Full-text resources of CEJSH and other databases are now available in the new Library of Science.
Visit https://bibliotekanauki.pl

PL EN

Journal

Studia nad Bezpieczeństwem

2017 | 2 | 143–162

Article title

Jakość zabezpieczeń informacji determinantą rozwoju bankowości internetowej

Authors

Terebecki Mariusz , Olkiewicz Marcin

Content

Full texts:
143_PDFsam_Studia nad bezpieczeństem nr 2 - 2017.pdf

Title variants

EN
Quality of information security for determinants development of internet banking

Languages of publication

PL

Abstracts

PL
W warunkach szybko zmieniającego się otoczenia banki poszukują nowych sposobów na uzyskanie przewagi konkurencyjnej na rynku. Znaczącą determinantą kreującą zmiany jest jakość, a w szczególności jakość bezpieczeństwa informacji. To właśnie między innymi ona zmusza banki do ponoszenia nakładów na dostosowanie systemów informatycznych do oczekiwań międzynarodowych i światowych rynków finansowych oraz interesariuszy. Współczesny, wymagający interesariusz coraz częściej domaga się usług o wysokim standardzie, często dostarczanych za pomocą nowych technologii. Dlatego banki podejmują strategiczne działania mające na celu dostosowanie swoich produktów, usług do wymagań i oczekiwań interesariuszy a jednocześnie, poprzez wdrażane innowacje, generowanie nowych potrzeb. Należy jednak pamiętać, że wszystkie działania bankowe muszą gwarantować interesariuszom banku bezpieczeństwo informacji. Celem pracy jest ukazanie, jakie aspekty zabezpieczeń, które pośrednio wpływają na jakość oferowanej usługi bankowej, są kluczowe w bankowości elektronicznej. W publikacji zostaną przeanalizowane certyfikaty i zabezpieczenia, które są wykorzystywane w chwili kontaktu klienta z badanym bankiem poprzez platformę internetową. Do celów badawczych wykorzystano raporty PRNews.pl o stanie bankowości w Polsce w IV kwartale 2016 r.
EN
Internet banking is becoming an important part of life in the information society. Risk management in services related to broadly understood e-banking is becoming an extremely important issue, and even a factor determining the existence of a bank in cyberspace. This process must be continually monitored and rapidly modified as new threats are detected. The issue of implementing server-side procedures and their implementation in security is another important issue as well. With the current development of internet technologies and the dangers of using them, special attention is paid to security - the "green padlock" in the browser does not give 100% certainty in the area of information security. It only tells you that the certificate is secure and has been signed by a trusted authentication center. The "green padlock" also has its security levels that affect the quality of the service provided, since the certificate, friendly application and nice layout of the site will not guarantee the security of the communication channel.

Keywords

PL
EN

Publisher

Uniwersytet Pomorski w Słupsku

Journal

Studia nad Bezpieczeństwem

Year

2017

Issue

2

Pages

143–162

Physical description

Dates

published
2017-05-21

Contributors

author
Terebecki Mariusz
mariusz.terebecki@apsl.edu.pl
  • Akademia Pomorska w Słupsku
author
Olkiewicz Marcin
marcin.olkiewicz@tu.koszalin.pl
  • Politechnika Koszalińska

