Już po raz czwarty, w ramach konkursu Złoty Bankier organizowanego przez Puls Biznesu oraz Bankier.pl,, eksperci SecuRing oraz Obserwatorium.biz wykonali badanie bezpieczeństwa polskich serwisów bankowości internetowej oraz aplikacji mobilnych banków.
To jedyne na rynku tego typu badanie sektorowe, wykonane zostało w pierwszym kwartale 2019 roku i objęło 15 wiodących banków na rynku. Zbadano między innymi dostępność systemów, narzędzia uwierzytelniania użytkowników i autoryzacji transakcji, poufność połączenia pomiędzy klientem a bankiem, możliwość ustawień limitów i powiadomień, proces rejestracji urządzenia mobilnego oraz zabezpieczenia techniczne aplikacji mobilnych. Sprawdzono również podejście instytucji finansowych do edukacji swoich klientów w zakresie bezpiecznego korzystania z bankowości elektronicznej.
W tym roku zwycięzcami okazały się: Bank Millennium, Getin Noble Bank oraz mBank. Wszystkie trzy instytucje można faktycznie uznać za realizujące najlepsze rynkowe praktyki w zakresie bezpieczeństwa. Badania tego typu są bardzo ważne dla sektora bankowego ponieważ umożliwiają porównanie stosowanych zabezpieczeń i ustalenie powszechnie stosowanych standardów. Z wyników badania mogą również czerpać fintechy – zaobserwować zarówno dobre, jak i złe praktyki i zaoferować produkty o konkurencyjnych, nowatorskich własnościach bezpieczeństwa.
Ocena banków była dość mocno zróżnicowana, zdarza się, że jakość stosowanych narzędzi funkcjonalnych (sposób uwierzytelniania, autoryzacji, zarządzania limitami) nie współgra z utrzymaniem odpowiednio wysokiego poziomu dla bardziej „miękkich elementów” jak właściwa edukacja użytkowników czy też jasna ścieżka zgłoszenia potencjalnych nadużyć.
Wg danych udostępnianych przez PR News już 7,8 mln klientów korzysta aktywnie z bankowości mobilnej, w tym dla 3,6 mln jest to jedyne narzędzie obsługi w banku. Ten fakt spowodował, że w tegorocznym badaniu szczególnie przyjrzano się bezpieczeństwu tego kanału dostępu. Część z badanych banków dobrze zabezpiecza swoje aplikacje mobilne jednak zdarzają się przypadki niewłaściwego rozpoznania ryzyka związanego ze specyfiką platform mobilnych i nie stosowania nawet podstawowych zabezpieczeń takich jak: certificate pinning, wykrywanie zrootowanego telefonu, używanie własnej klawiatury w miejsce systemowej czy zaciemnianie kodu aplikacji mobilnej.
Wszystkie z badanych banków stosują dodatkową metodę autoryzacji przelewów w kanale bankowości internetowej, przy wykorzystaniu drugiego, niezależnego kanału przesyłania i prezentowania informacji. Najczęściej jest to kod SMS przesłany na telefon użytkownika, jednak coraz częściej banki umożliwiają autoryzację operacji za pomocą aplikacji mobilnej. Jeden z badanych banków nadal oferuje autoryzację transakcji za pomocą karty kodów (“zdrapki”) – to rozwiązanie powinno zostać wycofane z użytku ponieważ nie spełnia wymogów Dyrektywy PSD2, która wejdzie jeszcze w tym roku i wprowadzi konieczność silnego powiązania metody autoryzacji operacji z danymi transakcji. Z tych samych powodów niewystarczające są metody autoryzacji oparte o kody jednorazowe generowane przez zewnętrzne “tokeny”.
Niestety w przypadku bankowości mobilnej rozwiązania obecne mogą się okazać niewystarczające. Większość banków stosuje autoryzację przelewów w kanale mobilnym za pomocą PIN (tego samego co do uwierzytelniania bądź osobnego) lub kodu SMS (co jest niewygodne dla użytkownika). W związku ze wspomnianymi regulacjami, coraz większą rolę w bankowych systemach zaczyna odgrywać biometria. Kilka badane aplikacje umożliwiały autoryzację przelewów za pomocą metod biometrycznych. Banki eksperymentują również z metodami biometrii pasywnej, które analizują zachowanie użytkowników i reagują w przypadku wykrycia anomalii.
Szczegółowe opracowanie wyników badania zostało udostępnione dla branży bankowej, fintechów i dostawców rozwiązań na stronie autorów raportu: https://www.securing.biz/raport-zloty-bankier-2019/index.html
Źródło: Securing