Objectivo do artigo: investigação e avaliação dos riscos para a segurança da informação

decorrentes da prestação de serviços de mobile banking por instituições financeiras aos clientes,
bem como o desenvolvimento de propostas para a aplicação de medidas e meios que visem a
redução desses riscos.

Método: métodos científicos gerais de cognição são aplicados: análise e síntese, indução e
dedução, método de analogia.

Foi realizada uma análise sistemática da produção científica no campo da pesquisa teórica e
aplicada. Um método gráfico para interpretar os fenômenos em estudo foi implementado.

Resultado: foram formuladas propostas sobre as principais áreas de regulação do risco

operacional no setor de crédito e financeiro no contexto da utilização do mobile banking. São
feitas recomendações tanto às instituições de crédito e financeiras como aos órgãos reguladores
no sentido de melhorar a eficiência dos sistemas de banca electrónica e, em particular, da banca
móvel, bem como de reduzir o risco operacional nesta área. As ameaças mais significativas à
segurança de aplicativos móveis são consideradas. São formuladas propostas para a aplicação das
medidas e meios necessários à garantia da segurança da informação das aplicações móveis de
forma a reduzir os riscos. Medidas propostas

e os fundos podem ser usados no desenvolvimento de sistemas de banco móvel.

Palavras-chave: banco remoto, instituição financeira, risco operacional, aplicativo móvel, ameaças
à segurança, vulnerabilidade de aplicativo, segurança da informação.

1. Introdução

Atualmente, as instituições financeiras encontram-se em um ambiente altamente competitivo,

portanto, a administração das instituições financeiras está constantemente em busca de novos
métodos para obter vantagens competitivas, inclusive minimizando custos operacionais,
mantendo sua competitividade. Nos últimos anos, as instituições financeiras têm um novo tipo de
concorrente para as empresas fintech que prestam serviços de transferência de fundos de câmbio
e oferecem clientes (que, como os próprios usuários de banco eletrônico3, desempenham o papel
de trabalhadores operacionais, preenchendo ordens de transação em seus dispositivos móveis)
condições mais favoráveis em comparação com as propostas das instituições financeiras
tradicionais [1, 2].

A constante expansão do perfil competitivo está forçando as organizações financeiras a

desenvolver ativamente serviços financeiros modernos, incluindo tecnologias de banco eletrônico.
Além disso, eles têm um tempo significativo para comercializar novos serviços, incluindo tempo
para estudar os riscos associados.

Também reduz o tempo para os órgãos reguladores analisarem a situação atual e emitirem
documentos regulatórios em termos de garantir o nível adequado de segurança da informação.

perigo [3].
Nessas condições, as instituições financeiras devem introduzir novos métodos de análise de risco,
com base nos quais possam utilizar seus recursos de forma mais eficiente, inclusive na formação
do orçamento dos serviços de segurança da informação.

(incluindo o custo de implementação de hardware e software de segurança) [4].

O artigo discute abordagens gerais para avaliar os riscos associados ao usar sistemas de banco
móvel (SMB), visto que esse tipo de banco eletrônico está se tornando o mais difundido na Rússia
e no exterior.

2. Orientações do negócio móvel Antes de prosseguir diretamente para a avaliação de risco na

implementação do SMB, vamos considerar o que o conceito mais amplo de negócio móvel inclui.

Em geral, os negócios móveis podem ser aplicados de três maneiras:

1. Banco móvel;

2. Pagamentos móveis;

3. Operações bancárias para pessoas que não possuem conta em banco.

O mobile banking permite acesso 24 horas por dia, 7 dias por semana aos serviços bancários
usando um smartphone ou tablet4.

Em geral, o mobile banking está se tornando um dos principais canais de interação entre o banco e
seus clientes e dá uma contribuição significativa para a formação da experiência do cliente. Além
disso, o mobile banking está se tornando um canal importante para a promoção de novos
produtos e serviços, aumentando a lucratividade do negócio.

