银行捍卫他们的安全权利,却忽视了消费者的信任问题
Banks defend their security rights but overlook consumer trust issues.
随着市场数据显示网络安全攻击的数量和复杂性正在增加,企业寻求更好地保护其资产也就不足为奇了。特别是银行,由于他们有更多可失去的东西,他们希望有更大的防线。
然而,加强的防御措施不可避免地意味着合法用户必须更深入地获取服务。结果就是关于在安全性和可用性之间寻找合适平衡的长期辩论。
另外:4种避免点击恶意链接的方法,每个上网用户都应该知道
似乎新加坡的一家银行在引入一个安全功能后需要解决这种平衡。OCBC上周推出了一项功能,如果在用户设备上检测到从非官方应用商店(如Google Play Store和华为应用商店)下载的移动应用程序,将封锁对其数字银行服务的访问。
该银行表示,为了保护客户免受恶意软件的侵害,这一“增强”功能使其应用程序能够识别用户设备上的错误应用程序。该安全功能还根据银行认为存在潜在风险或被恶意软件应用程序普遍使用的应用程序的权限设置进行检查。
另外:该银行的新应用安全功能惹恼了客户
当检测到不符合这两个标准的应用程序时,客户将无法通过OCBC的移动应用程序或在线银行网站登录其帐户,直到卸载或删除这些“不良”应用程序为止。
这种高级别的安全性听起来很不错,直到抱怨开始出现。客户发现自己被锁定,即使被银行的新安全功能标记的应用程序实际上是从官方应用商店下载的。这些应用程序包括Microsoft Authenticator、LG ThinQ、CCleaner和Trend Micro。即使是客户自己的手机杀毒应用程序认可的应用程序,也被OCBC的安全功能标记为有风险。
受影响的客户表示,银行建议的从官方应用商店删除和重新安装特定应用程序的解决方案并没有起作用。
对于大多数情况,OCBC的回应是标准的:这项新的安全功能是为了打击欺诈行为,以及“保护我们的客户”免受疑似恶意应用程序的侵害。在其Facebook页面上多次向愤怒的客户道歉,并表示“对由此带来的任何不便,我们深感抱歉”。“我们恳请您的耐心,因为这个功能旨在保护客户免受恶意软件欺骗。”
另外:最佳的VPN服务(以及如何选择适合您的服务)
这种情况看起来像是安全性胜过可用性的情况。我松了一口气,读到了那些受到OCBC客户抱怨的轶事,因为我选择了与另一家公司开展银行业务。但是,随后,新加坡金融管理局(MAS)站出来支持该银行的安全功能。
MAS表示:“安全措施会给客户带来一定程度的额外不便,但这是为了维护数字银行的安全性和信心而必要的。”“加上警觉和明辨力强的公众,强大的安全措施将有助于加强我们对欺诈行为的防御。”
鉴于监管机构的助威作用,我现在预计,包括我所在的另外两家主要本地银行,将在不久的将来效仿并推出类似的安全“增强”功能。
也许OCBC正在为去年的网络钓鱼诈骗事件买单,或者可能是它在石头、剪刀、布游戏中输掉了一场比赛,并被选为首家推出这一安全功能的银行,从而不得不承受客户的愤怒?
另外:如何保护和确保您的密码管理器的安全性
无论是哪种情况,OCBC的混乱推出令人不满,并引发了整个行业,包括监管机构,需要共同解决的问题。
消费者的信任和共同责任
首先,让我们明确一件事。这不仅仅是一个隐私问题,而是用户信任的问题。当事情不能按照应有的方式工作时,信任会被侵蚀。
只使用官方应用商店中的应用程序,您就没问题,OCBC向客户保证。但是,这种做法事实证明是有问题的。
另外:高度安全的远程工作者的8个习惯
“哦,那么您的应用程序的权限设置就是问题所在”,客户被告知。然而,该银行对于这些权限设置的详细信息保持沉默,可能是为了不让坏人知道如何绕过这些标志。
更一般地说,缺乏信息和透明度意味着用户不知道这些应用程序到底有什么问题——这些应用程序是他们从官方商店下载的,并且是由合法公司开发的。这是否意味着OCBC认为微软、LG和趋势科技等公司发布的应用程序存在安全风险?
如果不是这种情况,那么是不是意味着一个大型银行的安全“增强”错误地识别了应用程序?这个安全增强应该在发布给公众之前经过严格的检查和测试吗?
因此,消费者应该对一个无法正确区分合法应用程序和真正存在风险的应用程序的安全功能抱有多少信任呢?
另外:这些专家正在竞相保护人工智能免受黑客攻击
更糟糕的是,用户被告知他们对于如何操作他们的设备的决定是无效的。换句话说,这个安全增强意味着“删除您的不良应用程序,否则您将无法使用我们的应用程序”。
那么,当企业覆盖了客户对于如何保护他们的设备的决定时,当发生违规事件时,他们是否完全应承担责任?我认为这可能是应该的,因为如果客户希望继续访问他们的银行账户,他们对于可以在手机上使用的应用程序(包括防病毒工具)几乎没有发言权。
最近,我与一些业内人士进行了类似的讨论,在讨论中我提到了关于应用程序权限的个人烦恼,以及组织解释为什么他们需要访问与其服务无关的功能的能力的无能或不愿意。
然后有人向我建议,缺乏透明度可能会因为这些企业本身不会开发可能会给客户带来风险的应用程序而得到缓解,因此损害了他们自己的品牌声誉。
我认为这种立场不应使客户免除对于自己的安全姿态负责。事实上,新加坡政府一再强调消费者需承担共同责任来保护他们的网络卫生。
“打击诈骗活动需要生态系统的参与,各利益相关方都应该在保持警惕和防范诈骗方面发挥自己的作用,”金融管理局表示。该监管机构正在制定一个责任框架,明确金融机构、电信运营商和客户在防范网络诈骗方面的角色和责任。
另外:5个简单步骤,保护您的智能手机免受黑客攻击
如果要求消费者承担责任和义务来保护他们的在线卫生,他们是否应该有权自行决定如何最好地保护自己?
而且,消费者与其进行交易的组织如何保护其服务的方式是否应该更具透明度和获取信息的途径?
出于对他们的客户(和我的心理健康)的考虑,我希望其他计划效仿OCBC的其他银行已经在做笔记并努力确保避免类似的混乱。
例如,OCBC是否可以通过为客户提供一个个人的“白名单”来减轻一些问题?在这个白名单中,客户可以包含最初被银行的安全功能标记的应用程序。这些应用程序可以根据安全策略进行检查和评估,并在被确认为安全之后才添加到白名单中。
银行可以对白名单设置一个上限,比如三个应用程序,这样客户会更有动力优先考虑那些绝对必要的应用程序,而银行也可以管理所需的资源。他们还可以使用人工智能工具来自动化一些流程并优化应用程序评估周期,以及维护一个已批准应用程序的存储库,进一步减少维护白名单所需的工作量。
如果他们还没有这样做,银行应与主要应用程序开发商,包括防病毒软件供应商,对于他们的权限设置是否能够通过他们的安全检查表进行沟通。这是基于他们选择不透露他们认为有风险的应用程序权限的具体细节的假设。
此外: 停止在公共场合使用您的4位数iPhone密码。请改用以下方法
最重要的是,所有银行都需要问自己一个关键问题,即在安全漏洞发生时,是否准备承担全部责任,是否选择覆盖客户的安全选择。
