Riscurile aplicațiilor de Internet și Mobile Banking

O analiză de risc IT este un proces sistematic prin care o organizație identifică, evaluează și gestionează riscurile legate de tehnologia informației, pentru a proteja datele, infrastructura și procesele critice. Aplicațiile de Internet și mobile banking sunt expuse la o serie de riscuri IT și operaționale, deoarece gestionează date financiare critice și tranzacții în timp real, cum ar fi: riscuri de securitate cibernetică, riscuri legate de autentificare și acces, riscuri operaționale și de infrastructură, riscuri de conformitate și legale, riscuri financiare și reputaționale. Furnizorii serviciilor de plată la distanță trebuie să se asigure de eficacitatea măsurilor de securitate adoptate pentru adresarea acestor riscuri. Măsurile ar trebui să includă obligatoriu criptarea comunicațiilor (TLS), autentificare multifactor, monitorizare tranzacții suspecte, actualizări și testări regulate de securitate.

Riscurile de securitate cibernetică la aplicațiile de internet banking includ atacurile de tip phishing și social engineering, prin care utilizatorii sunt păcăliți să dezvăluie date confidențiale; folosirea de malware sau troieni bancari care fură credențiale și modifică tranzacții; atacurile de tip Man-in-the-Middle (MitM) care interceptează și manipulează comunicațiile; atacurile DDoS care fac serviciul indisponibil; exploatarea vulnerabilităților aplicației prin tehnici precum SQL injection sau XSS; și accesul neautorizat la API-uri sau sesiuni nesecurizate. Riscurile legate de autentificare și acces în internet banking includ utilizarea de parole slabe sau compromise, reutilizarea parolelor pe mai multe platforme, absența autentificării multifactor (MFA) care lasă conturile vulnerabile, furtul de credențiale prin phishing sau keyloggere, sesiuni nesecurizate care pot fi interceptate de atacatori, expirarea necorespunzătoare a sesiunilor ce permite accesul neautorizat, gestionarea inadecvată a drepturilor de acces ce poate oferi privilegii excesive și, în final, lipsa monitorizării autentificărilor suspecte, ceea ce întârzie detectarea accesului fraudulos.

Riscurile operaționale și de infrastructură pentru aplicațiile de internet banking includ indisponibilitatea serviciului din cauza căderilor de server sau a întreruperilor de rețea, defecțiuni hardware care afectează funcționarea sistemelor critice, erori software rezultate din bug-uri sau actualizări nereușite, pierderi de date cauzate de backup-uri defectuoase sau atacuri ransomware, lipsa redundanței și a planurilor de continuitate care amplifică impactul incidentelor, supraîncărcarea infrastructurii în perioade de trafic intens, configurări greșite realizate de administratori, erori umane în procesarea tranzacțiilor sau gestionarea sistemelor, dependența de furnizori externi care pot genera întreruperi dacă aceștia au probleme, lipsa monitorizării și alertei proactive pentru detectarea timpurie a incidentelor, întârzieri în recuperarea sistemelor după un dezastru și neactualizarea infrastructurii IT, care lasă platforma expusă vulnerabilităților și incompatibilităților.

Neaplicarea măsurilor necesare pentru reducerea riscurilor de securitate și operaționale pot avea urmări ce se pot solda cu sancțiuni legale sau pierderea clienților prin nerespectarea normelor GDPR, PSD2, PCI DSS.

O analiză de risc IT este un proces sistematic prin care o organizație identifică, evaluează și gestionează riscurile legate de tehnologia informației, pentru a proteja datele, infrastructura și procesele critice:

• 1. Definirea scopului și a contextului: se stabilesc obiectivele analizei (ex. protecția datelor, continuitatea serviciilor, conformitate legală); se delimitează domeniul: sisteme, aplicații, procese sau infrastructuri vizate; se ia în considerare contextul organizațional, legal și de reglementare.
• 2. Identificarea activelor: servere, baze de date, rețele, aplicații, dispozitive mobile, date sensibile, proprietate intelectuală, utilizatori, administratori.
• 3. Identificarea amenințărilor și vulnerabilităților. Amenințări: atacuri cibernetice, malware, erori umane, dezastre naturale, defecte hardware. Vulnerabilități: parole slabe, lipsa patch-urilor, proceduri neclare, configurări incorecte.
• 4. Evaluarea riscurilor: Se estimează probabilitatea ca o amenințare să exploateze o vulnerabilitate. Se estimează impactul asupra organizației (financiar, reputațional, legal, operațional). Se creează o matrice de risc (ex.: scăzut/mediu/ridicat).
• 5. Tratarea riscurilor: Reducere (implementare de controale: firewall, criptare, politici de backup). Transfer (asigurare cibernetică, externalizare). Acceptare (dacă riscul este minor). Evitare (renunțarea la activitatea care generează riscul).
• 6. Documentare și raportare: Se redactează un raport de analiză a riscurilor cu riscurile identificate, nivelurile lor și planurile de tratare. Raportul devine parte din procesul de management al securității.
• 7. Monitorizare și revizuire periodică: Riscurile evoluează, deci analiza trebuie actualizată regulat (anual sau la schimbări majore de infrastructură). Se monitorizează eficiența controalelor implementate.

Pentru realizarea analizelor de risc se pot folosii standarde și metodologii precum: ISO/IEC 27005 - pentru managementul riscurilor de securitate a informației; NIST SP 800-30 - ghid pentru evaluarea riscurilor IT; OCTAVE, EBIOS, MEHARI - metodologii de analiză de risc.