Bezpieczny bank — najlepsze praktyki

  • Materiał zewnętrzny
opublikowano: 11-04-2019, 22:00

Problemy z bezpieczeństwem? Zaproś klientów do pomocy

Już po raz czwarty pod szyldem rankingu Złotego Bankiera realizowaliśmy badanie bezpieczeństwa polskich serwisów bankowości internetowej oraz aplikacji mobilnych banków. To jedyne na rynku tego typu badanie sektorowe wykonane zostało w pierwszym kwartale 2019 r. i objęło 15 wiodących banków na rynku. Weryfikowaliśmy systemy pod względem dostępności systemowej, dostępnych narzędzi uwierzytelniania i autoryzacji, poufności połączenia między klientem a bankiem, procesu rejestracji urządzenia mobilnego, logowania do serwisu i jakości stosowanych haseł oraz narzędzi uwierzytelnienia. Zwracaliśmy szczególną uwagę na podejście instytucji finansowych do edukacji klientów w zakresie bezpiecznego korzystania z bankowości elektronicznej. W tym roku zwycięzcami okazały się: Bank Millennium, Getin Noble Bank oraz mBank. Wszystkie trzy instytucje można faktycznie uznać za realizujące najlepsze rynkowe praktyki w zakresie bezpieczeństwa. Warto wspomnieć, że ocena banków była dość mocno zróżnicowana. Zdarza się, że jakość stosowanych narzędzi funkcjonalnych(sposób logowania, autoryzacji, zarządzania limitami) nie współgra z utrzymaniem odpowiednio wysokiego poziomu dla bardziej „miękkich elementów”, jak właściwa edukacja użytkowników czy też zarządzanie zgłoszeniami o potencjalnych nadużyciach.

Mobile przede wszystkim

Według danych udostępnianych przez PRNews.pl już 7,8 mln klientów korzysta aktywnie z bankowości mobilnej, w tym dla 3,6 mln jest to jedyne narzędzie obsługi w banku. To nieuchronnie kieruje nas w stronę szczególnego przyglądania się temu kanałowi od strony bezpieczeństwa. A jest tu jeszcze nad czym pracować: tylko cztery z trzynastu badanych aplikacji bankowości mobilnej wykrywały zrootowany telefon i ostrzegały użytkownika o zwiększonym ryzyku, dwa banki nie stosowały prawidłowo certificate pinning w celu ograniczenia ryzyka przechwytywania transmisji. Osiem banków w swoich aplikacjach Android używa klawiatury systemowej zamiast bezpieczniejszej — własnej. Tylko dziewięć z trzynastu badanych bankówstosuje zaciemnienie kodu w swoich aplikacjach bankowości mobilnej.

Gotowi na PSD2?

Wszystkie z badanych banków stosują dodatkową metodę autoryzacji przelewów w kanale bankowości internetowej, przy wykorzystaniu drugiego, niezależnego kanału przesyłania i prezentowania informacji. Niestety w przypadku bankowości mobilnej rozwiązania obecne mogą się okazać niewystarczające. Jeden z badanych banków nadal oferuje autoryzację transakcji za pomocą karty kodów („zdrapki”) — to rozwiązanie musi być już wycofane z użytku, ponieważ nie spełnia wymogów Dyrektywy PSD2, która jeszcze w tym roku wprowadzi konieczność dodatkowego uwierzytelnienia również przy logowaniu. W związku ze wspomnianymi regulacjami coraz większą rolę w bankowych systemach zaczyna odgrywać biometria — zarówno ta aktywna (rozpoznanie twarzy czy odcisku palca), jak również pasywna, analizująca zachowanie użytkowników i reagująca w przypadku wykrycia anomalii.

Zaproś klientów do pomocy

Po badaniu rekomendujemy skorzystanie z potencjału klientów do pozyskiwania informacji i analizy incydentów związanych z bezpieczeństwem. Analizatory wydatków obecne powszechnie w bankowości mobilnej i internetowej mogą przyczynić się do samodzielnego wykrywania przez użytkowników podejrzanych transakcji. Rozbudowane opcje ustawiania limitów i powiadomień pozwalają również podzielić się odpowiedzialnością za bezpieczeństwo środków z naszymi klientami, którzy dzięki temu będą mogli samodzielnie dostosować limity do swojego sposobu użytkowania rachunków i kart oraz zbudować prosty system wykrywania podejrzanych operacji. Warto rozważyć również udostępnienie klientom darmowego wsparcia w przypadku problemów z bezpieczeństwem w sieci (nie tylko w samej bankowości).

Miłosz Brakoniecki, Michał Olczak, Obserwatorium.biz; Wojciech Dworakowski, SecurRing

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Polecane

Inspiracje Pulsu Biznesu