Szerokie wykorzystanie usług bankowości mobilnej jest uzależnione od zapewnienia odpowiedniego stopnia zabezpieczenia dokonywanych transakcji.
Priorytetem jest opracowywanie takiej technologii, aby przeprowadzane operacje nie narażały klientów na nieprzyjemności i dodatkowe koszta związane z brakiem odpowiedniej kontroli i ochrony przed złodziejami działającymi w sieci. Z perspektywy banku kluczem do sukcesu jest zaufanie i przeświadczenie klientów, iż pieniądze, które zawierzyli instytucji finansowej są zabezpieczone i nikt z osób niepożądanych nie będzie nimi dysponować. Bezpieczeństwo w aspekcie informatycznym to pewne zdarzenie, które określa najważniejsze przedmioty bezpieczeństwa bankowości20:
• autentyczność - pozwalają stwierdzić, czy osoba podpisująca się pod transakcją jest rzeczywiście osobą, która jej dokonała;
• niezaprzeczalność - brak możliwości zaprzeczenia nadania lub też odebrania określonego komunikatu drogą elektroniczną;
• dostępność - nieprzerwany dostęp do systemu bankowości mobilnej, opartego na autoryzowanych danych;
• niezawodność - poprawne działanie systemu, w takim sposób jak się od niego oczekuje.
Bezpieczny system bankowości to taki, który wyżej wymienione atrybuty są na akceptowalnym poziomie, zarówno dla banku, jak i dla klientów. Odnosząc się do wyżej
18 M. Polasik, Bankowość elektroniczna istota-stan-perspektywy, CeDeWu, Warszawa 2007, s. 42-49.
19 Technologie informatyczne w bankowości, red. A. Gospodarowicza, Akademia Ekonomiczna im. Oskara Langego, Wrocław 2002, s. 69.
20Bankowość elektroniczna, red. A. Gospodarowicz, Polskie Wydawnictwo Ekonomiczne, Warszawa 2005, s.
27.
62 przedstawionych przedmiotów bezpieczeństwa można odnieść się do czterech typów ataków na systemy informatyczne21:
• przerwanie - zagrożenia dostępności,
• przechwycenie - zagrożenie poufności,
• modyfikacja - zagrożenie integralności,
• podrobienie - zagrożenie autentyczności.
Najczęściej spotykane próby ataku na zabezpieczenia można podzielić ze względu na zagrożenia: bierne i czynne, wewnętrzne i zewnętrzne, przypadkowe i celowe, sprzętowe i programowe. Zagrożeniu bierne to takie, kiedy informacje zostały ujawnione sposób nieuprawniony, jednakże bez wpływu na system informatyczny.
Przykłady: analiza ruchu w sieci, podsłuch, emisja ujawniająca. Zagrożenia, które w sposób czynny oddziałują na system to: błędne działania pracowników banku, przeoczenia i świadome działania na szkodę. Zagrożenia wewnętrzne powodowane są przez prawnych użytkowników systemu bądź sieci. Sytuacja analogiczna jak wyżej, najczęściej są powodowane błędami, tudzież przeoczeniami. Natomiast przyczynami ich powstawania są: zbyt rozbudowane uprawnienia pracowników, spowolnione reagowanie na uchybienia oraz niedociągnięcia w sferze polityki bezpieczeństwa. Na zagrożenia zewnętrzne składają się intruzi, nielegalni użytkownicy, którzy dążą do bezprawnego dostępu do informacji systemowych. Zagrożenia przypadkowe powodowane są przez awarie sprzętu, błędy w oprogramowaniu, a także przez błędy i uchybienia pracowników. Z zagrożeniami celowymi mamy do czynienia, gdy użytkownicy systemu działają świadomie. Ostatni podział mówi nam o nieprawidłowościach w funkcjonowaniu sprzętu lub oprogramowania. Bezpieczeństwo bankowości elektronicznej jest problemem zawiłym i rozległym, dotyczącym aspektów prawnych, technologicznych i organizacyjnych na linii bank - użytkownik. W tej relacji obie strony dzielą się odrębnymi zadaniami i obowiązkami, których realizacja ma na celu jak najlepsze zabezpieczenie procesu przetwarzania danych22. Lista przedstawiona poniżej nie wyczerpuje możliwych wszystkich sytuacji, które zagrażają bezpieczeństwu transakcji przy użyciu urządzeń mobilnych. Najpoważniejsze związane są niewątpliwie ze złamaniem zabezpieczeń dostępu do systemu, a więc: ujawnienie loginu, hasła jednorazowego, czy kodu PIN do tokena. Są one często następstwem podsłuchu elektromagnetycznego, wykorzystania programów szpiegujących, użycia engineering i podsłuchu w sieci lokalnej. Wielostronnie wykorzystywane social-engineeringi - metody mające na celu uzyskanie nielegalnych informacji przez cyberprzestępców wiążą się przede wszystkim z podsyłaniem maili klientom, w których zawarta jest prośba o zalogowanie się na fałszywej stronie internetowej, co prowadzi do przejęcia danych osobistych. Niefrasobliwe i nieostrożne dysponowanie swoimi danymi wystawia klientów na działanie hakerów, którzy wykradają tożsamość z Internetu.
