Oprogramowanie bezpieczeństwa bankowości internetowej

Bankowość elektroniczna cieszy się dużym zainteresowaniem wśród klientów. Dzięki korzystaniu z udostępnionej przez bank platformy mogą oni szybko zlecić przelewy czy wnioskować o pożyczkę. Pozostaje jednak kwestia bezpieczeństwa. Jakie rozwiązania aktualnie stosują banki? Czy są one wystarczająco skuteczne?

Bezpieczeństwo bankowości online – wymogi prawne

W bankowości kwestia bezpieczeństwa jest kluczowa. Od zastosowanych rozwiązań zależy, czy środki zdeponowane przez klientów na rachunkach bankowych oraz ich dane osobowe będą poza zasięgiem osób niepowołanych. Ponieważ branża finansowa jest szczególnie narażona na cyberprzestępstwa, to kwestii bezpieczeństwa banki nie regulują we własnym zakresie. Przeciwnie – rekomendacje wydają państwowe organy nadzorcze. Decyzje, które mają wpływ na bezpieczeństwo bankowości online, zapadają również na szczeblu unijnym, czego wyrazem może być dyrektywa PSD2 (Payment Services Directive) oraz mniej znane Rozporządzenie Delegowane Komisji (UE) 2018/389 (określane jako RTS – dodatek do PSD2).

Dyrektywa PSD2 przyniosła duże zmiany zarówno dla banków oferujących bankowość online, jak i samych klientów. W kwestii bezpieczeństwa najważniejszą zmianą jest tzw. „silne uwierzytelnianie klienta”. Zgodnie z definicją znajdującą się w przywołanej dyrektywie (art. 4), banki muszą od użytkowników wymagać zastosowania co najmniej dwóch elementów (jest to tzw. uwierzytelnianie dwuetapowe, uwierzytelnianie dwuskładnikowe), które należą do kategorii:

• wiedza – coś, co wie wyłącznie użytkownik (np. hasło),
• posiadanie – coś, co posiada wyłącznie użytkownik (np. dokument tożsamości, karta płatnicza – w przypadku wypłaty środków z bankomatu),
• cechy klienta – coś, czym jest użytkownik (np. odcisk palca).

Jednocześnie elementy te muszą być od siebie niezależne. Ideą jest to, aby naruszenie jednego z nich nie osłabiało wiarygodności pozostałych.

Dobrą wiadomością dla klientów banków jest to, że bezpieczeństwo bankowości online jest rozpatrywane w kontekście zmniejszenia ich odpowiedzialności za nieautoryzowane transakcje. Po stwierdzeniu utraty, kradzieży, przywłaszczenia lub nieuprawnionego użycia instrumentu płatniczego (art. 69 PSD2), klient ma obowiązek zgłosić ten fakt dostawcy usług płatniczych. Nie poniesie on odpowiedzialności, jeżeli nie miał możliwości stwierdzenia utraty, kradzieży lub przywłaszczenia instrumentu płatniczego przed płatnością (art. 74 PDS2). Nie zmienia to jednak faktu, że bank powinien zrobić wszystko, co w jego mocy, by nie dopuścić do naruszeń bezpieczeństwa.

Dyrektywa PSD2 nie jest jedyną, którą banki muszą mieć na uwadze, gdy w grę wchodzi bezpieczeństwo bankowości online. Równie istotne jest unijne rozporządzenie o ochronie danych osobowych RODO (General Data Protection Regulation, GDPR), które zawiera dokładne wytyczne co do postępowania pracowników banku w momencie, gdy dojdzie do ataku hakerskiego lub dane klienta zostaną omyłkowo udostępnione osobie trzeciej[3].

Oprogramowanie bezpieczeństwa bankowości – z czego korzystają banki?

Bank oferujący bankowość elektroniczną musi zadbać o to, aby wykorzystywane przez niego oprogramowanie było bezpieczne. Jeżeli spojrzeć na zagrożenia czyhające na użytkowników bankowości internetowej, to wskazać można m.in.: phishing, Man In The Middle, Man In The Browser czy ataki zdalne. Oprogramowanie bezpieczeństwa bankowości online powinno do minimum ograniczać skuteczność wymienionych rodzajów ataków.