Os resultados das pesquisas analíticas permitiram identificar as cinco solicitações mensais ou

transações ativas mais populares que os clientes realizam nos diversos canais de atendimento:
caixas eletrônicos, call centers e Internet banking [5, 6].

Os resultados apresentados podem servir de base para o desenvolvimento de aplicativos para

dispositivos móveis5.

Os pagamentos móveis pertencem a um grupo de métodos de pagamento alternativos. Na maioria

das vezes, os clientes usam pagamentos móveis para comprar produtos ou serviços, em vez de
pagar com cartões bancários, dinheiro ou cheque. Os produtos e serviços que já podem ser
adquiridos no "banco no bolso" são conteúdo de vídeo e áudio, toques para celular, jogos online,
tarifas ou estacionamento, impressos, fast food e muito mais. Os pagamentos móveis incluem
vários métodos principais:

- pagamentos de internet móvel;

- pagamentos transacionais por meio de mensagens SMS;

- sistema de faturamento de pagamentos;

- pagamentos sem contato (por exemplo, NFC6).

Os serviços bancários para quem não tem contas bancárias (baseados em pagamentos móveis)
estão ganhando espaço não apenas nos mercados mais desenvolvidos, mas também nas
economias emergentes. Nos países em desenvolvimento, um número significativo de famílias,
devido à falta de acesso a serviços financeiros, recorre a pagamentos móveis (transferências de
dinheiro móvel entre indivíduos).

Junto com as vantagens óbvias da tecnologia de banco móvel, eles levam a riscos adicionais no
setor bancário. Mais precisamente, a lista de riscos bancários tradicionais7 não muda, mas seu
componente técnico aumenta significativamente.

O crescente componente técnico das fontes de riscos bancários tradicionais leva à necessidade de
melhorar alguns aspectos da regulamentação no setor bancário, inclusive no campo do banco
móvel. As mais relevantes, segundo os autores, são duas áreas relacionadas a:

1) ampliar o perfil de risco operacional no contexto da disseminação da tecnologia de banco

eletrônico e, em particular, do mobile banking;

2) aumento dos requisitos de segurança da informação em conexão com o crescimento

impressionante de crimes cibernéticos dirigidos a clientes que usam SMB [7].

3. Risco operacional no contexto do uso de SMB

O risco operacional não é o único risco influenciado pelas especificidades do funcionamento do

SMB, mas, na grande maioria dos casos, as fontes de risco operacional influenciam a expansão de
muitos riscos bancários tradicionais.

O motivo da maior atenção do setor bancário ao risco operacional foi a publicação do Comitê de
Supervisão Bancária da Basiléia “Convergência Internacional das Mudanças no Capital e Padrões
de Capital: Novas Abordagens” (Basiléia II).

Basiléia II define risco operacional como o risco de perda decorrente de processos internos
inadequados ou errôneos, ações de funcionários e sistemas, ou como resultado de eventos
externos.

Os seguintes tipos de eventos podem ser identificados como manifestações de risco operacional:

- influências externas (inundações, incêndios, acidentes, etc.);

- fraude interna (ameaças de insiders) e externa (ameaças, tanto de hackers individuais como de
grupos criminosos);

- erros de equipe;

- falhas na implementação de processos de negócios e atendimento ao cliente;

- danos físicos a ativos;

- falhas de sistemas de informação;

- violação de processos de processamento e armazenamento de dados (incluindo aqueles
causados pelo impacto de ataques cibernéticos em organizações do setor financeiro e de crédito).

De referir que o risco operacional é um dos principais riscos da banca tradicional, sobre o qual as
tecnologias de pagamento móvel têm maior impacto. O risco operacional pode ser definido como
a probabilidade de perdas e / ou não recebimento de lucros devido a falhas na execução das
operações bancárias rotineiras do dia-a-dia. Em relação às tecnologias de banco móvel, existem
três áreas principais de risco operacional:

- funcionamento dos sistemas de segurança;

- envolvimento de entidades contratantes externas à instituição de crédito no processo de

prestação de serviços bancários aos clientes (outsourcing);

- o desenvolvimento de novas tecnologias e processos pelos funcionários do banco [8, 9].

