Bezpieczeństwo bankowości mobilnej od strony biznesowej – co warto wiedzieć?
Bankowość mobilna, będąca częścią cyfrowej rewolucji, niewątpliwie stała się popularną metodą zarządzania finansami. Korzyści z mobilnych rozwiązań czerpią dwie strony: użytkownicy zyskali większą wygodę, natomiast banki mogą wykorzystywać smartfony jako środek angażujący konsumentów. Ostatnie badania RateWatch wskazują, że aż 81% przebadanych instytucji finansowych oferuje usługi bankowości mobilnej, co jest wyraźnym wskaźnikiem jej popularności.
Jednakże to samo badanie pokazuje, że 36% konsumentów wciąż nie korzysta z bankowości mobilnej ze względu na zagrożenia bezpieczeństwa. Wyniki badania połączone ze stale ewoluującym spektrum cyberzagrożeń oznaczają, że praca nad zabezpieczeniami bankowości mobilnej jest kluczowa dla jej dalszego rozwoju. Świadome tego instytucje finansowe podejmują aktywne działania, implementując coraz bardziej skuteczne strategie i polityki bezpieczeństwa.
Bezpieczeństwo bankowości mobilnej jest kluczowe
Banki ciężko pracowały nad uzyskaniem efektywnych struktur bezpieczeństwa dla tradycyjnej bankowości online. Jednak bankowość mobilna charakteryzuje się innymi, unikatowymi wyzwaniami, jak choćby podatność urządzeń mobilnych na ataki typu malware. W rezultacie, każda próba wykorzystania istniejącej infrastruktury i narzędzi bankowości online będzie skutkować zwiększeniem ryzyka. Rozwiązaniem jest zastosowanie zabezpieczeń skrojonych specjalnie na potrzeby rynku urządzeń mobilnych.
Wyzwania, przed którymi stoi bankowość mobilna:
- W relatywnie krótkim czasie urządzenia mobilne dołączyły do portfela oraz kluczy jako przedmiotów niezbędnych niezbędne poza domem. Płatności mobilne oraz klucze implementowane w smartfonach dają realną szansę na to, że w przyszłości ich fizyczne odpowiedniki będą zastępowane przez telefon. Oznacza to, że zabezpieczenia urządzeń mobilnych stają się jeszcze bardziej istotne w przypadku ich zgubienia lub kradzieży. Jednocześnie, dzięki wyposażeniu nowoczesnych smartfonów np. w moduły GPS, czujniki ciśnienia czy funkcje biometryczne, banki mogą wykorzystywać telefony jako rdzeń strategii uwierzytelniania użytkownika.
- Wykorzystanie urządzeń i aplikacji mobilnych zależy przede wszystkim od wygody użytkowania. Klienci oczekują łatwego dostępu do aplikacji, usług i treści oraz niezauważalnych, działających w tle zabezpieczeń. Odnalezienie odpowiedniego balansu pomiędzy bezpieczeństwem a doświadczeniem użytkownika staje się istotne, jak nigdy wcześniej.
- Obecnie, urządzenia mobilne dają stały dostęp do wiadomości e-mail, SMS, przeglądarek internetowych i wielu aplikacji, wspierając całość obsługą gestów. Nieświadomi użytkownicy otwierają maile i załączniki, odwiedzają niezaufane strony, pobierają aplikacje od nieznanych wydawców oraz używają tych samych danych do logowania w wielu serwisach. Przez to urządzenia mobilne stają się wrażliwe na całe spektrum zagrożeń, takich jak phishing, oprogramowanie malware czy inżynieria społeczna.
- Coraz częstsze wykorzystywanie niezabezpieczonych połączeń Wi-Fi oznacza większe prawdopodobieństwo nieumyślnego spowodowania zagrożenia dla systemów bezpieczeństwa urządzenia.
- Krajobraz zagrożeń dla urządzeń mobilnych gwałtownie ewoluuje, cyberprzestępcy zyskują doświadczenie, a ich metody stają się coraz bardziej skuteczne. Nowy raport na temat bezpieczeństwa sieci Symentec’s 2016 Internet Security Threat Report pokazał 77% wzrost liczby nowych wariantów oprogramowania malware (dla Androida) pomiędzy 2014 a 2015 rokiem. Co więcej, nowe wersje malware obejmują także takie programy jak XcodeGhost, który pozwala hakerom na atakowanie systemu operacyjnego firmy Apple.
Aby bezpiecznie dostarczać usługi bankowości mobilnej, a tym samym zwiększyć zaufanie użytkowników do tego typu systemów, banki muszą stosować kompleksowe, wielowarstwowe zabezpieczenia. Ich rozwiązania muszą odpowiedzieć na potencjalne zagrożenia i wyzwania, które mogą się pojawić w trakcie realizacji transakcji. Dotyczy to wszystkich etapów i składników procesu: od urządzeń konsumentów (front end), poprzez bankowy system rozpoznawania i legitymizacji żądań użytkowników (back end) po kanał komunikacji pomiędzy nimi.
