Краткое руководство от компании Dell SerureWorks по защите приложений мобильного банкинга

Компания Dell SecureWorks (http://www.secureworks.com) разработала краткое руководство для защиты приложений мобильного банкинга.

На сегодняшний день все больше банков предлагают своим клиентам пользоваться теми или иными приложениями через мобильные устройства. Но надо учитывать тот факт, что если они надежно не защищены или при разработке приложения остались какие-то уязвимости это может привести к тому, что злоумышленники смогут получить доступ к счетам клиентов.

Различные конфиденциальные данные для пользования мобильным банкингом, такие как логин, пароль и т.п., представляют собой определенную угрозу безопасности, если они храняться на мобильном устройстве. Т.к. мобильные устройства работают по-разному, порой бывает довольно сложно полностью удалить с них те или иные важные данные. В связи с этим при создании приложения стоит сделать так, чтобы оно могло сохранять как можно меньше конфиденциальной информации, а хранимая информация могла шифроваться. Иначе, при получении доступа к незашифрованной конфиденциальной информации, злоумышленник сможет получить доступ к счету.

Стоит отметить, что данные используемые в приложениях также подвергаются опасности, когда осуществляется их передача по беспроводной сети (с мобильного устройство на сервер банка) в незашифрованном виде.

Осозновая данные угрозы компания Dell SecureWorks дала несколько рекомендаций по защите приложений мобильного банкинга:

1.     Следуйте приемам безопасного программирования. Убедитесь, что сотрудники вашей организации или вашего субподрядчика, задействованные в разработке приложения, проходили обучение по теме безопасного программирования и используют принципы SDLS (жизненный цикл создания безопасного ПО).

2.     Следуйте руководству «Аутентификация при выполнении банковских операций в Internet-среде», разработанному Федеральной Корпорацией по Страхованию Вкладов (США) CIF (FDIC FIL-103-2005). В данном руководстве банкам рекомендованы различные методы аутентификации, а также предложены стратегии по использованию многофакторной аутентификации и ограничения доступа для минимизации рисков.

3.     Установите определенный временной промежуток, позволяющий клиенту повторить попытку ввода своих учетных данных. Это позволит снизить риск получения доступа к информации по счету кому-то, кто не является владельцем мобильного устройства.

4.     Проведите оценку защищенности ваших серверов, на которых установлены мобильные приложения.

5.     Шифруйре конфиденциальные данные, хранящиеся на мобильном устройстве, а также информацию, передаваемую с мобильного устройства по сети интернет.

6.     Тщательно протестируйте приложение на предмет безопасности перед его боевым запуском и распространением по клиентской базе.