References

  • 1. Raport PRNews.pl: Liczba klientów w bankach – IV kw. 2016, http://prnews.pl/wiadomosci/raport-prnewspl-liczba-klientow-w-bankach-iv-kw-2016-6554091.html (dostęp: 31.03.2017).
  • 2. Raport PRNews.pl: Rynek kont osobistych – IV kw. 2016, http://prnews.pl/raporty/raport-prnewspl-rynek-kont-osobistych-iv-kw-2016-6553975.html (dostęp: 31.03.2017).
  • 3. Raport PRNews.pl: Rynek bankowości internetowej – IV kw. 2016, http://prnews.pl/wiadomosc/raport-prnewspl-rynek-bankowosci-internetowej-iv-kw-2016-6554056.html (dostęp: 31.03. 2017).
  • 4. Wartość ta nie może być bezpośrednio zestawiona z liczbą ludności w Polsce, wynika to z prostego faktu – istnieje na pewno spora grupa klientów, którzy są klientami równocześnie kilku banków.
  • 5. M. Olkiewicz, Zarządzanie jakością w sektorze bankowym w dobie wejścia do Unii Europejskiej, [w:] Rynki finansowe w przestrzeni elektronicznej, red. B. Świecka, Szczecin 2004.
  • 6. W dniu 8 stycznia 2013 r. Komisja Nadzoru Finansowego jednogłośnie przyjęła Rekomendację D dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. KNF przewidywała, że zalecenia zostaną wprowadzone nie później niż do dnia 31 grudnia 2014 r.
  • 7. https://www.knf.gov.pl/Images/Rekomendacja_D_8_01_13_uchwala_7_tcm75-33016.pdf (dostęp: 22.02.2017).
  • 8. S. Wojciechowska-Filipek, Zarządzanie jakością informacji w organizacjach zhierarchizowanych, Warszawa 2015, s. 11.
  • 9. https://www.knf.gov.pl/Images/Rekomendacja_D_8_01_13_uchwala_7_tcm75-33016.pdf (dostęp: 22.02.2017).
  • 10. Tamże, s. 6.
  • 11. Tamże, s. 48–49.
  • 12. Tamże, s. 49.
  • 13. M. Olkiewicz, Knowledge management as a determinant of innovation in enterprises, [w:] Proceedings of the 9th International Management Conference. Management and Innovation For Competitive Advantage, Bucharest 2015, s. 399–409.
  • 14. M. Capiga, Zarządzanie bankami, Warszawa 2010, s. 63.
  • 15. Każdy bank do struktury swoich klientów wlicza nie tylko osoby fizyczne, dla banku klientem są: korporacje, spółki, firmy, szkoły, gminy, miasta, stowarzyszenia, fundacje itp.
  • 16. Niektóre banki do klientów indywidualnych zaliczają także małe firmy, np. jednoosobowe działalności gospodarcze.
  • 17. Niektóre banki umożliwiają aktywowanie dostępu do bankowości internetowej bez zakładania rachunku.
  • 18. Raport PRNews.pl: Rynek bankowości internetowej – III kw. 2016, http://prnews.pl/raporty/
  • raport-prnewspl-rynek-bankowosci-internetowej-iii-kw-2016-6553450.html (dostęp: 31.03.2017).
  • 19. Liczba umów nie dotyczy tylko i wyłącznie rachunków ROR.
  • 20. ROR – rachunek oszczędnościowo-rozliczeniowy.
  • 21. Niektóre banki umożliwiają aktywowanie dostępu do bankowości internetowej bez zakładania rachunku.
  • 22. Wielka piątka: PKO BP i Inteligo, Bank Pekao SA, mBank i Orange Finanse, BZ WBK, ING Bank Śląski.
  • 23. Klienci indywidualni – jedynie konta złotowe, bez rachunków oszczędnościowych.
  • 24. Protokół SSL (ang. Secure Socket Layer) – protokół służący do bezpiecznej transmisji zaszyfrowanego strumienia danych i jego rozwinięcie, czyli protokół TLS (ang. Transport Layer Security) – protokół zapewnia poufność i integralność transmisji danych, a także uwierzytelnienie serwera, a niekiedy klienta; opiera się na szyfrowaniu asymetrycznym oraz certyfikatach X.509; więcej informacji: https://pl.wikipedia.org/wiki/Transport_Layer_Security.
  • 25. HTTPS (ang. Hypertext Transfer Protocol Secure), to szyfrowana wersja protokołu HTTP w relacji serwer – klient/klient – serwer, szyfrowanie to zapobiega to przechwytywaniu i zmienianiu przesyłanych danych.
  • 26. Zabezpieczenia oceniane są za pomocą liter: A+, A, B, C, D, E, F; gdzie A+ ocena najwyższa, zaś F ocena najniższa.
  • 27. Narzędzie te jest dostępne na stronach https://www.ssllabs.com/ (dostęp: 31.03.2017).
  • 28. Metodologia wykorzystywana podczas rankingu serwisów https://github.com/ssllabs/research/ wiki/SSL-Server-Rating-Guide (dostęp: 31.03.2017).
  • 29. https://www.ssllabs.com/ssltest/analyze.html?d=www.ipko.pl (dostęp: 31.03.2017).