Praca nad wygodą użytkowania oraz zwiększenie zaufania użytkowników do bankowości mobilnej napędzi jej dalsze rozpowszechnianie, a co za tym idzie, podniesie dochód i zyski. Jednocześnie, banki chronią się przed stratami wizerunkowymi związanymi z włamaniami do sieci i kradzieżą danych.
Ochrona bankowości mobilnej – co powinna oferować
Środki podejmowane w celu zabezpieczenia bankowości mobilnej nie powinny przesłonić bardzo istotnej z perspektywy konsumenta wygody użytkowania. Dlatego też banki w czasie szukania rozwiązania powinny przyjrzeć się kilku istotnym kwestiom:
- Wsparcie dla zintegrowanych, wieloskładnikowych rozwiązań. Klienci bankowości mobilnej oczekują bezpieczeństwa nawet wtedy, gdy sami nie przestrzegają podstawowych zasad poruszania się w cyberprzestrzeni. Najbardziej odporne są rozwiązania wykorzystujące szeroki wachlarz metod uwierzytelniania i identyfikacji użytkownika, zapewniające ochronę całości procesu (end-to-end), aplikacji, połączenia oraz serwera.
- Możliwość łatwego przypisania i konfiguracji wielu metod uwierzytelniania dla różnych grup odbiorców. Idealne rozwiązanie to takie, które umożliwia szerokie możliwości konfiguracji, umożliwiając implementację dowolnej kombinacji wielu metod uwierzytelniania, w zależności od grupy odbiorców, kanału bankowości czy oddziału – zależnie od roli i strategii. Takie podejście pozwoli bankom na obniżenie kosztów operacyjnych poprzez zarządzanie wszystkimi metodami uwierzytelniania z poziomu pojedynczej platformy. Co więcej, konsumenci posiadający więcej niż jedno konto będą mogli uzyskać do nich dostęp za pomocą pojedynczego logowania.
- Bezpieczeństwo aplikacji mobilnej. Najlepsze zabezpieczenie aplikacji mobilnej powinno odpowiedzieć na zagrożenie ze strony ciągle rosnącej liczby ataków typu malware. Rozwiązanie powinno być w stanie wykryć ingerencję w aplikację poprzez debuggery, emulatory, fałszerstwa, zaciemnianie kodu, itp.
- Gromadzenie danych na temat zagrożeń, aby wykrywać potencjalne problemy w oparciu o analizę ryzyka – przed i po infekcji systemu oraz urządzenia. Najlepsze zabezpieczenia mobilne potrafią rozpoznać zarówno już znane, jak i dopiero pojawiające się zagrożenia. Używając informacji kontekstowych potrafią skorelować potencjalne niebezpieczeństwo z oczekiwanym zachowaniem użytkownika, konfiguracją urządzenia i profilem zagrożenia.
- Ścisłe przestrzeganie standardów. Spełnienie wymagań i standardów (np. PCI) wzmacnia całość łańcucha bezpieczeństwa dla bankowości mobilnej, redukując zagrożenie oraz zwiększając pewność konsumentów. Wybrane rozwiązanie bankowości mobilnej powinno spełniać wszystkie normy w standardzie, nie jako dodatek.
- Silne uwierzytelnianie bez wpływu na wygodę użytkowania. Uwierzytelnianie wieloskładnikowe dla bankowości mobilnej należy do najlepszych praktyk z zakresu bezpieczeństwa, jednak użytkownicy nie chcą spędzać dużo czasu na potwierdzaniu tożsamości w celu sprawdzenia stanu konta lub dokonania transakcji. Zaangażowanie konsumenta w proces uwierzytelniania może być zminimalizowane poprzez procesowanie w tle. Użytkownik angażowany jest tylko wtedy, kiedy jest to absolutnie koniecznie, w zależności od polityki bezpieczeństwa i rodzaju zagrożenia.
Bankowość mobilna – niezbędna dla klientów indywidualnych
Mobilna bankowość z czasem będzie tylko zyskiwała na popularności. Wraz z jej rozwojem pojawiają się nowe zagrożenia dla bezpieczeństwa, obejmujące konieczność ochrony aplikacji przed całym spektrum nowych zagrożeń. Banki powinny skoncentrować się na rozwoju i implementacji strategii bezpieczeństwa mobilnego, aby zminimalizować ryzyko związane z przechowywaniem prywatnych danych konsumentów, stratami finansowymi czy szkodami wizerunkowymi. Najbardziej efektywnym rozwiązaniem jest to, które zapewnia szczelną ochronę, jednocześnie utrzymując wygodę użytkowania na wysokim, pozytywnym poziomie. Dla dzisiejszych konsumentów wygoda stanowi najwyższą wartość, więc odnalezienie odpowiedniego balansu pomiędzy bezpieczeństwem i pozytywnym doświadczeniem użytkownika powinno stanowić priorytet dla banków, które chcą zachować swoją przewagę konkurencyjną.
Olivier Thirion de Briel,
Global Solutions Marketing Director,
Identity and Access Management Solutions,
HID Global