Når virksomheder tilsidesætter en kundes sikkerhedsbeslutning, gør det dem så fuldt ud ansvarlige, når der opstår et brud? Det er et spørgsmål, som banker som dem i Singapore skal overveje, før de udruller deres næste sikkerhedsfunktion.
Med markedstal, der indikerer cybersikkerhedsangreb er stigende i volumen og sofistikeret, er det ikke overraskende, at virksomheder vil søge måder at bedre beskytte deres aktiver. Især banker ønsker større voldgrave, da de har mere at tabe.
Men befæstede forsvar betyder uundgåeligt, at legitime brugere bliver nødt til at grave dybere for at få adgang til tjenester. Resultatet er en flerårig debat om at finde den rette balance mellem sikkerhed og brugervenlighed.
Også:4 måder at undgå at klikke på ondsindede links, som alle online burde kende
Og det ser ud til, at en bank i Singapore måske bliver nødt til at løse denne balance, efter at den har introduceret en sikkerhedsfunktion, der efterlod flere af sine kunder frustrerede.
OCBC i sidste uge
udrullet en funktion, der spærrer adgangen til sine digitale banktjenester, hvis mobilapps, der ikke er blevet downloadet fra uofficielle app-butikker, såsom Google Play Store og Huawei AppGallery, registreres på brugerens enhed.Med henvisning til behovet for at beskytte kunder mod malware sagde banken, at denne "forbedring" gør det muligt for sin app at identificere fejlagtige apps på kundens enhed. Sikkerhedsfunktionen kontrollerer også tilladelsesindstillingerne for apps i forhold til, hvad banken vurderer at udgøre potentielle risici, eller som almindeligvis bruges af malware-baserede apps.
Også: Denne banks nye app-sikkerhedsfunktion irriterer kunderne
Når apps, der ikke opfylder begge kriterier, opdages, vil kunderne ikke kunne logge ind på deres konto via OCBCs mobilapp eller netbankside, indtil de afinstallerer eller fjerner de "slyngelske" apps.
Det her højt sikkerhedsniveau lød godt -- indtil klager begyndte at dukke op. Kunder blev låst ude, selvom apps, der blev markeret af bankens nye sikkerhedsfunktion, faktisk var blevet downloadet fra officielle app-butikker. Disse apps inkluderede Microsoft Authenticator, LG ThinQ, CCleaner og Trend Micro. Selv apps, der blev ryddet af kundernes egne antivirus-mobilapps, blev mærket som risikable af OCBC-sikkerhedsfunktionen.
Berørte kunder sagde, at bankens anbefalede løsning med at slette og geninstallere de specifikke apps fra officielle app-butikker ikke virkede.
I de fleste tilfælde var OCBC's svar standard - den nye sikkerhedsfunktion er en del af en indsats for at bekæmpe svindel og "beskytte vores kunder" mod mistænkte ondsindede apps. "Vi undskylder for ulejligheden," sagde det flere gange for at irritere kunderne på sin Facebook-side. "Vi beder om din tålmodighed, da denne funktion har til formål at beskytte kunder mod malware-svindel."
Også:De bedste VPN-tjenester (og tips til at vælge den rigtige for dig)
Denne situation virker som et tilfælde, hvor sikkerheden har overtrumfet brugervenligheden. Efter at have læst anekdoterne fra forurettede OCBC-kunder var jeg lettet over, at jeg havde valgt at banke hos et andet firma. Men så steg industriregulatoren Monetary Authority of Singapore (MAS) op for at give udtryk for sin støtte til bankens sikkerhedsfunktion.
"Sikkerhedsforanstaltninger vil komme med en vis grad af ekstra besvær for kunderne, men de er nødvendige for at opretholde sikkerheden og tilliden til digital bankvirksomhed," sagde MAS. "Sammen med en årvågen og kræsen offentlighed vil robuste sikkerhedsforanstaltninger hjælpe os med at styrke vores forsvar mod svindel."
I lyset af regulatorens cheerleading-rolle forventer jeg nu, at de resterende to store lokale banker, inklusive min, vil følge trop i den nærmeste fremtid og udrulle en lignende sikkerhed "forbedring".
Måske afsoner OCBC bod for at tage i centrum sidste års phishing-svindel, eller måske tabte den et spil sten, papir, saks og blev udvalgt til at være den første bank til at udrulle sikkerhedsfunktionen - og derfor måtte bære hovedparten af kundernes vrede?
Også:Sådan beskytter og sikrer du din adgangskodeadministrator
Uanset hvad, lader OCBC's forvirrede lancering meget tilbage at ønske og rejser spørgsmål, som hele industrien, inklusive dens regulator, bliver nødt til at løse i fællesskab.
Forbrugertillid og fælles ansvar
Først, lad os få en ting på det rene. Dette er ikke blot et spørgsmål om privatliv, men om brugertillid. Når tingene ikke fungerer som de skal, tilliden vil udhule.
Brug kun apps fra officielle app-butikker, og du er god, OCBC-kunder var sikret. Men den tilgang viste sig at være problematisk.
Også: 8 vaner hos yderst sikre fjernarbejdere
"Åh, så er din apps tilladelsesindstillinger problemet," fik kunderne at vide. Banken har dog været tilbageholdende med detaljerne om, hvad disse tilladelsesindstillinger er, formentlig så de slemme fyre ikke bliver tippet om, hvordan de kan omgå disse flag.
