Online Banking Security Rank 2015

Online Banking Security Rank 2015 — первая волна ежегодного исследования средств безопасности дистанционных онлайн-каналов банковского обслуживания физических лиц, проводимого аналитическим агентством Markswebb Rank & Report. Под средствами безопасности в исследовании понимаются особенности функционирования интернет-банка и мобильных банковских приложений, влияющие на защищенность финансовой информации и средств клиентов держателей дебетовых карт: средства аутентификации, парольные политики, средства генерации и доставки одноразовых паролей для подтверждения операций и другие.
Пожалуйста, заполните форму, чтобы получить ссылку для скачивания краткого отчета в PDF.
  • Имя и фамилия *
  • Должность *
  • Компания *
  • Номер телефона *
  • Электронная почта *

Ваш экземпляр краткого отчёта в PDF:

Markswebb-Online-Banking-Security-Rank-2015--Intro-Report.pdf

Подробнее о методике исследования и полном отчете по результатам исследования.



Понятие безопасности и предмет исследования


Безопасность интернет-банкинга и мобильного банкинга как вероятность потери средств клиента в результате мошеннических действий складывается из множества факторов, среди которых присутствуют и свойства самого интернет-банка или мобильного банка (например, необходимость подтверждать платежную операцию секретным паролем), и особенности конкретного клиента (объем денег на его счетах, уровень финансовой и IT- грамотности, защищенность устройств, с которых клиент выходит в интернет), и особенности банка, его IT-инфраструктуры и внутренних процедур.

Предметом исследования Online Banking Security Rank 2015 являются только наличие и особенности функционирования элементов интерфейса интернет-банков и мобильных приложений, которые обеспечивают защиту клиентов от неавторизованного доступа и кражи финансовой информации и средств клиента. При этом отсутствие того или иного средства защиты в интерфейсе интернет-банка или мобильного приложения не обязательно означает увеличение рисков мошеннических действий для пользователя, поскольку может компенсироваться внутренними системами защиты банка, системами фрод-мониторинга, системными лимитами и другими скрытыми факторами.

Исследование не учитывает следующие факторы, так или иначе влияющие на безопасность интернет-банков и мобильных приложений:
  • Программные и аппаратные уязвимости внутренних IT-систем банка, компьютера и мобильных устройств клиента, а также каналов связи.
  • Особенности клиентов банка, их количество, обороты, остатки на счетах, их уровень финансовой и IT- грамотности;
  • Внутренние механизмы и процедуры безопасности банка, включая системы фрод-мониторинга.

Агентство Markswebb Rank & Report не ставит целью исследования оценивать риски возможных будущих мошеннических действий и возможные фактические потери средств клиентов конкретных банков.


Рейтинг средств безопасности интернет-банков для частных лиц


 Позиция
 в рейтинге 
 Интернет-банк 
Оценка* 
1
Интерактивный Банк
69,8
2
Ситибанк
61,5
3
Альфа-Банк
52
4
Тинькофф Банк
48,5
5
ВТБ24
47,5
6
Банк Русский Стандарт
47
7
Банк Москвы
45
8
Сбербанк России
42,5
9
Банк Уралсиб
41,5
10-12
Промсвязьбанк
37,5
10-12
Росбанк
37,5
10-12
Хоум Кредит Банк
37,5
13
Газпромбанк
37
14-15
Банк Траст
33,5
14-15
Ренессанс Кредит
33,5
16
Банк Открытие
29,5
17
ОТП Банк
29
18
Банк Авангард
28,5
19
Райффайзенбанк
27,5
20
МТС Банк
25,5
21
Бинбанк
25


* Оценка по шкале от 0 до 100 баллов. 0 баллов – полное отсутствие механизмов защиты интернет-банка от угроз неавторизованного доступа и проведения операций в интернет-банке. 100 баллов – максимально полная реализация механизмов защиты интернет-банка.


Краткие выводы


Наиболее полно средства защиты интернет-банков реализуют Интерактивный Банк, Ситибанк и Альфа-Банк.

Зачастую безопасность интернет-банков идет в разрез с удобством пользования, и банки вынуждены идти на компромисс между удобством и безопасностью.