No caso do funcionamento dos sistemas de segurança, estamos a falar dos riscos de violação no
processamento, transferência e armazenamento de informação em forma electrónica de
informação (violação da integridade, destruição, intercepção de informação ou seu abuso em
consequência de violações técnicas, ações de intrusos, erros ou ações fraudulentas de nossos
próprios funcionários e clientes) e falhas na operação de sistemas automatizados bancários
(sobrecargas devido à capacidade insuficiente de recursos e ataques DDoS8 direcionados nos
servidores web de organizações financeiras) [10, 11 , 12].

A importância da segunda área em termos de risco operacional tem sido muito grande nos últimos
tempos. As instituições financeiras tornam-se dependentes de seus contratantes e o nível dos
serviços bancários é geralmente determinado pela qualidade do trabalho das empresas, cujos
funcionários podem não ter o conhecimento necessário sobre serviços bancários móveis.

Os riscos relacionados com a terceira área estão associados aos requisitos constantemente
crescentes de capacidade adaptativa do pessoal das organizações financeiras devido à aceleração
dos processos de melhoria dos processos de negócio e à aceleração da modernização dos sistemas
bancários automatizados. Este problema aumenta os riscos de dificuldades surgidas na
implementação de tecnologias e soluções mais complexas.

Para verificar a qualidade da gestão do risco operacional nas instituições de crédito, é necessário
adaptar os métodos adequados às condições de implementação ativa das tecnologias de banca
eletrónica no negócio bancário. Esses métodos devem ser complementados com perguntas
específicas que o especialista deve responder para, em última análise, gerar informações sobre a
eficácia da gestão do risco operacional em uma organização financeira, por exemplo:

- Existe uma unidade ou funcionário que desempenha funções de avaliação de risco operacional?

- é a unidade dada (funcionário) independente em relação àqueles que realizam negócios

processos para departamentos?

- foram implementados documentos regulamentares e administrativos internos para gerir o risco
operacional?

- Os documentos regulamentares e administrativos internos contêm um procedimento de

avaliação do risco operacional?

- As medidas tomadas pela instituição de crédito garantem um nível suficiente de segurança da

informação e a possibilidade de recuperação após falhas de sistemas automatizados?

- o risco operacional é avaliado regularmente?

- Existe informação analítica sobre os prejuízos operacionais incorridos no âmbito dos ramos de
atividade com descrição das situações que levaram à concretização do risco, que permite
determinar as áreas mais críticas do ponto de vista do PR?

- A instituição de crédito dispõe de um sistema de indicadores do nível de risco operacional

utilizado no processo de acompanhamento?

- A instituição de crédito possui processos de previsão do valor potencial das perdas operacionais?

- A instituição de crédito elabora relatórios de gestão com os resultados da monitorização do risco

operacional?

- A instituição de crédito possui processos de autoavaliação dos processos de gestão do risco

operacional?

O resultado da saída pode ser um indicador agregado, que é formado por componentes
separados. A resposta a cada questão corresponde a um determinado ponto em uma escala de 5
pontos, enquanto a resposta "sim" corresponde a 1 ponto e a resposta "não" corresponde a 5
pontos.

Além disso, a cada questão é atribuído um coeficiente de peso, que o perito determina de forma
independente por meio de consultoria especializada, tendo previamente coordenado suas ações
com a administração do banco. O indicador agregado da qualidade do sistema de gestão de risco
operacional em uma instituição de crédito é calculado usando a fórmula:

O valor do indicador agregado é inversamente proporcional à qualidade do sistema de gestão do

risco operacional da instituição de crédito. Em outras palavras, um valor inferior do indicador
corresponde a um nível superior de qualidade da gestão do risco operacional, e vice-versa, um
valor do indicador superior corresponde a um nível inferior de qualidade da gestão.

