Portal Obserwatorium.biz we współpracy z dostawcą produktu ochrony tożsamości mySafety oraz portalem Cashless.pl przygotował raport, w którym poruszane są najważniejsze kwestie związane z bankowością elektroniczną z perspektywy banków, klientów oraz cyber-przestępców. Dokładniej analizie poddano 10 największych w Polsce instytucji bankowych: BZWBK, Millennium, Reiffeisen Polbank, BNP Paribas, Pekao S.A., mBank / Orange Finanse, T-Mobile / Alior, Getin, ING, PKO BP.

Raport zawiera informacje na temat ataków na bankowość elektroniczną, metod zabezpieczeń po stronie banków, metod autoryzacji i uwierzytelniania klientów mobilnej bankowości oraz analizję najpopularniejszych zagrożeń stworzonych do kradzieży środków finansowych. Ponadto, autorzy raportu, reprezentanci banków i instytucji płatniczych oraz niezależni eksperci odpowiadają na pytania:

  • Jak będą ewoulowały ataki na instytucje finansowe?
  • Czy powstanie jedno narzędzie autoryzacji transakcji w bankowości internetowej i mobilnej?
  • Jak instytucje finansowe mają budować systemy wewnętrznej ochrony i zabezpieczeń?
  • Jaka jest rola „najsłabszego elementu” w tym procesie czyli człowieka i jak dużo może zdziałać edukacja?

Ważniejsze punkty raportu

1. Główne wyzwania dla bezpieczeństwa bankowości elektronicznej w Polsce

W roku 2014 odnotowano znaczy wzrost nowych zagrożeń atakujących klientów różnych banków. W przeciwieństwie do bezpieczeństwa bankowości oddziałowej, w bankowości elektronicznej mamy do czynienia z gwałtowną liczbą nowych zagrożeń.

Popularność bankowości elektronicznej (ok. 13 milionów aktywnych klientów) i migracja transakcji do kanałów elektronicznych przekraczająca w niektórych instytucjach 90% powoduje, że zaufanie do tego kanału jest krytyczne również z biznesowego punktu widzenia.

Większa obecność w sektorze finansowym, w środowisku elektronicznym, pozabankowych dostawców usług (takich jak instytucje płatnicze, firmy pożyczkowe, kantory internetowe) powoduje, że zakres i rodzaj ryzyk wzrasta – mniejsze podmioty mają mniej zasobów na rozwój niezbędnej infrastruktury, procesów analizy i weryfikacji bezpieczeństwa transakcji, a do tego nie są jednoznacznie poddani związanym z tym regulacjom.

Hakerzy poszukują najsłabszego ogniwa w procesie aktywacji/odblokowania usług elektronicznych w celu przejęcia tożsamości oraz uzyskania możliwości podmiany rachunku lub ataku socjotechnicznego na proces autoryzacji przelewu, podmianę rachunku do obiorcy, a przy okazji wykorzystują możliwości takie jak modyfikacja maksymalnego limitu oraz skorzystanie z kredytu gotówkowego lub limitu kredytowego w koncie, co świadczy o wcześniejszym rozpoznaniu systemu bankowości elektronicznej danego banku.

2. Jak kształtuje się rozwój narzędzi uwierzytelniania i autoryzacji transakcji bankowości elektronicznej oraz edukacji klientów?

Wiele procesów aktywacji usług elektronicznych czy autoryzacji w polskich bankach wciąż niesie duże ryzyko. Wdrażanie bankowości mobilnej, wymusiło wprowadzenie alternatywnych metod do najpopularniejszej obecnie metody autoryzacji w bankowości internetowej czyli kodów sms. Korzystanie z kodów sms oraz aplikacji mobilnej na tym samym urządzeniu, znacząco ogranicza wygodę oraz niesie ze sobą ryzyko przejęcia kodu.

