BEZPIECZNA STRONA INTERNETOWA BANKU

Świadomość bezpieczeństwa strony internetowej banku w środowisku osób decyzyjnych w bankach spółdzielczych jest niestety na bardzo niskim poziomie.

W czasie rozmów z Zarządami banków zadajemy często pytanie:

CZY STRONA BANKU POSIADA CERTYFIKAT SSL/HTTPS?

• 70% banków nie posiada w ogóle certyfikatu bezpieczeństwa strony internetowej !
• Około 20% banków zakupiło lub otrzymało bezpłatnie podstawowy certyfikat SSL/https. Let’s Encrypt od swoich hostingodawców. Certyfikat ten, dla instytucji finansowej jaką jest bank, jest rozwiązaniem połowicznym. Cyberprzestępcy również mogą zaimplementować taki certyfikat i posługiwać się nim (symbol zielonej kłódki), co może zmylić Klientów banku.
• Tylko ok. 10% banków spółdzielczych posiada dedykowany certyfikat.

CZY STRONA BANKU JEST PRAWIDŁOWO BACKUPOWANA?

W bankach codziennie wykonywana jest kopia bezpieczeństwa głównego systemu bankowego. Poza tym każdy bank posiada środowisko rezerwowe, w którym przechowywane są dodatkowe kopie bezpieczeństwa systemu, z których, w razie potrzeby, można odtworzyć system bankowy.

DLACZEGO ŚWIADOMOŚĆ O BACKUPIE STRONY INTERNETOWEJ JEST TAK NISKA?

Ostatnio w rozmowie nt. częstotliwości wykonywania backupu strony internetowej w jednym z banków spółdzielczych usłyszałem, że kopia www wykonywana jest wg zapisu w umowie z firmą hostingową 1 raz na kwartał !!! Strona internetowa jest najważniejszym narzędziem komunikacji z Klientami. To tutaj opisane są wszystkie produkty, usługi i normatywne komunikaty, wymagane przez KNF itd. Czy ktoś zastanawiał się, zgadzając się na taki zapis w umowie, co zrobi, gdy strona ulegnie awarii w 2. miesiącu od wykonania backupu?

• Z czego odtworzymy zasoby strony?
• Z czego przywrócimy mozolnie wykonane opisy, zdjęcia, tabele, komunikaty itd.
• Jak zachowają się nasi Klienci, jeżeli nie będziemy mogli przywrócić treści strony po awarii i będziemy zmuszeni na długotrwałą przerwę w działaniu strony banku?
• Czy nadal będą naszymi Klientami?
• Jak Klienci będą mogli korzystać z modułów bankowości elektronicznej, skoro linki do tych modułów są na głównej stronie banku, a strona nie działa, bo nie ma z czego jej odtworzyć!

CZYM SIĘ KIEROWAĆ WYBIERAJĄC HOSTINGODAWCĘ?

Niestety, o zgrozo, większość  Zarządów banków spółdzielczych kieruje się ceną - im taniej tym lepiej.  A tymczasem im taniej tym gorzej i bardziej niebezpiecznie!

W tym przypadku powinniśmy sięgnąć do starej sprawdzonej zasady P4, która mówi:

NIE CENA A WARTOŚĆ !

Cechy sprawnego hostingu:

• codzienna kopia bezpieczeństwa
• dedykowany certyfikat bezpieczeństwa - strona posiadająca certyfikat bezpieczeństwa jest lepiej postrzegana przez roboty np. Google i dzięki temu jest wyżej pozycjonowana
• konfiguracja serwerów, na których funkcjonuje nasza strona na poziomie gwarantującym sprawne zarządzanie treścią
• sprawna i dostępna pomoc techniczna hostingodawcy
• bezpieczeństwo dla środowiska WordPress, w którym może być napisana nasza strona - Web Application Firewall (WAF)
• narzędzia użyte do pisania strony uaktualniane do najnowszych wersji np. PHP 7 itd.

BEZPIECZEŃSTWO STRONY INTERNETOWEJ !!!

Nie zapominajmy, aby w czasie prac nad nową stroną internetową wystosować konkretne zapytanie do autorów strony internetowej nt. bezpieczeństwa całej aplikacji. Jest to bezwzględnie konieczna informacja. Firma powinna zapewnić nas na piśmie, że nasza strona jest bezpieczna dołączając opis, jak zostało to zagwarantowane. Bez tej wiedzy możemy nie być świadomi tego, że pewnego dnia na naszej stronie nieoczekiwanie pojawi się wpis informujący o tym, że strona została sprofanowana.

• Co wtedy zrobią nasi Klienci?
• Czy nie będą się zastanawiali, że skoro ktoś mógł umieścić taki wpis na stronie banku, to czy ich pieniądze w tym banku są bezpieczne?

Część świadomych banków zaczyna się już tym problemem interesować i zleca audyty środowiska strony internetowej i jej bezpieczeństwa.