[Owasp-poland] Kryteria oceny bezpieczeństwa bankowości internetowej

Slawomir Jasek slawek at securing.pl
Sun May 16 19:11:44 EDT 2010


On 05/14/10 17:07, Przemyslaw Skowron wrote:
> Na jednym z najbliższych spotkań OWASP Poland chciałbym przedstawić
> kryteria oceny bezpieczeństwa bankowości internetowej poruszając także
> inne aspekty niż większość mediów. Dla obiektywnego podejścia
> potrzebuję do tego wsparcia ze strony społeczności OWASP - tylko moja
> opinia nie będzie obiektywna. Osoby zainteresowane tematem i chcące
> dorzucić swoje 3 groszę proszę o kontakt bezpośrednio ze mną lub
> odpowiadając na tego maila w ramach listy owasp-poland.

OK to ja też dorzucam swoje "3 grosze" :)

We wspomnianym "katalizatorze" dyskusji - a także we wszystkich
dotychczasowych, tych wspomnianych tutaj i tych nie - raportach
dotyczących bezpieczeństwa bankowości internetowej w Polsce, brakuje w
mojej opinii niezwykle istotnego elementu - faktycznego bezpieczeństwa
aplikacji www obsługującej bankowość. Tak naprawdę to jakość aplikacji
ma kluczowy wpływ na ryzyko, wg mnie większy niż zastosowane
technologie. Przykładowo - co z tego że w banku X wdrożono
"najbezpieczniejszą" (taką, która w tym momencie dostaje w rankingu Y
najwięcej punktów) metodę autoryzacji czy uwierzytelnienia, skoro przy
jej wdrażaniu popełniono kardynalny błąd, pozwalający pierwszemu
lepszemu uczniowi gimnazjum (uczeń podstawówki jeszcze nie ma konta w
banku) na trywialne obejście tego zabezpieczenia?

Zakładam że wszystkie banki robią testy penetracyjne swoich aplikacji -
chociażby po to by być w zgodzie z regulacjami. Z oczywistych względów
szczegółowe wyniki takich testów nie mogą być upublicznione. Nie
spotkałem się jednak również z publikacją danych statystycznych z takich
testów (np. ile znaleziono podatności i o jakiej wadze), ani chociażby
informacją o samym fakcie i częstotliwości wykonywania testów. Domyślam
się więc, iż nie leży w interesie banku udostępnianie nawet szczątkowych
informacji o testach, i wg mnie nie rysuje to sytuacji na tym polu w
różowych barwach. Przecież gdyby taki test nie wykazał żadnych błędów,
PR prędzej czy później z dumą by to odtrąbił, węsząc pole do zaznaczenia
przewagi nad konkurencją.

Nie jestem bankowcem ani prawnikiem, ale wydaje mi się że jedynym
sposobem na upublicznienie jakichkolwiek informacji o faktycznym stanie
aplikacji bankowości internetowych jest narzucenie odpowiednich
regulacji. Niestety mam wrażenie że w aktualnym stanie prawa jest to
mało realne, bo chyba nie do końca leży to ani w interesie Komisji
Nadzoru Finansowego, ani w kompetencjach Bankowego Funduszu
Gwarancyjnego. Być może łatwiej byłoby więc zainteresować tematem
Związek Banków Polskich?
Jednak lektura już pierwszych artykułów ustawy o nadzorze nad rynkiem
finansowym utwierdza w przekonaniu że KNF powinien się nad tym problemem
przynajmniej zastanowić:

Art.2.
"Celem nadzoru nad rynkiem finansowym jest zapewnienie prawidłowego
funkcjonowania tego rynku, jego stabilności, bezpieczeństwa oraz
przejrzystości (...)".
Jakość aplikacji bankowości w mojej opinii ma istotne znaczenie dla
stabilności i bezpieczeństwa tego rynku, a publikacja informacji
(wystarczy statystycznych) o wynikach testów bezpieczeństwa tych
aplikacji spełniałaby postulat przejrzystości.

Uważam, że w Polsce jak najbardziej powinna powstać regulacja prawna
(lub przynajmniej biznesowa potrzeba wizerunkowa) zmuszająca instytucje
finansowe do systematycznego składania ustandaryzowanych raportów,
będących produktem testów bezpieczeństwa ich aplikacji www.
Bezpieczeństwo aplikacji nie jest oczywiście łatwo mierzalne (zwłaszcza
iż każdy test mógł być robiony inaczej i przez kogo innego), jednak
jakość kodu częściowo można spróbować ocenić chociażby na podstawie
ilości znalezionych w aplikacji podatności oraz stopnia ich wpływu na
ryzyko. Być może dałoby się wymusić w składanych raportach stosowanie na
początek chociażby ASVS. Oczywiście bardzo by tu pomogło wypracowanie
dokumentu o którym wspominał Przemek. W ten sposób instytucja
nadzorująca miałaby narzędzia pozwalające na ocenę bezpieczeństwa
poszczególnych bankowości na tle innych, czy też np. określonego
minimum. W ramach realizowania postulatu przejrzystości część tych
danych mogłaby zostać udostępniona opinii publicznej. W formie
szczegółowych danych dotyczących każdego banku (zakładam że mało realne)
pozwoliłaby na stworzenie bardziej kompetentego "raportu o
bezpieczeństwie polskiej bankowości elektronicznej". Ale nawet po
zanonimizowaniu (np. wyłącznie ogólne dane statystyczne) byłaby to
bardzo cenna informacja o poziomie bezpieczeństwa bankowości.


Ech,,, mrzonki?


pozdrawiam
Sławek Jasek


More information about the Owasp-poland mailing list