A Tabela 1 contém recomendações para que as instituições financeiras e reguladores melhorem a

eficiência dos sistemas de banco eletrônico e, em particular, do banco móvel, bem como reduzam
o risco operacional nessa área.

As orientações propostas não cobrem toda a lista necessária de medidas no âmbito da gestão do
risco operacional no contexto da utilização de SMB.
4. Segurança da informação no contexto do uso de SMB

Tendo em conta que o setor financeiro tem sido talvez recentemente a área de interesse mais
atraente para os cibercriminosos (isto é evidenciado pelo aumento constante do número de
cibercrimes contra instituições financeiras nos últimos anos), bem como tendo em conta os
processos Para otimizar as decisões financeiras no domínio da aplicação das PMEs, é necessário
tomar medidas destinadas a alcançar um elevado nível de segurança da informação [13].

Na esmagadora maioria dos casos, os especialistas na área de segurança da informação utilizam

métodos qualitativos de avaliação de risco, uma vez que para uma avaliação quantitativa é
necessário ter estatísticas confiáveis sobre as vulnerabilidades dos sistemas atacados (ou de um
único computador) e métodos de transporte ataques de computador. Considerando que o
hardware e o software, as configurações do sistema e os métodos de ataque mudam rapidamente,
é extremamente difícil coletar estatísticas oportunas para avaliar os riscos.

Tabela 1. Principais direções de regulação do risco operacional no setor de crédito e financeiro no

contexto da utilização do mobile banking.

Diretrizes do regulamento Recomendações ao Recomendações para BANCOS

Melhorar os métodos de
controle remoto e contato
supervisão de risco
operacional em bancos no
contexto de mobile banking
Atingir um nível aceitável de
segurança da informação
(incluindo a identificação de
ameaças à segurança da
informação e prontamente
informar o regulador)
Reforçar o nível de formação
de especialistas em gestão de
REGULADOR
Desenvolver e implementar
métodos de supervisão
remota e de contato para
verificar a qualidade da
gestão de risco operacional
em bancos no contexto do
uso de banco móvel
(incluindo métodos para a
realização de inspeções por
departamentos de inspeção
da qualidade da gestão de
risco operacional)
Desenvolver e implementar
normativo e regulatório
documentos sobre como
garantir um nível aceitável de
segurança da informação nos
bancos (incluindo o
desenvolvimento de
o procedimento para informar
prontamente o regulador
sobre incidentes de segurança
da informação e ataques a
recursos de instituições de
crédito)
Desenvolver documentos
regulamentares obrigando as
Implementar um sistema de
gestão de risco operacional de
acordo com a recomendação
do regulador e passar, se
necessário, com sucesso na
auditoria do regulador (sem
comentários sobre quais
medidas são possíveis)
Cumprir as recomendações do
regulador para garantir um
nível aceitável de segurança
da informação (incluindo a
introdução de um esquema
de resposta para incidentes
de segurança da informação e
ataques de computador aos
recursos de informação do
banco)
Garantir a disponibilidade de
especialistas internos na área
 risco operacional instituições de crédito a de gestão de risco operacional
empregar especialistas em de acordo com as
gestão de risco operacional recomendações do regulador

O Projeto Internacional de Segurança de Aplicativos da Web Aberta Projeto de Segurança de

Aplicativos da Web Aberta (OWASP) dentro do Projeto de Segurança Móvel9 identificou as dez
ameaças mais significativas à segurança de aplicativos móveis (Tabela 2).

Analisando as ameaças listadas na Tabela 2, podemos concluir que algumas delas (por exemplo,
M1, M7) são típicas apenas para aplicativos móveis (mobile banking).

A lista de ameaças listadas na Tabela 2 difere significativamente dos dez riscos de segurança de
aplicativos da Web mais críticos identificados no projeto OWASP "Os Dez Riscos de Segurança de
Aplicativos da Web Mais Críticos".

