Jak bezpiecznie bankować w niebezpiecznym środowisku

Jest rok 2025. W Unii Europejskiej wdrażana jest właśnie dyrektywa OWSD (Offline Wallet Security Directive). Nakłada ona na banki odpowiedzialność prawną za ewentualne naruszenia bezpieczeństwa portfeli klientów. Zgodnie z zapisami dyrektywy każdy bank ma obowiązek zwrócić swojemu klientowi gotówkę, którą skradziono mu z portfela.

Wojciech Zatorski

Opublikowano 3 lipca 2019, 11:24

Oczywiście, przewidziane są również mechanizmy chroniące banki. Klienci są zobowiązani do przechowywania portfeli “z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym”. Eksperci są jednak zgodni: możliwe spory dotyczące “odpowiedniego poziomu zabezpieczenia portfeli” przez klientów generują dla banków zbyt wysokie ryzyko prawne i wizerunkowe. Banki muszą zacząć postępować, tak jakby każdy portfel był swobodnie dostępny dla każdego potencjalnego przestępcy.

Rynek finansowy zaczyna więc poszukiwania dostawców skutecznych metod zdalnej kontroli zawartości i zabezpieczenia portfeli, niszczenia ich oraz wysyłania klientom ostrzeżeń, gdy portfel znajdzie się w okolicy o wysokim poziomie przestępczości…

Każdy telefon powinien być traktowany jak skompromitowany

Jeśli powyższe akapity brzmią dla Ciebie, Czytelniku, absurdalnie i/lub śmiesznie, to spieszę z wyjaśnieniem, że – choć jest to oczywiste science fiction – to tak właśnie wygląda obecnie rzeczywistość w zakresie… bankowych aplikacji mobilnych. Banki są odpowiedzialne za ewentualną kradzież środków dokonaną w ramach tego kanału, nie mając żadnej kontroli nad tym co klient robi z telefonem jako całością, np. gdzie go zostawia, do jakich sieci się podłącza, jakie inne aplikacje ma zainstalowane…

Logicznie rzecz biorąc, z punktu widzenia banku dostarczającego aplikację KAŻDE urządzenie mobilne powinno być traktowane jako – używając żargonu specjalistów od bezpieczeństwa – skompromitowane. Czy tak jednak rzeczywiście jest?

Bezpieczeństwo mobilne wciąż nie jest priorytetem

Nie dalej niż kilka tygodni temu TechCrunch poinformował, że według badań firmy Zimperium, większość aplikacji mobilnych amerykańskich banków jest nieprawidłowo zabezpieczona, narażając użytkowników na cyberataki. Zgodnie z wynikami badania aż 2/3 bankowych aplikacji na Androida może stać się celem kampanii malware’owych skutkujących kradzieżami loginów i haseł do systemów bankowości elektronicznej.

Czy w polskiej bankowości sytuacja wygląda lepiej niż za oceanem? Aktualnych, obiektywnych danych nie ma – ostatni raport na ten temat pochodzi z końcówki 2016 roku, a jego wnioski nie napawały optymizmem… Niemniej jednak, nasze firmowe doświadczenia jako wiodącego dostawcy rozwiązań z zakresu bezpiecznej bankowości mobilnej wskazują, że bezpieczeństwo wciąż nie jest na czele listy priorytetów jeśli chodzi o wybór oferty przez większość instytucji finansowych, o fintechach nie wspominając. Dotyczy to zarówno Polski, jak i rynków zachodnich.

Bezpieczeństwo A.D. 2019 = bezpieczeństwo A.D. 1999

W zakresie bezpieczeństwa obecna sytuacja na rynku smartfonów i bankowości mobilnej przypomina w dużym stopniu sytuację sprzed ok. 20 lat na rynku komputerów osobistych i bankowości online. Choć popularność Internetu (wtedy stacjonarnego, a dziś mobilnego) lawinowo rośnie, to świadomość konieczności stosowania oprogramowania zapewniającego bezpieczeństwo korzystania z internetowych usług finansowych – choćby na podstawowym poziomie – jest relatywnie niska.

Jako obrazowy przykład może tu posłużyć zeszłoroczny raport holenderskiego urzędu statycznego, zgodnie z którym zaledwie połowa telefonów komórkowych ma zainstalowane jakiekolwiek oprogramowanie zapewniające bezpieczeństwo. Jednocześnie tego typu oprogramowanie było w tym samym czasie obecne aż na 90% komputerów osobistych. Co więcej, blisko 1/4 ankietowanych odpowiedziała, że nie wie czy należący do nich telefon jest w ogóle w jakikolwiek sposób zabezpieczony…

Bezpieczeństwo bankowości mobilnej? Zrób to sam

Co mogą zrobić banki i inne instytucje finansowe, mierząc się z koniecznością oferowania swoich usług i produktów w tak ryzykownym środowisku jakim są urządzenia klientów? Przede wszystkim tworzyć swoje aplikacje mobilne w taki sposób, jak gdyby domyślnie były one instalowane na telefonach znajdujących się pod kontrolą hakerów. Oznacza to wdrożenie odpowiednich rozwiązań z zakresu architektury bezpieczeństwa już na poziomie aplikacji, tak aby były one w tym zakresie stuprocentowo niezależne od konfiguracji danego urządzenia mobilnego należącego do klienta.

W szczególności chodzi tutaj o wdrożenie takich mechanizmów bezpieczeństwa, jakie stosujemy w naszym mobilnym frameworku, będącym podstawą wszystkich aplikacji budowanych przez nas dla klientów finansowych. Obejmują one m.in.:

● uniezależnienie aplikacji mobilnej od wbudowanych funkcji bezpieczeństwa systemu operacyjnego telefonu,
● szyfrowanie kanału komunikacji między systemem bankowym a telefonem,
● zarządzanie certyfikatami bezpieczeństwa na poziomie aplikacji,
● sprawdzanie czy aplikacja nie została sklonowana na inne urządzenie,
● weryfikację czy system operacyjny telefonu nie został zrootowany lub zjailbreakowany.

Korzystanie z tego typu zaawansowanych rozwiązań technologicznych od sprawdzonych dostawców bankowości mobilnej jest najlepszą dla banków drogą do zapewnienia bezpieczeństwa oferowanych klientom portfeli… pardon, aplikacji mobilnych.