Egenevalueringsskjema Mobilbank DATO: 31.10.2014
Evalueringsskjema Mobilbank apper Del 1 Del 2 Strategi og sikkerhetspolicy Kost-nytte og ROS-analyser Utvikling og oppdatering Avtaler Driftsrelaterte spørsmål Distribusjon og personalisering av appen Innlogging til appen og til banken Programmering og signering av appen Transportsikkerhet Infiserte og "sprengte" telefoner Logging/oppbevaring av informasjon Overvåking Oppdatering av appen 2 Finanstilsynet
Del 1 spørsmål til eier av forretningsområdet Innledning Foretaket bør ha etablert administrative rutiner som sikrer at utvikling og bruk av apper er i henhold til foretakets forretningsstrategi, at sikkerheten overvåkes og at utviklingen er gjort på bakgrunn av nødvendig dokumentasjon, som f.eks. risikovurderinger. Omfang/avgrensing ene nedenfor er isolert til risikoer som er knyttet til app-banker. Eventuelle funksjoner i nettbanken som appen (gjen)bruker, omtales ikke her. Se i tilfellet tilsynsmodulen som gjelder for nettbank. Denne delen av tilsynsmodulen for apper til bruk i mobile enheter er ment å besvares av forretningsområdet som står som eier av løsningen. Strategi og sikkerhetspolicy 1. Har foretaket etablert en sikkerhetspolicy? 2. Er det etablert en strategi for hvordan foretaket skal håndtere egen merkevare? 3. Er utvikling av apper for mobile løsninger en følge av foretakets forretningsstrategi? 4. Er det i foretaket en dokumentert strategi for hvilken funksjonalitet av tjenesten som skal ligge på kundens mobile enhet? 5. Er det en del av foretakets strategi å lagre noe av informasjonen fra kundens mobil som del av "Big Data" datafangst? 6. Er det i foretakets dokumentasjon om informasjonssikkerhet dokumentert at løsninger på mobile enheter skal ha tilsvarende sikkerhetsnivå som f.eks. løsninger for PC? Kost-nytte og ROS-analyser 7. Er det gjennomført kost-nytte analyser som belyser hensikt og forventet resultat? Finanstilsynet 3
8. Er det gjennomført risiko- og sårbarhetsanalyse som viser de risikoer som en ny eller endret app vil utgjøre for foretakets øvrige løsninger? 9. Er det gjennomført risiko- og sårbarhetsanalyse som viser de risikoer som kunder kan utsettes for ved bruk av løsningen? Utvikling og oppdatering 10. Gjennomføres utvikling og produksjonssetting av apper i samsvar med foretakets utviklingsprosess? (også der utviklingen er utkontraktert) 11. Ved oppdateringer og produksjonssetting av apper, eventuelt en sikkerhetsoppgradering, er det etablert tiltak som sikrer at kunder må oppdatere appen før den kan benyttes mot foretakets produksjonsmiljø? 12. Ved bruk av eksterne leverandører for utvikling av apper, gjennomføres det kodegjennomgang med dokumentert resultat av foretaket før apper settes i produksjon? Avtaler 13. Etableres det egne avtaler med kundene for bruken av appen? 14. Innhentes det godkjenning fra kunden for å benytte informasjon som er på kundens mobile enhet, som f.eks. GPS, adressebok osv.? 15. Har foretaket en strategi om hvordan appen skal distribueres? Driftsrelaterte spørsmål 16. Er det etablert måleparametere som viser om bruken av foretakets apper svarer til forutsetningene fra kost-nytte-vurderingen? 17. Innvirker bruken av apper på foretakets katastrofeplan? 18. Har kundesenter eller mottakere av kundehenvendelser fått opplæring i innhold og funksjonalitet av apper foretaket tilbyr sine kunder? 4 Finanstilsynet
19. Er det etablert tiltak av foretaket som overvåker risikoen relatert til informasjonssikkerhet? 20. Er det avklart i organisasjonen hvor ansvaret for eierskap, utvikling og drift av løsningen ligger? 21. Er det gjennomført penetrasjonstester med apper som inngangsport mot foretakets produksjonssystemer? Finanstilsynet 5
Del 2 spørsmål til ansvarlige for utvikling og drift Innledning De forskjellige bankenes apper er mer eller mindre funksjonsrike. Enkelte er tynne klienter mot nettbanken, der det ikke skjer lagring lokalt i mobilen. Andre apper har omfattende prosessering og lagring. Spørreskjemaet er ikke uttømmende når det gjelder omfang og detaljeringsgrad for området. Omfang/avgrensing ene nedenfor er isolert til risikoer som er knyttet til bank-apper. Eventuelle funksjoner i nettbanken som appen (gjen)bruker, omtales ikke her. Se i tilfellet tilsynsmodulen som gjelder for nettbank. "Liten risikoanalyse" Finanstilsynet anser risikoen knyttet til bank-apper som moderat til liten. Enkeltkunder kan bli rammet. Sårbarheter som blir avdekket, forventes å kunne bli utbedret før stor skade er skjedd. Denne delen av tilsynsmodulen for apper til bruk i mobile enheter er ment å besvares av de ansvarlige for utvikling og drift av løsningen. Distribusjon og personalisering av appen 1. Hvordan distribueres appen ut til kundene? A) Innlogget i nettbanken B) I nettbanken ikke innlogget C) Google Apps / Android Market D) Annet 2. Blir kundene informert om hva som er godkjente nedlastingsplasser? 3. Knyttes en app-instans til en bestemt mobil? Hvordan skjer evt. dette? 4. Er det mulig for banken å slette appen til en bestemt kunde? 6 Finanstilsynet