Osobista zapora sieciowa to podstawowe narzędzie do zabezpieczania swoich danych.
21 S. Wojciechowska-Filipek, Technologia informacyjna w usługach bankowości elektronicznej, Difin, Warszawa 2010, s. 76.
22 Technologie informatyczne w bankowości...op.cit., s. 183.
63 Dodatkowo zintegrowany pakiet zabezpieczający ataki z Internetu i częstsze szyfrowanie plików bankowych uzupełniają atrybuty ochronne23. Aplikacje bankowe instalowane na telefonie komórkowym powinny być podpisane cyfrowo, aby nie było trudności z rzetelną i jednoznaczną weryfikacją konta bankowego, jak również, aby można było sprawdzić pochodzenie aplikacji, jak i jej integralność. Zróżnicowanie haseł i loginów przeciwdziała udostępnianiu konta osobom nieupoważnionym. Słabe zabezpieczenie dostępu do rachunku, błędy w oprogramowaniach wczytywanych z sieci dobrze służą jednostkom niepowołanym do korzystania aze wszystkich danych na telefonie komórkowym. Programy ingerujące w systemy informatyczne, tzw.
oprogramowanie złośliwe to główne zagrożenie dla serwerów. Stają się coraz większym zagrożeniem dla posiadaczy inteligentnych telefonów komórkowych (smartfonów).
Wymienić wśród nich można: wirusy, bakterie, konie trojańskie. Dzisiaj bezpiecznym telefonem komórkowym nazywamy taki, który jest wyposażony w odpowiednie oprogramowanie Anti-Malware. Oprogramowania złośliwe jeszcze nie są tak aktywne, jak w przypadku komputerów stacjonarnych, ale widać tendencję wzrostową. System operacyjny telefonu komórkowego wraz z oprogramowaniem wymaga okresowych aktualizacji. Właściciel urządzenia może mieć z tym problem, a błędne przeprowadzenie aktualizacji może doprowadzić do nieodwracalnych skutków, np. utraty cennych danych, czy defektu telefonu. Przed rozpoczęciem każdej aktualizacji zaleca się wykonanie dodatkowej kopii danych24. Podczas transmisji elektronicznej dane również są zagrożone. Typowe zagrożenia w tym zagadnieniu to m. in. sniffing, czyli podsłuchiwanie sieci umożliwiające wejście w posiadanie danych przekazu, spooffing, który polega na podszywaniu się pod inny telefon należący do danej sieci. Wspólnym zagrożeniem dla serwera i klienta są ataki man-in-the-middle charakteryzujące się obserwowaniem połączeń przez niepożądaną osobę, która pośredniczy w przekazie danych. Telefony z wbudowanym modelem GSM lub bezprzewodową kartą sieciową od chwili połączenia z serwerem stają się prawdopodobnym celem ze strony hakerów lub złośliwego oprogramowania. Zainstalowanie na smartfonie pakietu wielofunkcyjnych zabezpieczeń, mających na wyposażeniu skaner antywirusowy i osobistą zaporę internetową jest środkiem przeciwdziałającym atakom Internetu. Powyższa lista przedstawia niektóre elementy zagrażające bezpieczeństwu bankowości mobilnej podczas dokonywania transakcji. Z jednej strony systemy zabezpieczeń muszą godzić dostępność, cenę, nieskomplikowanie obsługi, a z drugiej zapewnić najwyższą wiarygodność i pewność bezpieczeństwa. Trzeba być ponad to świadomym, że kwestia bezpieczeństwa jest w rękach banku, ale też i konsumenta25.
Najbezpieczniejszym rozwiązaniem ze spectrum bankowości mobilnej rozpatrującym porozumiewanie się klienta z bankiem, wydaje się być innowacja SIM Toolkit, która w momencie wykonywania transakcji wymusza wpisanie poufnego kodu PIN. Kilkukrotne wprowadzenie nieprawidłowego kodu powoduje zablokowanie
23 S. Wojciechowska-Filipek, Technologia informacyjna...op.cit., s. 78.
24 T. Koźliński, Bankowość internetowa...op.cit., s. 75.
25 S. Wojciechowska-Filipek, Technologia informacyjna...op.cit., s. 78.
64 aplikacji. Operator sieci komórkowej ze względu na kodowanie łączności z bankiem algorytmem symetrycznym nie ma możliwości ingerowania w transmisję danych Łączność z bankiem kodowana jest algorytmem symetrycznym, co oznacza, że operat sieci telefonii komórkowej nie ma sposobności ingerencji w transmisję danych26. Branża się rozwija, wprowadza technologię komunikacji poufnego zasięgu, mimo to pojawiają się nowe zagrożenia, które powodują ograniczenie zaufania klientów do innowacji technologicznych - zgubienie lub kradzież telefonu niesie za sobą niebezpieczeństwo pozyskania przez czynnik niepożądany danych zapisanych na karcie chipowej. W takim przypadku numery PIN, czy kart kredytowych są poważnie zagrożone. Aspekty bezpieczeństwa są kwestią absolutnie pierwszoplanową przy pozyskiwaniu nowych klientów, w związku z czym opracowywany szereg zabezpieczeń w dystrybucji usług bankowości mobilnej jest cały czas udoskonalany27.