Информационный век связан со стремительными толчками роста рынка финансовых мобильных приложений, а вместе с тем растёт и число угроз. Смартфоны и мобильные приложения давно превратились в виртуальные ячейки с ценной информацией. Активное развитие системы платежей, переводов, обслуживания депозитов, дебетовых и кредитных счетов часто не подкрепляется поддержкой абсолютной безопасности. Для оценки состояния рынка интернет-банкинга Центром разработки программного обеспечения EDISON было проведено исследование.

Анализ функциональности мобильных приложений для банков

Мобильный банк — сервис, от работы которого зависит репутация финансовых организаций не меньше, чем от качества обслуживания в филиалах, разнообразия банковских продуктов и их привлекательности для клиентов. В рамках повышения конкурентоспособности разрабатываются веб-сайты и мобильные приложения для самых распространённых платформ — iOS и Android. Задачи специализированного программного обеспечения:

  • Подавление угроз и вирусных атак.
  • Предотвращение актов несанкционированного доступа.
  • Выявление уязвимостей и усовершенствование системы защиты.

Особенности современных мобильных приложений для банков

В последние 10 лет независимыми организациями и заинтересованными веб-компаниями был проведён ряд исследований надежности, безопасности и функциональности ПО. Как ни парадоксально, большинство современных продуктов не отвечает элементарным требованиям. Эксперты указывают на стандартные уязвимости, большинство из которых касаются безопасности архитектуры в целом и внутреннего кода. Результат — высокий риск перехвата данных в процессе транзакций между сервером и лицевым счётом клиента, также в обратном направлении.

Статистика современного рынка банковского ПО

Некорректность работы криптографического протокола SSL наблюдается в 15% продуктов на платформе Android и в 35% на iOS. Каждое 5 специализированное приложение для iPhone является условно уязвимым к SOL-атакам. Для получения беспрепятственного доступа к счетам и операциям необходимы несложные манипуляции и запросы сторонних лиц. Для XSS потенциально открыто 7 из 10 iOS-приложений. С ОС Android статистика показывает более радужные данные — 20% уязвимых, что объясняется лишь большим числом продуктов, в сравнении с программами для гаджетов компании Apple. По причине обращения к не совсем официальной операции jailbreak практически половина мобильных приложений неустойчива перед XXE.

По мнению экспертов Deloitte — международной консалтинговой компании — ТКС банк является владельцем самого удобного и защищённого мобильного банка на российском рынке. Для пользователей системы это всего лишь простая навигация и принцип «всё под рукой» с многосторонними оповещениями и обширными возможностями. Изнутри система является слаженной, рационально выверенной и хорошо защищённой. На примере безнес-модели беспрецедентного лидера можно убедиться в том, что реально полностью отказаться о офисов продаж и филиалов со всеми сопутствующими статьями расходов. Самым продающим признан банкинг «Русский Стандарт», а наиболее технологичным именован «Альфа-Банк».

В рамках обзора рассматривались услуги 37 финансовых организаций и ПО 25 из них, которые активно используют ДБО. Через призму эволюционирования были выявлены и основные недостатки. Основное внимание уделено онлайн обслуживанию депозитов и дебетовых карт. Область кредитов развита не так сильно, для получения полного спектра услуг клиентам необходимо обращаться в банк лично для получения решения по заявкам. Результат комплексного анализа определил на 3-ей место «Сбербанк», который по универсальности опережают «Альфа-Банк» и ТКС. Программное обеспечение этой организации позволяет в режиме реального времени осуществлять переводы между собственными счетами, работать с картами и депозитами, совершать платежи и погашать обязательства.

Общие рекомендации по дальнейшему развитию интернет-банкинга

Интернет-банкингу присущи самые разные недочёты. Одни организации всё внимание уделяют безопасности кода, иные за привлекательным дизайном и интуитивным интерфейсом скрывают слабую систему аутентификации. Как итог — низкий уровень защиты данных. Неожиданным открытием исследования, которое проводили в Центре разработки программного обеспечения EDISON, стало количество общеизвестных и изученных атак, которое равнозначно числу специфических и новых угроз. Многие разработчики не уделяют должного внимания обновлению базы и выпуску более совершенных версий.

Первичная задача — обеспечение безопасности на этапе разработки модуля ДБО. Следует тщательно прорабатывать архитектуру новых продуктов, осуществлять аудит уже функционирующих на предмет ошибок в коде. Специалистам необходимо осознавать важность защищённости проекта, от которой зависит репутация банка, отношение к нему со стороны клиентов. Необходимо проводить тесты мобильных приложений и на этапе выпуска/внедрения. Стоит понимать, что с запуска начинается ответственная работа по регулярному отслеживанию угроз, выявлению ошибок и устранению недочётов.