Już po raz czwarty pod szyldem rankingu Złotego Bankiera realizowaliśmy badanie bezpieczeństwa polskich serwisów bankowości internetowej oraz aplikacji mobilnych banków. To jedyne na rynku tego typu badanie sektorowe wykonane zostało w pierwszym kwartale 2019 r. i objęło 15 wiodących banków na rynku. Weryfikowaliśmy systemy pod względem dostępności systemowej, dostępnych narzędzi uwierzytelniania i autoryzacji, poufności połączenia między klientem a bankiem, procesu rejestracji urządzenia mobilnego, logowania do serwisu i jakości stosowanych haseł oraz narzędzi uwierzytelnienia. Zwracaliśmy szczególną uwagę na podejście instytucji finansowych do edukacji klientów w zakresie bezpiecznego korzystania z bankowości elektronicznej. W tym roku zwycięzcami okazały się: Bank Millennium, Getin Noble Bank oraz mBank. Wszystkie trzy instytucje można faktycznie uznać za realizujące najlepsze rynkowe praktyki w zakresie bezpieczeństwa. Warto wspomnieć, że ocena banków była dość mocno zróżnicowana. Zdarza się, że jakość stosowanych narzędzi funkcjonalnych(sposób logowania, autoryzacji, zarządzania limitami) nie współgra z utrzymaniem odpowiednio wysokiego poziomu dla bardziej „miękkich elementów”, jak właściwa edukacja użytkowników czy też zarządzanie zgłoszeniami o potencjalnych nadużyciach.
Mobile przede wszystkim
Według danych udostępnianych przez PRNews.pl już 7,8 mln klientów korzysta aktywnie z bankowości mobilnej, w tym dla 3,6 mln jest to jedyne narzędzie obsługi w banku. To nieuchronnie kieruje nas w stronę szczególnego przyglądania się temu kanałowi od strony bezpieczeństwa. A jest tu jeszcze nad czym pracować: tylko cztery z trzynastu badanych aplikacji bankowości mobilnej wykrywały zrootowany telefon i ostrzegały użytkownika o zwiększonym ryzyku, dwa banki nie stosowały prawidłowo certificate pinning w celu ograniczenia ryzyka przechwytywania transmisji. Osiem banków w swoich aplikacjach Android używa klawiatury systemowej zamiast bezpieczniejszej — własnej. Tylko dziewięć z trzynastu badanych bankówstosuje zaciemnienie kodu w swoich aplikacjach bankowości mobilnej.
Gotowi na PSD2?
Wszystkie z badanych banków stosują dodatkową metodę autoryzacji przelewów w kanale bankowości internetowej, przy wykorzystaniu drugiego, niezależnego kanału przesyłania i prezentowania informacji. Niestety w przypadku bankowości mobilnej rozwiązania obecne mogą się okazać niewystarczające. Jeden z badanych banków nadal oferuje autoryzację transakcji za pomocą karty kodów („zdrapki”) — to rozwiązanie musi być już wycofane z użytku, ponieważ nie spełnia wymogów Dyrektywy PSD2, która jeszcze w tym roku wprowadzi konieczność dodatkowego uwierzytelnienia również przy logowaniu. W związku ze wspomnianymi regulacjami coraz większą rolę w bankowych systemach zaczyna odgrywać biometria — zarówno ta aktywna (rozpoznanie twarzy czy odcisku palca), jak również pasywna, analizująca zachowanie użytkowników i reagująca w przypadku wykrycia anomalii.
Zaproś klientów do pomocy
Po badaniu rekomendujemy skorzystanie z potencjału klientów do pozyskiwania informacji i analizy incydentów związanych z bezpieczeństwem. Analizatory wydatków obecne powszechnie w bankowości mobilnej i internetowej mogą przyczynić się do samodzielnego wykrywania przez użytkowników podejrzanych transakcji. Rozbudowane opcje ustawiania limitów i powiadomień pozwalają również podzielić się odpowiedzialnością za bezpieczeństwo środków z naszymi klientami, którzy dzięki temu będą mogli samodzielnie dostosować limity do swojego sposobu użytkowania rachunków i kart oraz zbudować prosty system wykrywania podejrzanych operacji. Warto rozważyć również udostępnienie klientom darmowego wsparcia w przypadku problemów z bezpieczeństwem w sieci (nie tylko w samej bankowości). © Ⓟ
Miłosz Brakoniecki, Michał Olczak, Obserwatorium.biz; Wojciech Dworakowski, SecurRing