Mere generelt betyder manglen på information og gennemsigtighed, at brugerne undrer sig over, hvad der præcist er tilfældet forkert med apps - apps, som de havde downloadet fra officielle butikker, og som blev bygget af legitime virksomheder. Betyder det, at Microsoft, LG og Trend Micro frigiver apps, der indeholder sikkerhedsrisici, som OCBC vurderer?
Og hvis det ikke er tilfældet, betyder det så, at apps ved en fejl bliver identificeret af en større banks sikkerheds-"forbedring"? En sikkerhedsforbedring det skulle have været grundigt kontrolleret og testet og tjekket igen, før den udgives til offentligheden?
Hvor meget tillid skal forbrugerne derfor have til en sikkerhedsfunktion, der ikke er i stand til korrekt at skelne mellem legitime apps og dem, der indebærer faktiske risici?
Også: Disse eksperter ræser for at beskytte AI mod hackere
For at toppe det får brugerne at vide, at deres beslutninger om, hvordan de vil betjene deres enheder, er ugyldige. Med andre ord indebærer denne sikkerhedsforbedring 'fjern dine frække apps, ellers kan du ikke bruge vores'.
Så når virksomheder tilsidesætter en kundes beslutning om, hvordan de ønsker, at deres enheder skal sikres, gør det så dem fuldt ud ansvarlige, når der opstår et brud? Det mener jeg potentielt burde, da kunden ikke har meget at sige til de apps, inklusive antivirusværktøjer, som de kan have på deres telefon, hvis de ønsker at fortsætte med at få adgang til deres bankkonto.
Jeg havde for nylig en lignende samtale med nogle branchefolk, hvor jeg nævnte en personlig ærgrelse med hensyn til app tilladelser og organisationers manglende evne eller vilje til at forklare, hvorfor de har brug for adgang til funktioner, der er unødvendige for at lette deres tjenester.
Det blev derefter foreslået mig, at manglen på gennemsigtighed kunne blive stødt af forsikringen om, at disse virksomheder i deres egne interesser, ikke ønsker at udvikle en app, der sætter deres kunder i fare og dermed skade deres eget brands omdømme.
Jeg vil påstå, at denne holdning ikke bør fritage kunder fra at tage ansvar for deres egen sikkerhedsstilling.
Faktisk har Singapores regering, måske til glæde for virksomheder, gentagne gange understreget behovet for forbrugerne til at påtage sig et fælles ansvar i at sikre deres cyberhygiejne.
"Den igangværende kamp mod svindel kræver en økosystemtilgang, hvor alle interessenter spiller deres rolle i at forblive på vagt og beskytte sig mod svindel," havde MAS sagt. Regulatoren er arbejder på en ansvarsramme som det siger, vil gøre det klart, hvilke roller og ansvar finansielle institutioner, teleselskaber og kunder skal være på vagt over for online-svindel.
Også: 5 nemme trin til at beskytte din smartphone mod hackere
Hvis forbrugerne tvinges til at påtage sig ansvar og ansvar for deres online hygiejne, burde de så ikke have ret til at træffe deres egne beslutninger om, hvordan de bedst kan beskytte sig selv?
Og burde der ikke være mere gennemsigtighed og adgang til information om, hvordan de organisationer, forbrugerne handler med, sikrer deres tjenester?
Af hensyn til deres kunder (og min fornuft) håber jeg, at de andre banker, der er sat til at følge i OCBC's fodspor, har taget noter og arbejdet på at sikre, at de undgår en tilsvarende rodet udrulning.
Kunne OCBC for eksempel have afhjulpet nogle af problemerne ved at tilbyde kunderne en personlig 'hvidliste', som de kan inkludere apps, som oprindeligt blev markeret af bankens sikkerhedsfunktion? Disse apps kunne kontrolleres og vurderes i forhold til sikkerhedspolitikker og kun føjes til hvidlisten, efter at de er blevet fastslået, at de er sikre.
Banker kunne sætte et loft på f.eks. tre apps på hvidlisten, så kunderne er motiverede til at prioritere apps, der er absolut nødvendige, og bankerne kan administrere de nødvendige ressourcer til at facilitere dette nærme sig. Det kan de også bruge kunstig intelligens værktøjer at automatisere nogle processer og optimere appvurderingscyklussen, samt vedligeholde et lager af godkendte, hvilket yderligere reducerer den indsats, der kræves for at vedligeholde hvidlisten.
Og hvis de ikke allerede gør det, bør bankerne være i kontakt med store app-udviklere, herunder leverandører af antivirussoftware, om hvordan deres tilladelsesindstillinger kan eller måske ikke passerer deres sikkerhed tjekliste. Det forudsætter, at de også vælger ikke at afsløre detaljerne bag apptilladelser, som de anser for at være risikable.
Også:Stop med at bruge din 4-cifrede iPhone-adgangskode offentligt. Gør dette i stedet for
Frem for alt er det ene nøglespørgsmål, som alle banker ønsker at stille sig selv, om de er parate til at tage det fulde ansvar i tilfælde af et sikkerhedsbrud, hvis de vælger at tilsidesætte deres kunders sikkerhed valg.
Udvalgte
- Apple Mac Studio M2 Ultra anmeldelse: Dette er det nye flagskib Mac-skrivebord
- 4 ting Claude AI kan, som ChatGPT ikke kan
- Jeg tester hundredvis af smartwatches, men dette har været på mit håndled hele året
- De bedste elektriske skruetrækkere: Få lavet DIY- og reparationsopgaver på den halve tid