Za pośrednictwem luk w bezpieczeństwie aplikacji internetowych każdego roku wyciekają miliony numerów kart kredytowych oraz innych wrażliwych danych finansowych. Nierzadko dochodzi nawet do realizacji nieautoryzowanych operacji finansowych.

Zwiększone ryzyko

W celu wykonania pomyślnego ataku sieciowego hakerzy wykorzystują drobne błędy w oprogramowaniu (zwane podatnościami), które umożliwiają im uzyskanie nieautoryzowanego dostępu do systemu bądź zakłócenie jego poprawnego działania. W wielu przypadkach wystarczy tylko jedna drobna luka w bezpieczeństwie, aby umożliwić przestępcy komputerowemu włamanie do aplikacji. W ostatnich latach największa liczba nowych podatności identyfikowanych w oprogramowaniu dotyczy właśnie aplikacji internetowych. W związku z tym są one obszarem najwyższego ryzyka dla przedsiębiorstw ze wszystkich branż, w szczególności finansowej.

Dlaczego w aplikacjach internetowych występuje tak dużo podatności? Wiele jest powodów takiej sytuacji – z tym problemem boryka się cały świat. Przede wszystkim powszechnie brakuje odpowiedniej świadomości odnośnie do zagrożeń aplikacji internetowych. Dotyczy to zarówno osób postrzegających aplikacje internetowe z perspektywy biznesowej, jak i tworzących je programistów. Niestety, uczelnie wyższe, ucząc programować, bardzo rzadko poruszają w wystarczający sposób problematykę bezpiecznego programowania. Z kolei menedżerowie – z braku świadomości – często w ogóle nie uwzględniają bezpieczeństwa przy definiowaniu wymagań dla nowego serwisu internetowego. Innym powszechnym źródłem problemu są priorytety biznesowe, dla których czas wdrożenia aplikacji internetowej oraz jej funkcjonalność są na pierwszym miejscu, tym samym spychając aspekty bezpieczeństwa na plan dalszy.

Tworzone w ten sposób aplikacje internetowe zawierają wiele podatności stwarzających zagrożenie dla prywatności ich użytkowników, jak również dla reputacji ich właścicieli. Dodatkowo zdarza się, że aplikacje w ogóle nie są testowane pod kątem bezpieczeństwa lub testy przewidziane są na ostatnie dni poprzedzające wdrożenie. W efekcie bardzo często aplikacje są wdrażane nawet pomimo świadomości o lukach w ich bezpieczeństwie, z myślą o ich sukcesywnym eliminowaniu już po wdrożeniu produkcyjnym.

Czy nasze pieniądze są bezpieczne

Powstaje zatem pytanie, czy wobec powyższego pieniądze oraz wrażliwe dane finansowe klientów aplikacji internetowych są bezpieczne? Szczęśliwie organizacje regulujące rynek finansowy są świadome powyższych zagrożeń i wymagają od instytucji finansowych wdrażania procesów i rozwiązań w obszarze bezpieczeństwa systemów informatycznych zgodnych z najlepszymi praktykami. W efekcie finansowe aplikacje internetowe charakteryzują się znacznie wyższym poziomem bezpieczeństwa niż aplikacje internetowe pozostałych branż.

Instytucje finansowe są świadome negatywnych skutków wystąpienia incydentu bezpieczeństwa dla ich reputacji oraz zaufania klientów i wdrażają wiele mechanizmów mających na celu ograniczenie ryzyka skutecznych ataków do minimum. W celu uniknięcia bezpośrednich strat finansowych, realizacja krytycznych operacji w aplikacjach internetowych wymaga najczęściej dodatkowego uwierzytelnienia użytkowników, prowadzonego z wykorzystaniem tak zwanych silnych metod uwierzytelnienia (są to np. hasła jednorazowe, tokeny, certyfikaty czy wiadomości SMS). Zabezpieczenia te mają na celu zapewnienie, że nawet jeśli przestępca komputerowy pomyślnie przejmie sesję klienta lub zaloguje się na jego konto, to i tak nie będzie w stanie wyprowadzić pieniędzy z rachunków ofiary.