Sekcje artykułu
Jak banki dbają o bezpieczeństwo? » Diabeł tkwi w szczegółach - raport Webtotem AI obnaża braki » Ostrzeżenie dla banków w Polsce » Nie tylko banki dbają o Twoje bezpieczeństwo » Nic nie zastąpi zdrowego rozsądku » Banki, które zapewniają najlepszą ochronę » Podsumowanie
Jak banki dbają o bezpieczeństwo?
Banki dokładają wszelkich starań, aby zapewnić bezpieczeństwo swoim klientom. Wielowarstwowe systemy ochrony, mają zagwarantować utrzymanie środków na koncie bankowym bez narażenia się na zagrożenia. I rzeczywiście. Tak na pierwszy rzut oka, klienci nie mogą mieć mieć żadnych zastrzeżeń, jak chodzi o bezpieczeństwo korzystania z konta bankowego.
Wszystko zaczyna się od hasła do rachunku. Hasło musi być skomplikowane. To znaczy takie, które posiada wielkie i małe litery. Cyfry. Znaki specjalne.
Co z długością? Najlepiej niech będzie to przynajmniej kilkanaście znaków. Tak utworzonego hasła nie sposób zgadnąć. Minimalizujemy więc ryzyko, że ktoś otrzyma nieuprawniony dostęp do naszego rachunku.
W parze z hasłem idzie login do bankowości. Często również przypadkowy, trudny do zgadnięcia (i niekiedy również zapamiętania...).
Gdy logujemy się do bankowości mobilnej, sprawa z punktu widzenia przeciętnego użytkownika może okazać się jeszcze bardziej skomplikowana. Do autoryzacji często służy odcisk palca lub skan twarzy. Dzisiejsze systemy potrafią przeanalizować ponad 30 000 niewidzialnych punktów, żeby ocenić zgodność skanu twarzy ze wzorem. Wydawałoby się, że takiego zabezpieczenia nie można złamać.
Co, gdy dokonujemy płatności kartą w internecie? Zazwyczaj potrzebny jest kod SMS. Jednak dzisiaj banki coraz częściej odchodzą od tego rozwiązania na rzecz bezpieczniejszej, mobilnej autoryzacji (znów mowa o odcisku palca w aplikacji mobilnej lub konieczności zeskanowania twarzy).
No to jak w końcu, jest bezpiecznie? No przecież jest. Ale czy na pewno?
Diabeł tkwi w szczegółach - raport Webtotem AI obnaża braki
I gdyby tak popatrzeć się na to wszystko okiem laika, można odnieść wrażenie, że generalnie wszystko jest OK. Po wejściu na stronę banku zawsze jest widoczna kłódka (certyfikat SSL oznacza bezpieczne połączenie), a do tego mamy całą masę różnych zabezpieczeń, które chronią nas i nasze środki na koncie.
Co jednak w sytuacji, gdy sprawie przyjrzy się grupa ekspertów? Mowa tu o specjalistach, którzy na co dzień zajmują się bezpieczeństwem i eksploracją luk w systemach.
Zapoznałem się z raportem firmy Webtotem AI, która specjalizuje się właśnie w tym zagadnieniach. Zainteresowane osoby mogą pobrać go na swoją skrzynkę z tego miejsca. Dla pozostałych, w dalszej części przedstawiam najważniejsze wnioski z badania przeprowadzonego dla 33 banków w Polsce poniżej:
- 61% to średni wskaźnik bezpieczeństwa stron banków
- 45% banków znajduje się w ryzyku eksploatacji podatności związanych z bezpieczeństwem
- 1 domena należąca do banku posiada negatywną reputację
- znaleziono ponad 4500 przecieków informacji, z czego ponad 2500 zidentyfikowano tylko w jednym banku
- 18% banków nie przeszło weryfikacji ustawień certyfikatu SSL / TLS (certyfikat bezpieczeństwa)
- aż 76% banków posiada problemy z zapewnieniem bezpieczeństwa ochrony danych klientów
- zaledwie 9% domen, posiada wysoki wynik bezpieczeństwa dla nagłówków HTTP i CSP (HTTP and CSP headers).
