Banki, domy maklerskie, firmy ubezpieczeniowe, towarzystwa funduszy inwestycyjnych i emerytalnych udostępniają w internecie systemy do obsługi klientów detalicznych. Finansowe aplikacje internetowe są szczególnie interesującym celem dla przestępców komputerowych, którzy atakują przede wszystkim z myślą o uzyskaniu korzyści finansowych.
Za pośrednictwem luk w bezpieczeństwie aplikacji internetowych każdego roku wyciekają miliony numerów kart kredytowych oraz innych wrażliwych danych finansowych. Nierzadko dochodzi nawet do realizacji nieautoryzowanych operacji finansowych.

Zwiększone ryzyko

W celu wykonania pomyślnego ataku sieciowego hakerzy wykorzystują drobne błędy w oprogramowaniu (zwane podatnościami), które umożliwiają im uzyskanie nieautoryzowanego dostępu do systemu bądź zakłócenie jego poprawnego działania. W wielu przypadkach wystarczy tylko jedna drobna luka w bezpieczeństwie, aby umożliwić przestępcy komputerowemu włamanie do aplikacji. W ostatnich latach największa liczba nowych podatności identyfikowanych w oprogramowaniu dotyczy właśnie aplikacji internetowych. W związku z tym są one obszarem najwyższego ryzyka dla przedsiębiorstw ze wszystkich branż, w szczególności finansowej.
Dlaczego w aplikacjach internetowych występuje tak dużo podatności? Wiele jest powodów takiej sytuacji – z tym problemem boryka się cały świat. Przede wszystkim powszechnie brakuje odpowiedniej świadomości odnośnie do zagrożeń aplikacji internetowych. Dotyczy to zarówno osób postrzegających aplikacje internetowe z perspektywy biznesowej, jak i tworzących je programistów. Niestety, uczelnie wyższe, ucząc programować, bardzo rzadko poruszają w wystarczający sposób problematykę bezpiecznego programowania. Z kolei menedżerowie – z braku świadomości – często w ogóle nie uwzględniają bezpieczeństwa przy definiowaniu wymagań dla nowego serwisu internetowego. Innym powszechnym źródłem problemu są priorytety biznesowe, dla których czas wdrożenia aplikacji internetowej oraz jej funkcjonalność są na pierwszym miejscu, tym samym spychając aspekty bezpieczeństwa na plan dalszy.
Tworzone w ten sposób aplikacje internetowe zawierają wiele podatności stwarzających zagrożenie dla prywatności ich użytkowników, jak również dla reputacji ich właścicieli. Dodatkowo zdarza się, że aplikacje w ogóle nie są testowane pod kątem bezpieczeństwa lub testy przewidziane są na ostatnie dni poprzedzające wdrożenie. W efekcie bardzo często aplikacje są wdrażane nawet pomimo świadomości o lukach w ich bezpieczeństwie, z myślą o ich sukcesywnym eliminowaniu już po wdrożeniu produkcyjnym.

Czy nasze pieniądze są bezpieczne

Powstaje zatem pytanie, czy wobec powyższego pieniądze oraz wrażliwe dane finansowe klientów aplikacji internetowych są bezpieczne? Szczęśliwie organizacje regulujące rynek finansowy są świadome powyższych zagrożeń i wymagają od instytucji finansowych wdrażania procesów i rozwiązań w obszarze bezpieczeństwa systemów informatycznych zgodnych z najlepszymi praktykami. W efekcie finansowe aplikacje internetowe charakteryzują się znacznie wyższym poziomem bezpieczeństwa niż aplikacje internetowe pozostałych branż.
Instytucje finansowe są świadome negatywnych skutków wystąpienia incydentu bezpieczeństwa dla ich reputacji oraz zaufania klientów i wdrażają wiele mechanizmów mających na celu ograniczenie ryzyka skutecznych ataków do minimum. W celu uniknięcia bezpośrednich strat finansowych, realizacja krytycznych operacji w aplikacjach internetowych wymaga najczęściej dodatkowego uwierzytelnienia użytkowników, prowadzonego z wykorzystaniem tak zwanych silnych metod uwierzytelnienia (są to np. hasła jednorazowe, tokeny, certyfikaty czy wiadomości SMS). Zabezpieczenia te mają na celu zapewnienie, że nawet jeśli przestępca komputerowy pomyślnie przejmie sesję klienta lub zaloguje się na jego konto, to i tak nie będzie w stanie wyprowadzić pieniędzy z rachunków ofiary.



Ponadto w celu zminimalizowania liczby podatności w aplikacjach internetowych instytucje finansowe przeprowadzają badania ich bezpieczeństwa, czyli tak zwane testy penetracyjne. Testy penetracyjne realizowane przez niezależnych ekspertów są symulacją działań rzeczywistych przestępców komputerowych, z wykorzystaniem stosowanych przez nich technik i narzędzi do przełamywania zabezpieczeń. Testy penetracyjne są najczęściej przeprowadzane przed uruchomieniem produkcyjnym nowych aplikacji, każdorazowo przy większych modyfikacjach ich funkcjonalności, a także są okresowo powtarzane. Działania te, uzupełnione o szereg innych procesów i rozwiązań mających na celu zapewnienie bezpieczeństwa, powodują, że bezpośredni atak na aplikacje internetowe nie jest najłatwiejszym sposobem na przeprowadzenie pomyślnego włamania.
Dodatkowym czynnikiem ograniczającym możliwość prowadzenia bezpośrednich ataków na finansowe aplikacje internetowe jest fakt, iż ich użytkownicy nie są anonimowi i podlegają procedurom potwierdzenia tożsamości w procesie zakładania konta użytkownika aplikacji. Przeprowadzenie ataku sieciowego z własnego konta stanowi dla hakera zbyt duże ryzyko jego identyfikacji, stąd tego rodzaju próby przełamania zabezpieczeń występują relatywnie rzadko.

Najsłabsze ogniwo

W związku z podwyższonym poziomem bezpieczeństwa finansowych aplikacji internetowych przestępcy komputerowi skupiają się na najsłabszym ogniwie systemu bezpieczeństwa aplikacji. Niestety, jest nim sam użytkownik, który najczęściej nie jest w stanie zapewnić tak wysokiego poziomu bezpieczeństwa swojemu komputerowi osobistemu czy hasłom dostępowym, na jakim zabezpieczone są elementy infrastruktury informatycznej po stronie instytucji finansowych. Stąd znacząca większość prowadzonych w ostatnich latach ataków na konta klientów w bankach internetowych wykorzystuje właśnie te słabości.
Podsumowując, decydując się na korzystanie z dostępu do produktów finansowych za pośrednictwem internetu, należy być świadomym występujących zagrożeń dla aplikacji internetowych. Z uwagi na ryzyko włamania do prywatnych komputerów osobistych klienci powinni korzystać wyłącznie z aplikacji internetowych, które wymagają dodatkowego, silnego uwierzytelnienia przy próbie wykonania wrażliwej operacji. Jednakże dbając odpowiednio o bezpieczeństwo posiadanych danych uwierzytelniających oraz własnego komputera osobistego, klienci nie powinni mieć większych obaw podczas korzystania z finansowych aplikacji internetowych udostępnianych przez instytucje o uznanej reputacji.