Dada a natureza única das ameaças à segurança da informação inerentes às PMEs, é necessário
desenvolver medidas e ferramentas de segurança da informação para mitigar essas ameaças.

Para garantir a segurança de um aplicativo móvel, é necessário desenvolver um modelo de risco

que leve em consideração vulnerabilidades, invasores potenciais, ameaças e a probabilidade de
ataques bem-sucedidos.

É possível distinguir métodos qualitativos e quantitativos de avaliação de riscos à segurança da

informação, bem como métodos combinados.

Tabela 2. As ameaças mais significativas à segurança de aplicativos móveis.

Cifra Nome da ameaça Pequena descrição

Contornando as restrições
arquitetônicas (Uso impróprio
da plataforma)
Armazenamento de dados
inseguro (Armazenamento de
dados inseguro)
Transferência de dados
insegura (Insecure
Communication)
Esta categoria cobre abuso de
recursos de plataforma,
contornar restrições ou não
uso de sistemas.
gerenciamento de segurança
da plataforma de controle.
Afeta
sistemas de controle de
segurança que fazem parte do
sistema operacional móvel.
Isso inclui armazenamento
não seguro e não intencional
vazamentos de dados.
Confirmação insuficiente da
confiabilidade das fontes de
comunicação, versões
incorretas de TLS, SSL,
verificação insuficiente da

Autenticação Insegura
Força criptográfica fraca
(Insufficient Cryptography)
Autorização insegura (Insecure
Authorization)
Controle de conteúdo de
aplicativos cliente (Client Code
Quality)
Modificação de dados (Code
Tampering)
Análise de código fonte
(Reverse
Engineering)
Funcionalidade oculta
negociação, transferência de
dados confidenciais em claro,
etc.
Esta categoria está
relacionada à autenticação do
usuário e gerenciamento de
sessão incorreto.
O uso de algoritmos
criptograficamente fortes
para a transferência de
informações críticas. Esta
categoria é para casos em que
a criptografia foi usada, mas
não foi feita corretamente.
Desvantagens do
procedimento de autorização
(verificação (validação) do
lado do cliente, etc.).
Controle inadequado de
dados de entrada. Problemas
de implementação do código-
fonte de aplicativos clientes.
Esta categoria se refere à
modificação de arquivos
executáveis,
recursos de formação de
linha, interceptação de
chamadas para processos de
terceiros, substituição de
métodos de tempo de
execução e modificação de
memória dinâmica.
Esta categoria inclui a análise
de arquivos binários para
recuperar algoritmos, código-
fonte, bibliotecas, etc. O uso
de ferramentas de engenharia
reversa permite obter
informações sobre o
funcionamento interno do
aplicativo. Essas informações,
na próxima etapa, são usadas
para identificar
vulnerabilidades no aplicativo,
extrair do aplicativo (por
exemplo, chaves de
criptografia, etc.).
Freqüentemente, os
 (Extraneous desenvolvedores incluem
Functionality) funcionalidades ocultas em
seu código para simplificar o
processo de depuração, que
não deveria estar oficialmente
no aplicativo.

Os métodos de avaliação quantitativa de risco usam ferramentas matemáticas e estatísticas para

representar o risco. A análise qualitativa analisa o risco usando avaliações descritivas subjetivas
em vez de usar matemática.

Métodos quantitativos para avaliar os riscos de segurança da informação estão contidos no GOST
R 52448-2005, bem como em uma série de padrões estrangeiros, os mais famosos dos quais são
NISP SP 800-3013, CRAMM (Análise de Risco CCTA e Método de Gestão) e OCTAVE ( Avaliação de
ameaças, ativos e vulnerabilidade operacionalmente críticos).

Os métodos qualitativos de avaliação de risco incluem, por exemplo, ISRAM (método de análise de
risco de segurança da informação).

