Raport Specjalny Bezpieczeństwo Banków: Testom nie ma końca

BANK 2018/12

Sprawdzanie, czy bankowe aplikacje są bezpieczne, to rzecz wielkiej wagi. Co więcej, właściwie każda zmiana jednej linijki kodu może wywołać kilka lub kilkanaście defektów o charakterze krytycznym.

Sprawdzanie, czy bankowe aplikacje są bezpieczne, to rzecz wielkiej wagi. Co więcej, właściwie każda zmiana jednej linijki kodu może wywołać kilka lub kilkanaście defektów o charakterze krytycznym.

Krzysztof Maciejewski

Testowanie aplikacji i bankowej infrastruktury informatycznej to kwestie, o których banki niezbyt chętnie opowiadają. W teorii środowiska testowe uruchamiane są podczas wdrożenia systemu, ale w praktyce każda, nawet najmniejsza zmiana powoduje, że wszystko trzeba sprawdzać od początku. A tak naprawdę testy powinny rozpoczynać się jeszcze przed wdrożeniem. W końcu według ustaleń amerykańskich naukowców aż 75% wszystkich defektów to wynik złej specyfikacji. Kwestie testów w bankach dość szczegółowo opisuje wydana przez KNF w 2013 r. Rekomendacja D. Poprzez „metodologię testowania” rozumie się „metodologię testowania środowiska teleinformatycznego”, czyli testowania systemu i infrastruktury. Metodologia uwzględnia wspomniane w rekomendacji „dobre praktyki” testowania, takie jak planowanie i testowanie atrybutów jakościowych oprogramowania.

Rekomendacja D w punkcie 5.2 zwraca uwagę na odpowiednią separację obowiązków, w szczególności oddzielenie funkcji tworzenia lub modyfikowania systemów informatycznych od ich testowania (poza testami realizowanymi przez programistów w ramach wytwarzania oprogramowania), administracji i użytkowania. Sposób organizacji testów powinien zapewniać możliwie wysoki stopień niezależności weryfikacji spełnienia przyjętych założeń. W każdym testowaniu rozróżnić można kilka etapów: planowanie (opcjonalnie wynika z dobrych praktyk), strategia testowania, zdefiniowanie miar jakości programowania, kryterium odbioru, wytworzenie scenariuszy i danych opartych na wymaganiach, uruchomienie testów i wreszcie raportowanie.

Ciągła kontrola

Problemem może czasami okazać się odpowiednie zgranie czasowe – klienci nie lubią, gdy bank przestaje działać. Trzeba więc odpowiednio zaplanować wszelkie działania. – Częstotliwość zależna jest od typu testu, jaki przeprowadzamy. Z uwagi na wielkość infrastruktury część automatycznych i nieinwazyjnych testów jest wykonywana w sposób ciągły – mówi Marcin Jagodziński, dyrektor Biura Bezpieczeństwa Informacji w Citi Handlowym. Oczywiście, testy, które mogą powodować pewne zakłócenia w pracy środowiska teleinformatycznego są planowane z wyprzedzeniem oraz realizowane w taki sposób, by w jak najmniejszy sposób oddziaływać na bieżącą działalność biznesową banku.

Podobnie dzieje się w ING Banku Śląskim. – Za każdym razem oceniany jest stan bezpieczeństwa aplikacji oraz otaczającej jej infrastruktury. Wyrywkowe testy aplikacji z pominięciem innych istotnych elementów nie mają większej wartości – tłumaczy Maciej Ogórkiewicz, dyrektor Departamentu Bezpieczeństwa IT w ING BS. Z kolei w Banku Pekao SA testy bezpieczeństwa przeprowadzane są przed produkcyjnym uruchomieniem nowego rozwiązania informatycznego oraz wdrożeniem istotnej, mającej wpływ na bezpieczeństwo zmiany funkcjonalności aplikacji. – Testy bezpieczeństwa muszą być również przeprowadzane cyklicznie, a także po zaistnieniu incydentu bezpieczeństwa. W przypadku wykrycia podatności następuje proces jej usuwania, a następnie przeprowadzany jest retest mający na celu potwierdzenie skuteczności wprowadzonych modyfikacji – opowiada Krzysztof Berowski, dyrektor Departamentu Bezpieczeństwa Banku Pekao SA.

Raczej zewnętrzni

Dość drażliwym ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Udostępnij artykuł: