Strona główna
Jakie cyberzabezpieczenia stosują polskie banki?
W obliczu rosnącej liczby ataków na klientów bankowości elektronicznej zapytaliśmy banki działające w Polsce o ich poziom zabezpieczeń transakcji. Okazało się, że nie wszyscy chętnie dzielą się tą wiedzą
Firmą, która podzieliła się informacjami w największym stopniu był PKO Bank Polski – który podał nam pełną informację na temat poziomu swoich zabezpieczeń. Równie ciekawe i obszerne informację uzyskaliśmy od Banku BPH. Instytucje finansowe często bronią się przed podawaniem informacji na temat rodzaju stosowanych zabezpieczeń w bankowości elektronicznej. To błąd, bo klienci muszą wiedzieć z jakich zabezpieczeń korzysta bank oraz jak sami mają się zabezpieczać. Przestępcy będą wstanie zdobyć tę wiedzę i tak - niezależnie od informacji podawanych przez banki.
Jakie więc opcje bezpieczeństwa są dostępne dla klientów bankowości elektronicznej? W PKO Banku Polskim mamy do wyboru kilka rozwiązań – kody SMS, Token w aplikacji bankowej oraz karty kodów jednorazowych.
Weryfikacja kodami SMS w opinii ekspertów od cyberbezpieczeństwa pozostawia wiele do życzenia. Dowodzą oni, że weryfikacja na tym samym urządzeniu, z którego dokonywane są transakcje nie jest najbezpieczniejszym rozwiązaniem, jednak i tak dużo lepszym niż brak jakiejkolwiek weryfikacji.
Aplikacja z tokenem może nie tylko generować kody jednorazowe, ale też być dodatkowym źródłem zabezpieczeń w czasie logowania do serwisu transakcji. W przypadku błędnych prób system zablokuję możliwość logowania oraz wykonywania transakcji. W serwisie bankowości elektronicznej dodatkowo domyślnie sprawdzane są numery konta wklejane ze schowka. Po wklejeniu pokazuje się okno z prośbą o upewnienie się co do poprawności skopiowanego numeru. Dzięki temu klienci zwracają uwagę, czy numer nie został podmieniony przez złośliwe oprogramowanie.
Po stronie banku istotnym elementem zabezpieczeń są systemy i zespoły monitorujące transakcje w celu zapobiegania oszustwom. Podejrzane transakcje są dodatkowo weryfikowane telefonicznie przez konsultantów contact center.
W przypadku Banku BPH przy przelewach bankowych w systemie BusinessNet stosowana jest dwustopniowa weryfikacja za pomocą komponentu do podpisu. Klient, który posiada klucze PKI, autoryzuje transakcje hasłem do klucza oraz kodem SMS lub z wykorzystaniem czytnika i karty procesorowej. Klienci systemu BusinessNet tworzą również swoje struktury wieloetapowej autoryzacji. Firmy korzystające z usług banku same decydują, że np. dwie osoby z księgowości autoryzują przelewy, a przy dodatkowej kontrasygnacie prezesa limit nie obowiązuje.
Dodatkową warstwą weryfikującą zlecenia jest system FDS (Fraud Detection System), który stosuje zaawansowane reguły składania wniosku o transakcje, które mogą być podejrzane oraz kontroluje tzw. blacklisty. Jeżeli zlecenie otrzyma wynik wymagający weryfikacji, wówczas pracownicy banku sprawdzą je zanim zostanie wysłane na zewnątrz.
Natomiast Alior Bank posiada tradycyjną i powszechnie używaną dwustopniową weryfikację przy przelewach bankowych poprzez kody wysyłane za pomocą wiadomości SMS.
Mbank poinformował, że nie udziela informacji na temat stosowanych zabezpieczeń.
Czytaj też: 36 światowych korporacji zaatakowanych przez tą samą lukę w systemie