Na forma mais geral, a avaliação de risco pode ser expressa na forma da fórmula:

Risco = Probabilidade x Impacto

Vamos considerar uma abordagem geral para a avaliação qualitativa dos riscos à segurança da
informação.

Além disso, os fatores que formam a base de conceitos como “probabilidade” e “impacto” (dano)
são considerados e é mostrado como combinar esses fatores a fim de determinar o nível de risco
[14, 15, 16].

Em primeiro lugar, é necessário identificar o risco, ou seja, identificar uma ameaça à segurança
que leva ao surgimento de um risco potencial.

Em seguida, é necessário avaliar a probabilidade de o risco se concretizar (o primeiro fator na

fórmula de avaliação do risco).

Freqüentemente, é quase impossível usar valores quantitativos precisos para avaliação, portanto,
avaliações qualitativas são usadas, por exemplo, atribuindo a probabilidade de um risco a uma das
várias categorias. Aqui podemos distinguir fatores relacionados ao agressor, e fatores relacionados
à vulnerabilidade, cuja possível exploração leva ao surgimento de um risco potencial [17, 18, 19].

Entre os fatores relacionados ao agressor estão:

- o tipo de infrator (desenvolvedor, usuário interno, administrador, usuário externo (cliente));

- o nível de conhecimento do agressor e sua motivação;

- os recursos exigidos pelo invasor para explorar a vulnerabilidade.

Cada um desses fatores é classificado (por exemplo, em uma escala de 1 a 5) e, em seguida, os

resultados são calculados.
Entre os fatores relacionados à vulnerabilidade estão:

- facilidade de detecção de vulnerabilidade;

- facilidade de exploração da vulnerabilidade;

- publicidade (publicidade) desta vulnerabilidade;

- facilidade de detecção de intrusão.

Após os fatores que influenciam a probabilidade de ocorrência do risco terem sido considerados e
avaliados, é necessário proceder à consideração e avaliação dos fatores que influenciam o
impacto. Em primeiro lugar, deve-se notar que existem dois tipos de impacto: impacto técnico e
impacto comercial.

Os impactos técnicos incluem perda de confidencialidade, perda de integridade e perda de

disponibilidade.

Entre os fatores que afetam os negócios estão:

- perdas financeiras;

- perdas associadas a riscos de reputação;

- não conformidade com os requisitos das autoridades reguladoras;

- divulgação de dados pessoais.

Em seguida, os fatores acima também são classificados e os resultados obtidos são calculados.
Propõe-se fazer a média separadamente dos fatores relacionados aos fatores de impacto técnico e
aos fatores de impacto do negócio.

Duas maneiras podem ser propostas: escolher entre duas avaliações de fatores de influência
técnica e fatores de influência de negócios de um valor mais alto (mais crítico), ou deixar para
consideração posterior apenas a avaliação de impacto de negócios (desde que haja informações
iniciais suficientes durante essa avaliação )

Como resultado, obtemos duas estimativas: probabilidade e impacto. Para avaliar o risco, você
pode usar uma tabela na qual, para cada nível de probabilidade e impacto, um determinado nível
de risco é determinado (por exemplo, menor, baixo, médio, alto e crítico).

Uma vez que todos os principais riscos foram identificados e avaliados, uma lista priorizada de
riscos que precisam ser tratados precisa ser identificada.

Em primeiro lugar, os riscos mais graves devem ser eliminados.

As principais ferramentas e medidas, cujo uso pode reduzir os riscos de segurança da informação,
são:

- realização de ofuscação do código-fonte;

- exclusão do código-fonte de bibliotecas contendo funções criptográficas e contendo

vulnerabilidades (por exemplo, bibliotecas java.util.Random);
- realização de análises estáticas (SAST) e dinâmicas (DAST) do código-fonte;

- proteção de dados confidenciais armazenados no dispositivo móvel;

- o uso de algoritmos de criptografia criptograficamente fortes para garantir a confidencialidade

das informações transmitidas pelos canais de comunicação entre o dispositivo móvel e a parte do
servidor do Sistema RB;

- autenticação e autorização do usuário do aplicativo móvel;

e vários outros.

