Czytasz dzięki

Bezpieczny bank — najlepsze praktyki

Miłosz Brakoniecki, partner i członek zarządu Obserwatorium.biz
opublikowano: 22-06-2020, 22:00

Nest Bank zaprezentował najlepszą aplikację mobilną, rozwiązanie WWW Aliora przoduje, a Getin Noble trzyma wysoki poziom w każdej kategorii

Wyróżnieni

Zobacz więcej

Fot. AdobeStock

  • Alior Bank
  • Getin Noble Bank
  • Nest Bank

Realizowane przez ekspertów Obserwatorium.biz i Securing piąte badanie bezpieczeństwa polskich systemów bankowości elektronicznej przyniosło zmianę w grupie trzech banków wyróżnionych oraz konkretne wnioski i rekomendacje dla całego sektora. Wśród laureatów ostał się z zeszłego roku Getin Noble Bank, za to trochę niespodziewanie dołączyły do zacnego grona Nest Bank i Alior Bank.

Zaufana przeglądarka

Podczas badania tradycyjnie weryfikowane były takie aspekty bezpieczeństwa, jak uwierzytelnienie, autoryzacja, zarządzanie limitami i powiadomienia. W zakresie systemów bankowości internetowej w szczególności sprawdzaliśmy obecność nowego mechanizmu zapewniającego MFA (multi-factor authentication), wymaganego przez zaimplementowaną w zeszłym roku Dyrektywę PSD2, czyli zaufanej przeglądarki. Mechanizm polega na tym, że logując się po raz pierwszy z konkretnej przeglądarki do banku, musimy ją autoryzować jednokrotnie lub na dłuższy czas. W czterech na czternaście badanych banków zaufana przeglądarka nie jest dostępna, w sześciu obowiązkowa, a w czterech opcjonalna. W stosunku do zeszłego roku przy autoryzacji transakcji zniknęło bardzo dużo rozwiązań, które możemy określić jako staromodne — karta kodów lub sprzętowy token — króluje model hybrydowy, obejmujący kody SMS i powiadomienia push z aplikacji. Zaawansowane zarządzanie limitami w internecie i aplikacji mobilnej tradycyjnie oceniane jest pozytywnie i jeżeli jest dobrze zaimplementowane, to wzmacnia pozycję danej instytucji w rankingu. Limity dają możliwość dostosowania parametrów bezpieczeństwa do oczekiwań i preferencji klienta — tutaj część banków ma tę funkcjonalność cały czas mocno niestety ograniczoną. W tym roku zwróciliśmy również szczególną uwagę na dodatkowe zabezpieczenia aplikacji mobilnych. Cały czas mniejszość banków sprawdza, czy urządzenie jest „zrootowane/zjailbreakowane”, niewiele ponad połowa blokuje możliwość wykonania zrzutu ekranu z wrażliwymi danymi.

Aplikacje mobilne na celowniku

Systematycznie wzmacniamy wagę edukacji w badaniach bezpieczeństwa. Podczas analiz jedynie dwa banki prowadziły w czasie badania kampanię medialną lub dysponowały serwisem/ landing page poświęconym zasadom bezpieczeństwa w bankowości zdalnej. Jedynie trzy z testowanych banków udostępniają klientom specjalny kanał kontaktu, na który można zgłaszać incydenty związane z bezpieczeństwem. Większość banków odsyła klientów do ogólnej infolinii. Cały czas wiele do życzenia pozostawia informacja o bezpieczeństwie w środowisku aplikacji mobilnych banków — a to przecież z tego kanału korzysta coraz więcej klientów i jest on bezpośrednim celem ataków hakerów. Laureaci demokratycznie podzielili się swoimi przewagami — Nest Bank zdobył najlepszą pozycję w aplikacji mobilnej, Alior w rozwiązaniu WWW, natomiast Getin Noble Bank uzyskał bardzo wysoki i równy poziom w każdej kategorii.

Co badaliśmy

Bankowość internetowa

  • Uwierzytelnienie
  • Zaufana przeglądarka
  • Autoryzacja transakcji
  • Limity i powiadomienia
  • Edukacja użytkownika

Bankowość mobilna

  • Uwierzytelnienie
  • Zaufana przeglądarka
  • Autoryzacja transakcji
  • Limity i powiadomienia
  • Dodatkowe zabezpieczenia aplikacji mobilnych
  • Edukacja użytkownika

Co z tą dostępnością?

Ze względu na bezpośrednią wagę dla użytkownika tym roku podranking dostępności został przesunięty do głównego rankingu Złoty Bank. Analiza polegała na zautomatyzowanej weryfikacji możliwości udanego logowania w bankowości internetowej w okresie luty—marzec 2020, objęła więc już częściowo okres tzw. lockdownu, w którym dostępność serwisów bankowych była szczególnie narażona na przeciążenia. Banki uzyskiwały wynik między 99,9 a 97,1 proc. dostępności, co oznacza, że te najsłabsze nie były „czynne” online niemal cały jeden dzień w miesiącu. Dużym wyzwaniem okazało się utrzymanie wysokiego wskaźnika dostępności przy równoczesnym częstym wprowadzaniu zmian, nowych funkcjonalności i innych udogodnień dla użytkownika.

Pozyskiwanie klienta online

Pandemia spowodowała potrzebę szybkiej digitalizacji procesów w wielu sektorach gospodarki i administracji. W bankach zdalne pozyskiwanie klienta było możliwe od lat, ale — w szczególności w instytucjach budujących swoją wartość na sieci oddziałów — stanowiło dodatkowy kanał akwizycji. Ograniczenie dostępu do tej sieci wywołało nagłą potrzebę budowy narzędzi, które pozwalają na otwarcie konta lub innego produktu bankowego w pełni w formule online dla klienta, który dotychczas nie pozostawał z nami w relacji. Banki zdecydowały się na wdrożenie rozwiązań typu „konto na selfie”, w których tożsamość klienta jest identyfikowana przy użyciu kamerki w laptopie lub smartfonie, z uwzględnieniem okazywanego dowodu tożsamości. Inną metodą identyfikacji klientów jest wykorzystanie zewnętrznego dostawcy tożsamości — polegające na identyfikacji na podstawie danych np. z innego banku.

Najważniejsze aspekty bezpieczeństwa w onboardingu klienta online

  • weryfikacja żywotności użytkownika (przy video-onboardingu) zaufany dostawca tożsamości (przy procesach bazujących na eID) odpowiednia weryfikacja dokumentów tożsamości
  • zapewnienie bezpiecznego połączenia banku i klienta zastosowanie narzędzi antyfraudowych działających „w tle”
© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Miłosz Brakoniecki, partner i członek zarządu Obserwatorium.biz

Polecane