Polecamy
Ostrzeżenie dla banków w Polsce
Podczas gdy bankowanie online na ogół jest bezpieczne i klienci nie powinni obawiać się o bezpieczeństwo swoje i swoich środków na koncie, to jednak wyniki tego badania w niektórych wymiarach mogą być alarmujące.
Ze względu na zainteresowanie nowoczesną bankowością, interesuję się również tematem bezpieczeństwa. I dosłownie zszokowało mnie, że tylko 9% domen posiada wysoki wynik bezpieczeństwa dla nagłówków HTTP (HTTP Security Headers). To podatność, pozwalająca na wstrzyknięcie złośliwego kodu (XSS), która znajduje się na liście 10 zagrożeń OWASP. Dlatego też jestem mocno zaskoczony, że nie wszystkie banki zadbały o bezpieczeństwo w tym wymiarze.
O ile z tego rodzaju problemami można funkcjonować i przez wiele miesięcy nie doświadczać żadnych kłopotów z tym związanych, to jednak postrzegam to jak spore zagrożenie. Porównałbym je trochę do tykającej bomby, która może w każdej chwili wybuchnąć.
I nawet jeśli zdarzenie dotknęło by pojedynczego klienta, mogłoby stanowić nie mały problem. A wiele banków posiada przecież kilkumilionowe bazy klientów.
Dzisiaj bezpieczeństwo ogrywa ogromną rolę i jestem bardziej niż pewny, że jeśli coś w najbliższych latach miałoby się zmienić, to tylko w stronę zwiększonej roli tego aspektu bankowości. Omawiany raport pochodzi wprawdzie z roku 2020. Możliwe więc, że sporo problemów zostało już rozwiązanych. Uważam, jednak że wyniki tego raportu można uznać za alarmujące. Osoby odpowiedzialne za aspekt bezpieczeństwa w bankach, powinny zwrócić uwagę na pojawiające się problemy.
Nie tylko banki dbają o Twoje bezpieczeństwo
Nie chcę malować wszystkiego w ciemnych barwach i budować atmosfery niepokoju. Druga strona medalu jest taka, że podczas gdy tego rodzaju raporty eksponują problemy związane z bezpieczeństwem, to autorzy zwykle nie koncentrują się na tym co dobre i co w sposób skuteczny chroni klientów.
A powiedzmy to otwarcie - żaden bank nie mógłby pozwolić sobie na narażenie swoich klientów na poważniejsze niebezpieczeństwo, bo zwyczajnie zagrażałoby to funkcjonowaniu takiej instytucji.
Kolejna kwestia jest taka, że nie tylko banki dbają o bezpieczeństwo klientów. Również wydawcy kart (jak Visa czy Mastercard) oraz dostawcy technologii służących dokonywaniu płatności mobilnych dbają, aby transakcje jakie wykonujesz na swoim rachunku bankowym, były najzwyczajniej w świecie bezpieczne.
Przykładowo, gdy dodajesz swoją kartę do telefonu, korzystając z systemu takiego jak Google Pay, aplikacja zastępuje prawdziwy numer karty, wirtualnym numerem konta (VAN), przez co odbiorca płatności nie otrzymuje prawdziwych danych Twojej karty, tylko jej wirtualny alias.
To tylko jedno z rozwiązań, które zwiększają Twoje bezpieczeństwo w sytuacji, gdy korzystasz z usług oferowanych przez banki.
W kontekście bezpieczeństwa warto również wspomnieć o Bankowym Funduszu Gwarancyjnym, który zapewnia ochronę i bezpieczeństwo depozytów w bankach do równowartości kwoty 100 000 Euro. Nie gwarantuje on jednak ochrony np. na wypadek kradzieży, a jedynie w takich sytuacjach, jak zawieszenie działalności banku. Innym przykładem mechanizmu zwiększającego bezpieczeństwo, jest procedura chargeback, która chroni przed nieautoryzowanymi płatnościami kartą płatniczą wydaną do konta.
Nic nie zastąpi zdrowego rozsądku
Pamiętaj jednak, że nawet najlepsze zabezpieczenia nie uchronią Cię przed utratą środków na koncie, jeśli nie będziesz stosować podstawowych reguł bezpieczeństwa.
