Online Banking Security Rank: исследование безопасности в онлайн-банкинге

Online Banking Security Rank 2015

Как обеспечить необходимый уровень защиты частным лицам в мобильном и интернет-банкинге, не принося в жертву функциональность и удобство.

21

российский банк

Под средствами безопасности в исследовании понимаются особенности функционирования интернет-банка и мобильных банковских приложений, влияющие на защищенность финансовой информации и средств клиентов держателей дебетовых карт: средства аутентификации, парольные политики, средства генерации и доставки одноразовых паролей для подтверждения операций и другие.

Исследование проведено в сентябре-октябре 2015 года.

Ключевые выводы

Топ-5 интернет-банков по количеству пользователей — Сбербанк, Альфа-Банк, ВТБ24, Тинькофф Банк и Банк Русский Стандарт — вошли в первую десятку рейтинга средств безопасности. Таким образом, большинство российских пользователей интернет-банкинга получают достаточно высокий уровень защиты, однако в каждом из перечисленных интернет-банков присутствуют недостатки, которые при определенном стечении обстоятельств могут стать угрозой для клиентов.

Банки, активно инвестирующие в онлайн-обслуживание, стремятся сделать сервис максимально удобным для клиента в том числе за счет отказа от ряда факторов безопасности доступа и подтверждения операций.

При этом, чтобы уровень безопасности оставался потенциально высоким, банки перекладывают некоторые вопросы безопасности на самого пользователя: дают клиенту возможность самостоятельно подключать или отключать двухфакторную аутентификацию, использовать стандартные или нестандартные способы подтверждения операций, настраивать возможность доступа к тем или иным картам и счетам в интернет-банке и т.д.

Самые безопасные
интернет-банки

1

Банк Интерактивный Банк

Оценка эффективности (0‑100 баллов) 69,8
2

Банк Ситибанк

Оценка эффективности (0‑100 баллов) 61,5
3

Банк Альфа-Банк

Оценка эффективности (0‑100 баллов) 52
4

Банк Тинькофф Банк

Оценка эффективности (0‑100 баллов) 48,5
5

Банк ВТБ 24

Оценка эффективности (0‑100 баллов) 47,5
6

Банк Банк Русский Стандарт

Оценка эффективности (0‑100 баллов) 47
7

Банк Банк Москвы

Оценка эффективности (0‑100 баллов) 45
8

Банк Сбербанк

Оценка эффективности (0‑100 баллов) 42,5
9

Банк Банк Уралсиб

Оценка эффективности (0‑100 баллов) 41,5
10-12

Банк Промсвязьбанк

Оценка эффективности (0‑100 баллов) 37,5
Банк Росбанк

Оценка эффективности (0‑100 баллов) 37,5
Банк Хоум Кредит Банк

Оценка эффективности (0‑100 баллов) 37,5

13

Банк Газпромбанк

Оценка эффективности (0‑100 баллов) 37
14-15

Банк Банк Траст

Оценка эффективности (0‑100 баллов) 33,5
Банк Ренессанс Кредит

Оценка эффективности (0‑100 баллов) 33,5
16

Банк Банк Открытие

Оценка эффективности (0‑100 баллов) 29,5
17

Банк ОТП Банк

Оценка эффективности (0‑100 баллов) 29
18

Банк Банк Авангард

Оценка эффективности (0‑100 баллов) 28,5
19

Банк Райффайзенбанк

Оценка эффективности (0‑100 баллов) 27,5
20

Банк МТС Банк

Оценка эффективности (0‑100 баллов) 25,5
21

Банк Бинбанк

Оценка эффективности (0‑100 баллов) 25

Характеристики лучших
Интерактивный банк

1 место

Интерактивный Банк — единственный из исследуемых предлагает своим клиентам возможность настраивать до четырех ступеней подтверждения операций в интернет-банке. Интернет-банк Интерактивного Банка отличается так же возможностью полностью скрывать отдельные счета в интерфейсе и не позволяет создать одновременно несколько активных сессий.

Характеристики лучших
Ситибанк

2 место

Ситибанк один из немногих осуществляет проверку перевыпуска SIM-карты, имеет обязательную двухфакторную аутентификацию для доступа к полнофункциональной версии интернет-банка, а также двухэтапную процедуру подтверждения операций, разделяющую добавление нового получателя и собственно платеж данному получателю.

Характеристики лучших
Альфа-Банк

3 место

Альфа-Банк осуществляет проверку перевыпуска SIM-карты перед отправкой каждого SMS с кодом подтверждения операции, предлагает двухфакторную аутентификацию и возможность подключения защищенного средства генерации одноразовых паролей — мобильное приложение Альфа-Ключ — в дополнение к стандартным одноразовым паролям в SMS. Особенностью также является возможность пользователю самому выбирать приемлемый уровень безопасности, самому подключать и отключать двухфакторную аутентификацию и управлять другими настройками безопасности.

21 банк
принял участие в исследовании

1. Самые популярные банки

20 банков с наибольшим количеством пользователей согласно исследованию e-Finance User Index 2015.
2. По собственной инициативе

Один банк принял участие в исследовании по собственной инициативе.

Оценка интернет-банка
по чек-листу

Кабинетное обследование

В ходе кабинетного обследования интерфейсов интернет-банков специалисты Markswebb заполнили чек-листы, отражающие наличие и особенности функционирования элементов интерфейса интернет-банков.

В них входят средства защиты от подбора или компрометации пароля для входа в интернет-банк, средства защиты от компрометации финансовой информации клиента в интернет-банке, парольные политики, средства защиты от компрометации сессии в интернет-банке, средства защиты от компрометации, подбора и подделки паролей для подтверждения платежных операций, средства защиты от перевыпуска SIM-карты клиента, на которую приходят одноразовые пароли.

Определение весов критериев

Опрос и собственная экспертиза

Каждому критерию был назначен вес, отражающий его значимость как средства безопасности на основе опроса специалистами Markswebb экспертов по информационной безопасности и ДБО, а так же собственной экспертизы агентства.

Расчет итоговой оценки

Методика расчета

Итоговая оценка средств безопасности интернет-банка рассчитывалась как сумма выполненных критериев, умноженных на веса критериев.

Итоговая оценка измеряется по шкале от 0 до 100 баллов.