To, co w USA jest standardem, w Polsce jeszcze raczkuje. Mowa tu o protokole DNSSEC, chroniącym posiadaczy kont bankowych przez phisingiem. Niestety, według najnowszych doniesień, jedynie 23 procent wszystkich polskich banków korzysta z tego rozwiązania. Co z pozostałymi? Czy jest się czego bać?
Polska i Europa vs Stany Zjednoczone
W USA DNSSEC jest standardem. W zasadzie już od 2009 roku wszystkie amerykańskie agencje rządowe zabezpieczają swoje strony właśnie za pomocą tego protokołu. Jest to efektem posunięcia amerykańskiego rządu federalnego, który niejako „zmusił je” do przejścia na nowy standard ochrony. Niestety, w Polsce (i w Europie) protokół ten wciąż znajduje się w powijakach. Tak niewielki odsetek banków nie jest jednak niczym niezwykłym, biorąc pod uwagę sytuację w Europie. Na Starym Kontynencie pod względem popularności tego projektu plasujemy się dopiero na czwartym miejscu, po Holandii, Szwecji i Czechach.
Na rodzimym podwórku
Oczywiście same procenty nie przemawiają do opinii publicznej tak, jak np. konkretne liczby. Warto zatem przytoczyć wyniki badań bezpieczeństwa witryn, należących do aż 89 instytucji finansowych (banki, kantory internetowe, parabanki itd.).
O ile samo posiadanie certyfikatu SSL jest standardem (tylko jeden kantor internetowy go nie posiadał) o tyle w przypadku zabezpieczeń przed phisingiem sprawa nie wygląda aż tak dobrze. Jeśli weźmiemy pod uwagę wszystkie witryny instytucji finansowych (w tym marketingowe), protokołem DNSSEC zabezpieczone jest jedynie od 11 do 30 procent z nich. Odsetek ten jest zależny oczywiście od rodzaju witryny, z którą mamy do czynienia. Szczególną troską należy tutaj objąć witryny transakcyjne, za pośrednictwem których Klienci dokonują płatności i przelewów.
Jak zweryfikować bezpieczeństwo witryny?
Wprowadzenie nowych rozwiązań do przeglądarek internetowych Chrome i Firefox, nie daje możliwości zweryfikowania, czy konkretny serwis korzysta z DNSSEC. Owszem, wykrywają one certyfikaty SSL zgodne z nazwami poszczególnych domen, ale wciąż jest to za mało, jeśli chodzi o tak złożone systemy bezpieczeństwa. Na szczęście niektóre firmy hostingowe umożliwiają pobranie określonych narzędzi, dzięki którym staje się to możliwe. W ten sposób Klient może łatwo sprawdzić, czy jego bank odpowiednio zabezpiecza się przed atakami phisingowymi, czy nie.
Kto jest za to odpowiedzialny?
Rzecz jasna zrezygnowanie z usług konkretnego banku i to tylko dlatego, że jego witryna nie posiada odpowiedniego zabezpieczenia antyphisingowego, jest – przynajmniej w polskich warunkach – mało prawdopodobne. Trudno zrezygnować ze swoich przyzwyczajeń, skoro jak dotychczas „nic się nie stało”. Z drugiej strony, trzeba uwzględnić, że w przypadku wystąpienia jakichkolwiek realnych zagrożeń, odpowiedzialność banku (bądź jakiegokolwiek innego podmiotu), jest w tym przypadku niezaprzeczalna.
Oczywiście nie oznacza to całkowitej bierności rynku. O ile oddziaływanie na tym polu Klientów indywidualnych będzie w tym przypadku (najprawdopodobniej) znikome o tyle bardziej skuteczne powinno być wymuszenie określonego zachowania przez Klientów biznesowych. To oni zwykle jako pierwsi dostrzegają zasadność takich obaw, przenosząc swoje aktywa do jednostki lepiej zabezpieczającej interesy swoich Klientów.
Podsumowanie
Dziś certyfikat SSL nie wystarczy, by kompleksowo zabezpieczyć domenę. Równie ważne jest, by – zwłaszcza w przypadku usług bankowych i e-commerce – zadbać o zainstalowanie bardziej złożonych protokołów. Być może w niedalekiej przyszłości, twórcy najpopularniejszych przeglądarek zaimplementują w nich funkcję wykrywania protokołu DNSSEC.