Интернет-банки Интерактивного Банка и Ситибанка, реализуя большое количество факторов защиты клиентов, снижают удобство пользования (по результатам исследования Internet Banking Rank 2015 оба интернет-банка получили одни из худших оценок по удобству интерфейсов).

Топ-5 интернет-банков по количеству пользователей – Сбербанк, Альфа-Банк, ВТБ24, Тинькофф Банк и Банк Русский Стандарт – вошли в первую десятку рейтинга средств безопасности. Таким образом, большинство российских пользователей интернет-банкинга получают достаточно высокий уровень защиты, однако в каждом из перечисленных интернет-банков присутствуют недостатки, которые при определенном стечении обстоятельств могут стать угрозой для клиентов.

Банки, активно инвестирующие в онлайн-обслуживание, стремятся сделать сервис максимально удобным для клиента в том числе за счет отказа от ряда факторов безопасности доступа и подтверждения операций. При этом, чтобы уровень безопасности оставался потенциально высоким, банки перекладывают некоторые вопросы безопасности на самого пользователя: дают клиенту возможность самостоятельно подключать или отключать двухфакторную аутентификацию, использовать стандартные или нестандартные способы подтверждения операций, настраивать возможность доступа к тем или иным картам и счетам в интернет-банке и т.д.


Методика исследования


Источниками данных для исследования стали:
  1. Интерфейсы авторизованных и неавторизованных зон интернет-банков и мобильных банковских приложений,
  2. Серия интервью со специалистами российских банков, отвечающих за ДБО физических лиц,
  3. Запросы об особенностях использования интернет и мобильных банков по телефону и электронной почте служб поддержки банков,
  4. Публичная информация: руководства пользователей, договоры обслуживания, тарифные справочники.

Так же был проведен ряд экспериментов:
  • Получение первичного доступа и восстановление доступа в интернет и мобильный банки клиентов банка,
  • Оценка реакции интернет- и мобильного банков на попытку подбора пароля на вход и одноразового пароля для подтверждения платежа (несколько вводов некорректного пароля на вход),
  • Проверка реакции интернет-банка на ввод корректных аутентификационных данных на новом, не использованном ранее устройстве (с новым User Agent и IP),
  • Смена пароля в интернет- и мобильном банках и проверка возможностей создания простых (с высоким риском подбора) паролей
  • Подключение и проверка различных способов подтверждения платежей в интернет- и мобильном банках.
  • Оценка длительности сессии и реакция интернет- и мобильного банка на различные сценарии закрытия сессий и одновременного открытия нескольких сессий на одном и том же или разных устройствах.
  • Перевыпуск SIM-карты, на которую клиент получает SMS сообщения с одноразовыми паролями для подтверждения операций, и оценка реакции интернет-банка на смену SIM-карты.
  • С последующим входом и проведением платежных операций
  • Оценка реакции мобильного банка на наличие root прав на устройствах под управлением ОС Android.



Полный отчет по результатам исследования


Полный отчет по результатам исследования дает исчерпывающие ответы на все основные вопросы, связанные с текущим уровнем развития средств безопасности в интернет и мобильных банках.

Полный отчет по результатам исследования Online Banking Security Rank 2015 будет полезен:
  • Руководителям дистанционных каналов обслуживания физических лиц,
  • Руководителям и специалистам по информационной безопасности,
  • Руководителям направлений электронного бизнеса в банках.

На коммерческой основе агентство Markswebb Rank & Report предлагает два варианта приобретения полного отчета по результатам исследования:

Стандартный отчет Расширенный отчет
Исходные данные: чек-листы по исследованным средствам безопасности интернет-банков и мобильных приложений 21 банка + +
Сравнительные таблицы и рейтинги банков по группам критериев + +
Подробные примеры типичных недостатков и лучших практик реализации средств защиты интернет- и мобильных банков + +
Аудит и оценка интернет-банка и мобильного банка Заказчика по методике Online Banking Security Rank 2015
+
Подробные рекомендации и бизнес-требования для повышения защищенности интернет-банка и мобильного банка Заказчика
+

Спасибо! Мы свяжемся с Вами в ближайшее время.