Lepší komunikace

Pokud mají lidé používat mobilní zprávy ke komunikaci se svou bankou, musí mít naprostou důvěru v jejich bezpečnost.

Je tedy nezbytné, aby banky a další společnosti poskytující finanční služby věděly, že mohou tyto záruky poskytnout.
Právě o tom je tento příspěvek: o možných bezpečnostních hrozbách ve světě mobilních zpráv a o tom, jak se proti nim bránit.

---

Bezpečnost mobilních zpráv (a jejich prostřednictvím)

Vedoucí pracovníci CX v bankách - a jejich zákazníci - jsou pravděpodobně obeznámeni s tím, co lze nazvat bezpečností prostřednictvím mobilních zpráv. Například dvoufaktorová autentizace je prostředkem k prokázání totožnosti zákazníka a zabezpečení jeho údajů.
Stejně tak lze SMS zprávy využít k ověřování plateb a prevenci podvodů. Mnozí z nás už někdy odpověděli Ano (nebo Ne) na textovou zprávu z banky po provedení nákupu.
Jak je to ale se zabezpečením samotného zasílání mobilních zpráv?

Neznámé hrozby

Mobilní zasílání zpráv je svět s vlastními zvláštnostmi, pravidly a spoustou hráčů - operátorů, poskytovatelů řešení a agregátorů, značek, spotřebitelů, podpůrných služeb a dalších.
Existuje několik rizikových faktorů, které jsou pro tento svět specifické.

Podvody při výměně SIM karet

Když zloději identity zavolají operátorovi a tvrdí, že jsou jeho zákazníky, a nechají si přenést číslo na novou SIM kartu - zločinec tak může přijímat všechny zprávy zákazníka.
Naštěstí operátoři v posledních letech tento problém potlačili a zavedli procesy, které riziko minimalizují.

Útoky na systém SS7

Systém SS7 je soubor protokolů, který umožňuje vzájemnou komunikaci telefonních sítí. Pokud se útočníkovi podaří takový útok provést, může potenciálně přesměrovat textové zprávy. Tyto typy útoků jsou vzácné a obtížně proveditelné. Útočníci musí najít způsob, jak se dostat do sítě SMS A získat uživatelská jména a hesla.

Pokud cíl nemá mimořádně vysokou hodnotu, je nepravděpodobné, že by si s tím dali tu práci.
Navíc se operátoři po celém světě probudili a instalují firewally na ochranu sítě SS7. Nepovolené zprávy a podezřelé vzory lze okamžitě zablokovat.

Známější hrozby

Mnohé z největších hrozeb ve světě zabezpečení mobilních zpráv jsou podobné těm, které známe z internetu: například phishing (nebo smishing v SMS), rozesílání spamu, spoofing, krádeže identity, krádeže dat a šíření virů.
Obecně však SMS představují přísně kontrolovaný, čistý a bezpečný kanál.

Bohatší zasílání zpráv, silnější zabezpečení

Něco, co pomáhá značkám zlepšit jejich zabezpečení, je častější používání bohatých zpráv. Ve skutečnosti je to jeden z důvodů jeho rostoucí popularity.
Formáty bohatých zpráv, jako je Apple Business Chat a RCS pro Android, jsou budoucností mobilního zasílání zpráv.

Poskytují multimediální zážitky podobné aplikacím přímo do schránek vašich zákazníků. A co je zásadní, poskytují důvěryhodný způsob, jak prokázat identitu vaší značky. Registrace kanálů RCS jsou přísně kontrolovány mobilními operátory. Pro podvodníky je tedy téměř nemožné zprávy "podvrhnout" nebo napodobit. Další dobrá zpráva: v kanálech bohatých zpráv nebude možné využívat šedé trasy provozu.

Rozhodující role poskytovatele zabezpečených zpráv

Pravdou je, že pokud jde o mobilní zasílání zpráv, vaším nejdůležitějším krokem je zajistit, abyste si vybrali poskytovatele s vynikajícími bezpečnostními referencemi.
Musíte vědět, že ochrana vašich zákazníků a vaší značky je jeho prioritou - a že ji dokáže zajistit.
To znamená, že u potenciálního poskytovatele služeb zasílání zpráv hledejte některé konkrétní věci.
Faktorů, které je třeba zvážit, je více, než se nám vejde do tohoto příspěvku, proto se podívejte na našeho průvodce zabezpečením mobilních zpráv.

Historie zabezpečení

Zjistěte, zda poskytovatel již někdy v minulosti zaznamenal narušení bezpečnosti - a proč. Porušení by nemělo nutně vyloučit tohoto partnera, ale znalost kontextu případných narušení by vám mohla poskytnout užitečné informace.

Rámce zabezpečení

Podívejte se na certifikace a standardy, včetně:

• PSD2, FINRA

• Norma ISO 27001 (2013)

• Certifikát BSI (British Standards Institute)

• Řešení GDPR a více lokalit datových center

• Dostupnost, integrita a spolehlivost

Chcete-li své zákazníky ochránit před ztrátou dat, ověřte si, zda má platforma poskytovatele vysokou dostupnost. Zajímejte se o geograficky rozmístěná datová centra, aby lokální výpadky nebo přírodní katastrofy nevyřadily celou síť. Síťová architektura by měla být škálovatelná a neměla by obsahovat jediné body selhání nebo úzká místa. Hledejte smlouvy o provozuschopnosti SLA alespoň 99,99 %.

Zajištění ochrany osobních nebo citlivých informací

Poskytovatelé by měli mít účinný systém řízení bezpečnosti informací (ISMS), který poskytuje jasné pokyny k opatřením, jako je např:

Správa identit a přístupu

Informovanost a školení

Audit a odpovědnost

Řízení konfigurace

Řízení bezpečnosti informací

Reakce na incidenty

Bezpečnostní operace

Ochrana médií

Personální bezpečnost

Fyzická ochrana a ochrana životního prostředí

Řízení rizik

Vývoj a akvizice v oblasti bezpečnosti

Zabezpečení sítě

Integrita systému a informací

Šifrování dat

Data by měla být při přenosu ve vnějších veřejných sítích - včetně internetu - šifrována pomocí běžných průmyslově uznávaných šifrovacích kódů a síly šifrování. Měla by být také chráněna v klidovém stavu jedním nebo více šifrovacími mechanismy. Při připojení k mobilním operátorům by měly používat šifrovací technologie odpovídající citlivosti přenášených informací.