5. Conclusões

Como resultado de considerar as direções do banco móvel, o impacto do banco móvel no risco
operacional de instituições financeiras e de crédito, bem como as questões de garantir a
segurança da informação dos sistemas de banco móvel, as seguintes conclusões podem ser
formuladas:

- a introdução de tecnologias de banco eletrônico (incluindo SMB) leva a uma redução significativa
dos custos operacionais (devido à ausência de despesas com a manutenção de escritórios e
pessoal operacional), mas ao mesmo tempo está associada a um aumento na componente técnica
típica riscos bancários, entre os quais se destaca o risco operacional;

- dado que o risco operacional se está a tornar um dos riscos mais significativos para os bancos no
contexto das PME, é necessário tomar medidas atempadas para melhorar as abordagens de
gestão deste risco. É óbvio que o procedimento e os mecanismos de gestão do risco operacional
devem ser melhorados com base nas recomendações do regulador, garantindo a atribuição eficaz
de áreas de responsabilidade por cada componente deste risco;

os reguladores precisam desenvolver um sistema eficaz para garantir a segurança da informação

no setor financeiro e de crédito, incluindo a necessidade de expandir as unidades especiais de
supervisão. O desenvolvimento consistente da política do regulador nesta área deve ser elaborado
recomendações para organizações no setor de crédito e financeiro, cuja implementação irá reduzir
significativamente as possibilidades de cibercriminosos;

- introduzir métodos de avaliação do risco operacional e dos riscos de segurança da informação (e

atualizá-los em tempo oportuno), que devem ser utilizados pelas divisões de risco e serviços de
controlo interno das instituições de crédito;

- um pré-requisito para a implementação de um sistema eficaz de segurança da informação no

setor financeiro e de crédito é aumentar o papel do regulador. Deve atuar não apenas como um
centro de interação com as organizações supervisionadas em questões de relatórios oportunos
sobre ataques e incidentes de computador, mas também como um centro de competência capaz,
inter alia, de trabalhar para melhorar a educação financeira;

- é necessário inserir medidas e meios de segurança da informação no ciclo de vida de uma