Kradzież tożsamości oraz kradzież środków z bankowości elektronicznej staje się poważnym problemem już nie tylko biznesowym, ale i społecznym, który gości w mediach i zawiera ryzyko „naderwania” zaufania do sektora finansowego w kraju.

Wraz z popularyzacją bankowości mobilnej rośnie zapotrzebowanie na metodę autoryzacji, która będzie zapewniać porównywalny poziom bezpieczeństwa do kodów SMS dla bankowości internetowej. Aby to spełnić konieczne jest wykorzystanie bezpiecznego kanału innego niż aplikacja mobilna lub wykorzystanie niezaprzeczalnych cech użytkownika bankowości.

3. Akie są największe wyzwania związane z atakami na instytucje finansowe i jak można się przed nimi chronić?

Ataki na bankowość mobilną i internetową i jej klientów stają się coraz bardziej skomplikowane, odnoszące się do specyfiki danej instytucji, a dotychczasowe, standardowe metody odpowiedzi nie są wystarczające i wymagają wykorzystywania w obronie coraz bardziej wyrafinowanych metod – przede wszystkim oddziałujących na punkty styku klientów i pracowników ze środowiskiem zewnętrznym.

Niezaprzeczalnym kierunkiem jest automatyzacja procesów zbierania, analizy oraz integracji z różnych źródeł danych dotyczących podejrzanych transakcji i klientów. Na tej bazie możliwe jest rozpoznawanie wzorców i działanie prewencyjne zmniejszające straty finansowe dla instytucji i jej klientów.

Wymiana informacji o incydentach oraz współpraca w działaniach prewencyjnych, edukacyjnych i związanych z identyfikacją poszczególnych przypadków, realizowana między różnymi graczami na rynku – komercyjnymi, administracyjnymi i związanymi z organami ścigania, to jedyna droga na osiągnięcie pożądanych efektów w niekończącej się walce z cyberprzestępczością. W sprawach związanych z bezpieczeństwem konkurencja nie powinna grać głównej roli. Część tego typu wymogów wobec podmiotów działających na tym rynku zaczynają już słusznie określać regulatorzy.

4. Jaka będzie przyszłość bezpieczeństwa bankowości elektronicznej?

W zakresie uwierzytelniania i autoryzacji transakcji przewidujemy wypracowanie modeli związanych z biometrią, które będą systematycznie standaryzowane, na przykład poprzez modele FIDO (Fast Identity Online).

Poszukiwania optymalnej i uniwersalnej metody autoryzacji dla bankowości mobilnej i internetowej mogą również iść w kierunku rozwoju innych narzędzi „drugiego czynnika”, prace nad standaryzacją są tu prowadzone w ramach tzw. USF (Universal Second Factor/Universal Authentication Framework) i mogą doprowadzić do wykorzystania rozwiązań sprzętowych na przykład „miksu” klasycznego tokena z urządzeniami typu „wearables”.

Po stronie rozwiązań wewnętrznych w instytucjach finansowych musi nastąpić rozwój procesów i systemów umiejących odpowiedzieć w bardzo elastyczny sposób na pojawiające się zagrożenia – takich jak SIEM (Security Information and Event Management), SOC (Security Operation Center), systemy antyfraudowe „skanujące” ruch i transakcje w bankowości elektronicznej, międzyorganizacyjne systemy wymiany danych.

Kluczowym obszarem okaże się edukacja klienta, dostawców IT, instytucji państwowych, uniwersytetów oraz biznesu, i to nie tylko w formule „akcyjności” czy stałych „zasad”, ale bieżącego „pasa transmisyjnego” komunikacji i pozyskiwania informacji zwrotnej o funkcjonujących zagrożeniach. Bezpieczeństwo elektroniczne sektora finansowego w kraju – również przy zwiększającej się wadze i popularności e-administracji, coraz mocniej będzie uzyskiwało wymiar wagi państwowej, a nie tylko interesu jednego z komercyjnych sektorów gospodarki.

Pełny raport

AUTOR:

Adrian Ścibor

Podziel się