W przypadku bankowości internetowej za kluczowe uznaje się uwierzytelnienie tożsamości użytkownika. Bezpieczeństwo bankowości online w dużej mierze zależy od tego, czy uwierzytelnianie będzie silne, dzięki czemu konto użytkownika pozostanie poza zasięgiem cyberprzestępców. Jakie rozwiązania stosują banki? Często wykorzystywane oprogramowanie bezpieczeństwa bankowości online to tokeny.

Po wpisaniu loginu i hasła, użytkownik musi jeszcze podać dodatkowy kod wygenerowany właśnie przez token, czyli generator kodów jednorazowych. Tokeny z kolei są dostępne w dwóch postaciach – tokenów sprzętowych i rozwiązań mobilnych. W Comarch stosujemy dla bankowości dwa różne tokeny:

• tProc ECC – to token sprzętowy, którego działanie wykorzystuje kryptografię krzywych eliptycznych. O przewadze tego rozwiązania świadczy również zastosowany mechanizm w postaci HPD (Human Presence Detection). Ponieważ użytkownik autoryzuje każdą transakcję poprzez naciśnięcie przycisku znajdującego się na obudowie urządzenia. Token ten jest odporny na ataki zdalne;
• tPro Mobile – to zaawansowane narzędzie mobilne. Rozwiązanie spełnia założenia wspomnianej dyrektywy PSD2, a dzięki strukturze i budowie może zostać zintegrowane z już funkcjonującym systemem i wykorzystane jako dodatkowy element uwierzytelnienia.

Dodatkowo banki wykorzystują powiadomienia PUSH oraz biometrię. W ostatnim przypadku szczególnie popularne są: FaceID i biometria linii papilarnych palca. Warto jednak pamiętać, że z uwagi na kontrowersje, niektóre państwa nie korzystają z drugiej metody (np. Japonia, która wykorzystuje biometrię naczyń krwionośnych palca – Finger Vein).

Ze względów bezpieczeństwa część banków stosuje nie tylko narzędzie 2FA (wspomniane dwuskładnikowe uwierzytelnianie) – równie istotne jest oprogramowanie bezpieczeństwa bankowości online. Jego działanie polega np. na skróceniu czasu trwania sesji (skraca czas, przez jaki klient może korzystać z konta po zalogowaniu).

Jak będzie rozwijać się bezpieczeństwo bankowości online?

Metody, jakie wykorzystują cyberprzestępcy wciąż ewoluują. Oznacza to, że również oprogramowanie bezpieczeństwa bankowości musi uwzględniać coraz skuteczniejsze zabezpieczenia, aby środki pieniężne i dane klientów były bezpieczne i pozostawały poza zasięgiem hakerów. W jakim kierunku podążają banki i czego w najbliższych latach mogą spodziewać się konsumenci korzystający z bankowości online?

W ostatnim czasie coraz większą popularność zyskują technologie biometryczne. Szczególnie wspomniana biometria naczyń krwionośnych palca może być rozwiązaniem, które zainteresuje banki. Jak pokazują dotychczas przeprowadzone badania, metoda ta jest niezawodna (w przeciwieństwie np. do biometrii tęczówki oka) i może być wykorzystywana u wszystkich osób, bez względu na rasę czy wiek. Niektóre banki już oferują klientom tę technologię uwierzytelnienia, np. angielski Bank Barclays zrobił to w 2014 r. Z kolei w Polsce pilotażowy program w 2015 r. wdrożył Bank BZ WBK. Sieć bankomatów Planet Cash także proponuje ten sposób uwierzytelnienia przeprowadzanych transakcji.

Oprogramowanie bezpieczeństwa bankowości online może wykorzystywać również sztuczną inteligencję (SI), która będzie zapobiegać oszustwom. W miarę rozwoju technologia SI umożliwi monitorowanie zachowań klientów pod względem lokalizacji, urządzeń i metod uwierzytelnienia. Opierając się na zaobserwowanych zachowaniach, oprogramowanie udzielać będzie analitykom rekomendacji i trafnej oceny ryzyka.

Mimo że bezpieczeństwo bankowości online wciąż się poprawia, warto pamiętać, że to użytkownik wciąż okazuje się najsłabszym elementem systemu. Wdrażając nowoczesne rozwiązania, banki powinny kłaść nacisk również na edukację klientów. Tylko wówczas walka z cyberprzestępczością będzie miała sens.