  • 30. Kwestia istotna ze względu na używanie danego systemu i agenta (przeglądarki internetowej, dedykowanego oprogramowania) w realizowaniu połączenia serwer – klient – nie każdy agent potrafi nawiązać połączenia, wykorzystując najlepszy/najbezpieczniejszy protokół.
  • 31. Tylko dla najwyższego protokołu, reszta informacji dla innych protokołów dostępna w pełnym raporcie.
  • 32. Algorytmy opisane zostały w dokumencie referencyjnym RFC5289, https://www.ietf.org/ rfc/rfc5289.txt (dostęp: 31.03.2017).
  • 33. https://www.ssllabs.com/ssltest/analyze.html?d=inteligo.pl (dostęp: 31.03.2017).
  • 34. https://www.ssllabs.com/ssltest/analyze.html?d=www.pekao24.pl (dostęp: 31.03.2017).
  • 35. https://www.ssllabs.com/ssltest/analyze.html?d=online.mbank.pl (dostęp: 31.03.20107).
  • 36. https://www.ssllabs.com/ssltest/analyze.html?d=orangefinanse.com.pl (dostęp: 31.03.2017).
  • 37. https://www.ssllabs.com/ssltest/analyze.html?d=www.centrum24.pl (dostęp: 31.03.2017).
  • 38. https://www.ssllabs.com/ssltest/analyze.html?d=login.ingbank.pl&s=193.193.181.208 (dostęp: 31.03.2017).
  • 39. https://www.ssllabs.com/ssltest/analyze.html?d=aliorbank.pl (dostęp: 31.03.2017).
  • 40. poziomu zabezpieczeń.
  • 41. https://www.ssllabs.com/ssltest/analyze.html?d=login.bgzbnpparibas.pl (dostęp: 31.03.2017).
  • 42. https://www.ssllabs.com/ssltest/analyze.html?d=e-bank.credit-agricole.pl (dostęp: 31.03.2017).
  • 43. https://www.ssllabs.com/ssltest/analyze.html?d=www.bankmillennium.pl (dostęp: 31.03.2017).
  • 44. https://www.ssllabs.com/ssltest/analyze.html?d=secure.getinbank.pl (dostęp: 31.03.2017).
  • 45. https://www.ssllabs.com/ssltest/analyze.html?d=online.eurobank.pl (dostęp: 31.03.2017).
  • 46. https://www.ssllabs.com/ssltest/analyze.html?d=www.pocztowy24.pl (dostęp: 31.03.2017).
  • 47. https://www.ssllabs.com/ssltest/analyze.html?d=moj.raiffeisenpolbank.com (dostęp: 31.03.2017).
  • 48. Bank w raporcie ma wskazanie dotyczące zmiany funkcji skrótu do certyfikatu z SHA1 do SHA2. Na początku roku 2017 firma Google udostępniła dokumenty, z których jasno wynika, iż możliwe są udane, efektywne i praktyczne ataki na funkcję skrótu SHA1.
  • 49. https://www.ssllabs.com/ssltest/analyze.html?d=www.online.citibank.pl (dostęp: 31.03.2017).
  • 50. https://www.ssllabs.com/ssltest/analyze.html?d=online.t-mobilebankowe.pl (dostęp: 31.03.2017).
  • 51. https://www.ssllabs.com/ssltest/analyze.html?d=dbeasynet.deutschebank.pl (dostęp: 31.03.2017).
  • 52. https://www.ssllabs.com/ssltest/analyze.html?d=plusbank24.pl (dostęp: 31.03.2017).
  • 53. https://www.ssllabs.com/ssltest/analyze.html?d=bosbank24.pl (dostęp: 31.03.2017).
  • 54. Bank w raporcie ma wskazanie dotyczące zmiany funkcji skrótu do certyfikatu z SHA1 do SHA2.
  • 55. https://www.ssllabs.com/ssltest/analyze.html?d=online.santanderconsumer.pl (dostęp: 31.03.2017).
  • 56. Dla kluczy asymetrycznych długością sugerowaną jest obecnie 2048 bitów.
  • 57. Protokół uzgadniania kluczy szyfrujących.
  • 58. RC4 należy do szyfrów strumieniowych. Używany jest w protokołach, takich jak SSL oraz WEP. Szyfr ten nie jest odporny na kryptoanalizę liniową i kryptoanalizę różnicową. Obecnie jest uznawany za niedostatecznie bezpieczny. Szyfr ten nie jest zalecany do używania w nowych systemach.
  • 59. Utajnienie przekazywania (ang. Forward Secrecy – FS) jest własnością zabezpieczonych protokołów komunikacyjnych; powoduje ono zabezpieczenie w sytuacji, gdy zostaje złamany tzw. klucz długoterminowy. Złamanie jednak tego klucza nie rodzi dalszych konsekwencji, czyli nie powoduje skompromitowania kluczy użytych w poprzednich sesjach. Jeżeli FS jest wykorzystywany, szyfrowane komunikacje oraz sesje utworzone w przeszłości nie mogą zostać odzyskane i odszyfrowane w przypadku kompromitacji haseł lub kluczy długoterminowych w późniejszymi okresie.
  • 60. https://blog.qualys.com/ssllabs/2017/01/18/ssl-labs-grading-changes-january-2017 (dostęp: 31.03.2017).
  • 61. Kara za użycie szyfrowania 3DES w połączeniu z protokołem TLS 1.1 lub nowszym.

Document Type

Publication order reference

Identifiers

ISSN
143–162

YADDA identifier

bwmeta1.element.desklight-6ef9fbf6-67cf-4679-8738-f7b829364e51
JavaScript is turned off in your web browser. Turn it on to take full advantage of this site, then refresh the page.