Kilka przykładów zasad bezpieczeństwa, opisałem w artykule na temat podawania numeru konta. W skrócie - choć samo podawanie konta numer konta nie stanowi zagrożenia, to w sytuacji kontaktuje się z Tobą "prawnik z Nigerii" i prosi o podanie konta bankowego, w celu realizacji przelewu (informując, ze otrzymasz spadek po zmarłym dalekim krewnym), to taka sytuacja zdecydowanie stwarza niebezpieczeństwo.
Oczywistą sprawą wydaje się, że nie należy nikomu udostępniać swoich danych dostępowych do bankowości internetowej, jednak wciąż można znaleźć grupkę osób, która dopuszcza się takich zaniedbań, czy to z nieuwagi czy przez zwykły brak zdrowego rozsądku.
W tym miejscu pozwolę sobie przypomnieć kodeks bezpieczeństwa, który został kiedyś opracowany i opublikowany przez mBank. Właśnie te 10 zasad, które znajdziesz poniżej, dobrze pokazuje, czym jest zdrowy rozsądek w kontekście korzystania z rachunku bankowego:
1. Nie otwieraj podejrzanych maili i załączników.
2. Uważaj na linki wysłane mailem i przez komunikatory.
3. Korzystaj z programów chroniących komputery i urządzenia mobilne.
4. Korzystaj tylko z oryginalnego oprogramowania i regularnie je aktualizuj.
5. Aplikacje i programy pobieraj wyłącznie z oficjalnych źródeł.
6. Stosuj różne i skomplikowane hasła, regularnie je zmieniaj.
7. Zanim klikniesz, przeczytaj uważnie to, na co się zgadzasz.
8. Nie podawaj poufnych danych jeśli cokolwiek wzbudza Twoje wątpliwości.
9. Sprawdzaj certyfikaty bezpieczeństwa stron www.
10. Miej ograniczone zaufanie do sieci publicznych.
Kodeks bezpieczeństwa mBanku
Banki, które zapewniają najlepszą ochronę
Na koniec kilka dobrych informacji, a więc które banki oferują najbezpieczniejsze usługi. W omawianym wcześniej raporcie najlepiej ocenione zostały:
- Volkswagen Bank Polska - 90,8%
- HSBC Bank Polska - 88,7%
- Alior Bank - 83,7%
Ciekawe, że na dwóch pierwszych pozycjach znalazły się banki, które w naszym kraju nie działają w tak dużej skali. Najniższy stopień podium przypadł dla Alior Banku, który posiada ponad 4 miliony klientów, co na pewno jest dobrą informacją dla tak licznej grupy.
To jednak nie koniec ważnych informacji w kontekście bezpieczeństwa banków w Polsce. Również niektóre instytucje polskiego sektora bankowego zapewniają swoim klientom dodatkową ochronę. Poniżej znajdziesz dwa przykłady rozwiązań, na które warto zwrócić uwagę w kontekście bezpieczeństwa.
Podsumowanie
Raport dotyczący bezpieczeństwa polskich banków pokazał, że w tym aspekcie banki mają jeszcze sporo do zrobienia. I choć korzystanie z usług oferowanych przez polskie banki na ogół jest bezpieczne, to warto mieć świadomość, że jest jeszcze spory obszar do poprawy, a przecież każde niedociągnięcie naraża klientów na ryzyko związane z utratą ich własnych środków.
Z dobrych informacji, należy mieć na względzie, że raporty tego rodzaju zwykle kładą nacisk na problemy, podczas gdy mniej istotne są tzw. "zaliczone audyty". Oprócz tego nie tylko banki, ale też instytucje, takie jak wydawca karty czy dostawca technologii służącej do realizacji płatności mobilnych, dodatkowo dbają o bezpieczeństwo swoich użytkowników.
Korzystając z konta zawsze pamiętaj o zachowaniu zdrowego rozsądku. Jeśli chcesz poczuć się jeszcze bezpieczniej - pomyśl o wyborze rachunku, który w ramach oferowanych usług, pozwala skorzystać z dodatkowych rozwiązań zapewniających zwiększoną ochronę.