Innlogging til appen og til banken 5. Kreves det passord for å åpne appen? 6. Kreves det to-faktor-autentisering med engangskode for pålogging til banken? 7. Lages engangskoden av mobilen? Hvis ja, blir kunden oppfordret til å sperre banken hvis mobilen er på avveie (på samme måte som kunden skal sperre banken hvis "brikken" er på avveie?) Hvis nei, hvordan har banken tenkt? 8. Lagres passord eller PIN i appen? Hvis ja, kommenter. Er det krypteringsfunksjon i appen? Programmering og signering av appen 9. Ligger Apple Secure Coding Guides 1, Android Developers Guide 2 Section Security and Permission, eller tilsvarende, til grunn for utviklingen? 10. Er OWASP Top 10 Mobile Risk 3 hensyntatt ved utviklingen av appen? 11. Er appen digitalt signert av banken? 12. Hvis ja på spm. 11, har banken lagt til rette for at kunden skal kontrollere bankens signatur? Hvordan? Transportsikkerhet 13. Er all nettverkskommunikasjon kryptert, typisk ved bruk av SSL/TLS? 14. Gjelder dette også for linker som kunden kan benytte inne i appen? 15. Hvis ja på spm. 13, har banken lagt til rette for at kunden skal kontrollere serversertifikatet? 1 https://developer.apple.com/library/ios/documentation/security/conceptual/securecodingguide/securecodingg uide.pdf 2 https://developer.android.com/guide/index.html 3 https://www.owasp.org/index.php/owasp_mobile_security_project#tab=top_10_mobile_risks Finanstilsynet 7
Hvordan er dette lagt til rette? 16. Er det kryptering på applikasjonsnivå? Kommentér (Hva sier foretakets risikoanalyse på dette punkt?) 17. Hvis nei på spm. 16, hvordan oppnås ende-til-ende sikkerhet? Infiserte og "sprengte" telefoner 18. erer appen hver gang om mobilen er infisert eller på annen måte utrygg før den gir kunden tilgang til banken? 19. Tillates det at applikasjonen kjører på "rootede/jailbreakede" enheter? Hvis nei, hvordan hindres dette? 20. Benyttes all sikkerhet som Sandbox kan gi? Kommenter? Logging/oppbevaring av informasjon 21. Lagrer appen sensitiv informasjon i logger utenfor Sandbox 4. (Da er det en risiko for at de leses av fremmede apper) 22. Lagres personlig/sensitiv informasjon lokalt i applikasjonen? Hvis ja, kommentér. Blir dataene kryptert? 23. Hvis ja på spm. 16, hva er motivet for lagringen? Er det for eksempel kontekstinformasjon som lagres i sikkerhetsøyemed, som lokasjonsdata, antall feilede forsøk på å åpne appen, forsøk på å endre appen e.l.? 24. Dersom appen behandler persondata, er det (kfr. POL 5 ) klargjort: hvem som er ansvarlig for appen? hensikten med behandlingen? hvilke data som behandles? om data videresendes og evt. til hvem? om data videreselges og evt. til hvem? hvordan data slettes? 4 http://fixmo.com/blog/2012/05/11/mobile-device-sandboxing-101 5 Personopplysningsloven 8 Finanstilsynet
hvilke sikkerhetselementer som inngår? hvilke rettigheter kunden har og hvordan disse skal utøves? hvilken jurisdiksjon som gjelder for behandlingen? 25. Blir informasjonen i 24 presentert for kunden før nedlasting? Overvåking 26. Lager banken en kundeprofil basert på kontekstinformasjon (bruksmønster: # innlogginger pr. uke/mnd., transaksjoner, varighet, lokasjon) som gjør at banken kjenner igjen den rette kunden, og kan eventuelt avsløre angripere og stenge disse ute før misbruk finner sted? 27. Benytter banken tredjeparts overvåking eller tilsvarende, eks. Threatmetrix 6? Oppdatering av appen 28. Applikasjoner kan ha sikkerhetshull som kan utgjøre risiko for tjenesten. Derfor er det viktig å få oppdatert klienten. Hvordan verifiseres det at kundene bruker siste versjon av applikasjonen? 6 http://www.threatmetrix.com/ Finanstilsynet 9
10 Finanstilsynet
FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo POST@FINANSTILSYNET.NO WWW.FINANSTILSYNET.NO