Raport Specjalny Bezpieczeństwo Banków: Testom nie ma końca

Raport Specjalny Bezpieczeństwo Banków: Testom nie ma końca
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Sprawdzanie, czy bankowe aplikacje są bezpieczne, to rzecz wielkiej wagi. Co więcej, właściwie każda zmiana jednej linijki kodu może wywołać kilka lub kilkanaście defektów o charakterze krytycznym.

Krzysztof Maciejewski

Testowanie aplikacji i bankowej infrastruktury informatycznej to kwestie, o których banki niezbyt chętnie opowiadają. W teorii środowiska testowe uruchamiane są podczas wdrożenia systemu, ale w praktyce każda, nawet najmniejsza zmiana powoduje, że wszystko trzeba sprawdzać od początku. A tak naprawdę testy powinny rozpoczynać się jeszcze przed wdrożeniem. W końcu według ustaleń amerykańskich naukowców aż 75% wszystkich defektów to wynik złej specyfikacji. Kwestie testów w bankach dość szczegółowo opisuje wydana przez KNF w 2013 r. Rekomendacja D. Poprzez „metodologię testowania” rozumie się „metodologię testowania środowiska teleinformatycznego”, czyli testowania systemu i infrastruktury. Metodologia uwzględnia wspomniane w rekomendacji „dobre praktyki” testowania, takie jak planowanie i testowanie atrybutów jakościowych oprogramowania.

Rekomendacja D w punkcie 5.2 zwraca uwagę na odpowiednią separację obowiązków, w szczególności oddzielenie funkcji tworzenia lub modyfikowania systemów informatycznych od ich testowania (poza testami realizowanymi przez programistów w ramach wytwarzania oprogramowania), administracji i użytkowania. Sposób organizacji testów powinien zapewniać możliwie wysoki stopień niezależności weryfikacji spełnienia przyjętych założeń. W każdym testowaniu rozróżnić można kilka etapów: planowanie (opcjonalnie wynika z dobrych praktyk), strategia testowania, zdefiniowanie miar jakości programowania, kryterium odbioru, wytworzenie scenariuszy i danych opartych na wymaganiach, uruchomienie testów i wreszcie raportowanie.

Ciągła kontrola

Problemem może czasami okazać się odpowiednie zgranie czasowe – klienci nie lubią, gdy bank przestaje działać. Trzeba więc odpowiednio zaplanować wszelkie działania. – Częstotliwość zależna jest od typu testu, jaki przeprowadzamy. Z uwagi na wielkość infrastruktury część automatycznych i nieinwazyjnych testów jest wykonywana w sposób ciągły – mówi Marcin Jagodziński, dyrektor Biura Bezpieczeństwa Informacji w Citi Handlowym. Oczywiście, testy, które mogą powodować pewne zakłócenia w pracy środowiska teleinformatycznego są planowane z wyprzedzeniem oraz realizowane w taki sposób, by w jak najmniejszy sposób oddziaływać na bieżącą działalność biznesową banku.

Podobnie dzieje się w ING Banku Śląskim. – Za każdym razem oceniany jest stan bezpieczeństwa aplikacji oraz otaczającej jej infrastruktury. Wyrywkowe testy aplikacji z pominięciem innych istotnych elementów nie mają większej wartości – tłumaczy Maciej Ogórkiewicz, dyrektor Departamentu Bezpieczeństwa IT w ING BS. Z kolei w Banku Pekao SA testy bezpieczeństwa przeprowadzane są przed produkcyjnym uruchomieniem nowego rozwiązania informatycznego oraz wdrożeniem istotnej, mającej wpływ na bezpieczeństwo zmiany funkcjonalności aplikacji. – Testy bezpieczeństwa muszą być również przeprowadzane cyklicznie, a także po zaistnieniu incydentu bezpieczeństwa. W przypadku wykrycia podatności następuje proces jej usuwania, a następnie przeprowadzany jest retest mający na celu potwierdzenie skuteczności wprowadzonych modyfikacji – opowiada Krzysztof Berowski, ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI