udostępniło w aplikacji mobilnej przycisk, który usuwa wszystkie dane przechowywane przez aplikację. Może on zostać użyty w przypadku podejrzenia obecności malware’u na telefonie.

Dokumenty pod ochroną

- Bankowość elektroniczna coraz częściej służy też do podpisywania dokumentów bankowych, np. umów i wniosków, oraz zarzadzania nimi. Niektóre banki umieją zadbać o dodatkowe zabezpieczenie tych dokumentów poprzez ich szyfrowanie.

Bez niepotrzebnych ograniczeń

- kilka banków ogranicza długość hasła, co nie jest dobrą praktyką i utrudnia ustawienie bezpiecznej frazy. Warto dać możliwość zwiększenia poziomu bezpieczeństwa bardziej świadomym klientom.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Polecane