aplicação móvel, o que, em geral, inclui as etapas de formação de requisitos, desenvolvimento de
uma aplicação móvel, teste, operação, suporte e atualização.
MOBILE BANKING: INFORMATION
SECURITY RISK
ASSESSMENT
P. Revenkov16, D. Krupenko17
The purpose of the article is research and risk assessment of information security when providing by the
financial organizations to clients services of mobile banking and also developing offers on application of
means
and measures allocated for decrease in the specified risks.
Method: general scientific methods of knowledge are applied: analysis and synthesis, induction and
deduction,
analogy method. Systems analysis of scientific literature in the field of theoretical and application studies is
carried
out. The graphic method of interpretation of the studied phenomena is implemented.
The result: offers on the main directions of regulation of operational risk in the credit and financial sphere
in the conditions of application of mobile banking are formulated. Recommendations for the credit and
financial
organizations, and for regulators for increase in efficiency of functioning of systems of electronic banking
and,
in particular, mobile banking and also to decrease in operational risk in the field are provided. The most
significant
threats to security of mobile applications are considered. Offers on use of means of ensuring of information
security
of mobile applications for the purpose of reduction of risk of information security are formulated. The
proposed
measures and means can be used by development of systems of mobile banking.
Keywords: remote banking, financial organization, operational risk, mobile application, security threats,
vulnerability of the application, information security.
References:
1. Lyamin L.V. [Electronic banking and the risks of its customers]. Banknoty stran mira = Banknotes of the World, 2018, no. 7,
pp. 26–28.
(In Russ.).
2. Revenkov P.V. Distantsionnoe bankovskoe obsluzhivanie: aktual’nye napravleniya regulirovaniya [Online banking: urgent
areas for
regulation]. Bankovskoe delo = Banking, 2012, no. 9, pp. 57–62.
3. Malyuk A.A. Global’naya kul’tura kiberbezopasnosti [Global culture of cybersecurity]. Moscow, Hotline – Telecom Publ.,
2017, 308 p.
4. Berdyugin A.A. [Risk management of information security violation in conditions of electronic banking]. Cybersecurity issues
= Voprosy
kiberbezopasnosti, 2018, no. 1 (25), pp. 28–38. DOI: 10.21681/2311-3456-2018-1-28-38. (In Russ.).
5. Ross A. Industrii budushchego [The Industries of the Future]. Moscow, AST Publ., 2017, 287 p.
6. Skinner Ch. Tsifrovoi bank: kak sozdat’ tsifrovoi bank ili stat’ im [Digital Bank: Strategies for Launching or Becoming a
Digital Bank].
Moscow, Mann, Ivanov i Ferber Publ., 2015, 320 p.
7. Nabigaev E. [Impunity as gasoline for cyber attacks on banks]. Bankovskoye obozreniye = Bank Review, 2017, no. 2, pp. 78–
79.
(In Russ.).
8. Revenkov P.V. [Operational risk in conditions of increasing cyberattacks on banks]. Bankovskoye delo = Banking, 2018, no.
3, pp. 56–60.
(In Russ.).
9. Revenkov P.V., Berdyugin A.A. [Cyber Attacks as a Source of Operational Risk in Electronic Banking]. Finansy i kredit =
Finance and Credit,
2018, vol. 24, iss. 3, pp. 629–640. URL: https://doi.org/10.24891/fc.24.3.629. (In Russ.).
10. Biryukov A.A. Informatsionnaya bezopasnost’: zashchita i napadeniye [Information security: protection and attack].
Moscow, DMK-Press,
2017, 434 p.
11. Masalkov A.S. Osobennosti kiberprestupleniy v Rossii. Instrumenty napadeniya i zashchita informatsii [Features of
cybercrime in. Attack
tools and information protection]. Moscow, DMK-Press, 2018, 226 p.
12. Mr. Cyril Roux. Cybersecurity and cyber risk. BIS central bankers’ speeches. The bank for International Settlements, 2015,
pp. 1–6.
URL: https://www.bis.org/review/r151002d.pdf.
13. Demidov O.V. Global’noye upravleniye Internetom i bezopasnost’ v sfere ispol’zovaniya IKT: klyuchevyye vyzovy dlya
mirovogo soobshchestva
[Global Internet governance and security in the use of ICT: key challenges for the global community]. Moscow, Alpina
Pablisher, 2016, 198 p.
14. Miloslavskaya N.G., Senatorov M.Yu., Tolstoy A.I. Upravleniye riskami informatsionnoy bezopasnosti [Information Security
Risk
Management]. Moscow, Hotline – Telecom Publ., 2014, 130 p.
15. Sheremet I.A. [Digital economy and cybersecurity of its financial segment]. Nauchnyye trudy Vol’nogo ekonomicheskogo
obshchestva
Rossii = Scientific works of the Free Economic Society of Russia, 2018, vol. 210, pp. 23–34. (In Russ.).
16. Camillo Mark. Cybersecurity: Risks and management of risks for global banks and financial institutions. Journal of Risk
Management
in Financial Institution, 2017, vol. 10, no. 2, pp. 196–200.
17. Khokhlov A. [On the methods of integrated protection against fraud in RBS]. Bankovskiye tekhnologii = Banking
Technologies, 2012,
no. 8, pp. 66–68. (In Russ.).
18. Keyun Ruan. Introducing cybernomics: A unifying economic frame-work for measuring cyber risk. Computers & Security,
2017, vol. 65,
pp. 77–89. URL: https://doi.org/10.1016/j.cose.2016.10.00917.
19. Macknight J. Cyber security: making banking safer. The Banker, 2016, vol. 166, no. 1080, pp. 110–115.