16, oktober 2018
Varför det är affärskritiskt för banker och fintechbolag att säkra sin varumärkesidentitet online
Förtroende är som bekant en oerhört viktig aspekt inom varumärkesbyggande i allmänhet, men i synnerhet inom bank – och fintechsektorn.
Förtroendet att få hantera något så känsligt som pengar och/eller ekonomisk information är inte något man bör tas med lätthet på. Ju känsligare en tjänst är, desto viktigare blir givetvis synen på säkerhet vad gäller förtroendet för varumärket hos den aktör man har eller överväger att använda. Därför har vi på Abion valt att ta fram en indikativ undersökning på hur svenska aktörer inom bank- och fintechsektorn jobbar med just detta.
Banker och fintechbolag bör vid det här laget vara medvetna om de potentiellt affärskritiska konsekvenser som bristande säkerhet kan leda till, för siffrorna talar nämligen sitt tydliga språk. Förra året släppte Cap Gemini en global rapport kring sambandet mellan datasäkerhet och förtroende för varumärket. I den konstaterades det att 74% av alla konsumenter skulle byta bank eller försäkringsbyrå i händelse av ett dataintrång.
Även på den svenska marknaden ser vi samma mönster. Enligt en färsk rapport från Ipsos skulle nästan 2 av 3 svenskar överväga att byta bank efter en allvarlig säkerhetsincident. I den för banksektorn så viktiga åldersgruppen 18-29, där många gör det bankval man sedan tenderar att vara trogen, uppger hela 72% att de skulle överväga att byta bank i händelse av en allvarlig säkerhetsincident. Men den kanske mest häpnadsväckande siffran av alla är vad svenska konsumenter skulle göra om det uppdagas att ens bank läckt eller missbrukat personuppgifter. Här svarar hela 98% av svenskarna att de skulle överväga att byta bank.
Helt klart är att högt förtroende är av yttersta vikt för aktörer inom bank- och fintechsektorn.
Vikten av att skydda sin digitala varumärkesidentitet
Banker och fintechbolag har länge varit bland de mest utsatta vad gäller dataintrång och bedrägligt beteende av olika slag. Konsekvenserna av detta är skadliga mot både konsument och leverantör. Som konsument riskerar man allt från att bli utsatt för finansiellt bedrägeri till identitetsstöld. Om det å andra sidan uppdagats att man som leverantör av finansiella tjänster inte gjort allt i sin makt (och gärna lite till) för att förhindra all typ av bedrägligt beteende i sitt varumärkes namn kan konsekvenserna för varumärket bli katastrofala.
Vår undersökning
I vår undersökning har vi valt att fokusera på två primära aspekter som vi anser direkt kopplade till förtroendet för banker och fintechbolag, och som ifall de missköts kan ha direkt skadlig effekt på förtroendet.
Som bekant är epostbedrägerier ett av de vanligaste sätten att vilseleda kunder till banker och fintechbolag. Det finns olika typer av epostbedrägerier, allt från att ange en banks namn som avsändare medan man använder en valfri mailadress, använda ett felstavat domännamn till den kanske mest vilseledande (och därför mest skadliga) metoden att utnyttja det faktum att epostsystemet i grund och botten saknar autentiseringsmekanismer för att säkerställa att en angiven avsändare av ett epostmeddelande är faktiska avsändaren.
Det första vi valt att titta på är det som kallas DMARC. DMARC är i korthet ett protokoll för autentisering och rapportering kring epost som i kombination med ett antal andra säkerhetsmekanismer kan minimera risken att ens varumärke missbrukas genom illegitima utskick. DMARC är inte på något sätt en ”quick fix” för att säkerställa ens digitala varumärkesidentitet, men i vår erfarenhet ger användandet av DMARC en väldigt bra indikation på om en viss organisation tar sin digitala varumärkesidentitet på allvar.
Det andra vi valt att titta på är användandet av SSL/HTTPS på dessa företags externa webbar. Att idag, oktober 2018, ha ett SSL-certifikat på en externwebb i allmänhet, och en banks externwebb i synnerhet, kan tyckas vara en självklarhet. För mer om hur undersökningen gått till och vilka verktyg som använts, se Metod nedan.
Resultatet av vår undersökning och kommentarer
I vår undersökning har vi valt att titta på tio av de enligt oss största/mest välkända svenska bankerna samt tio omtalade fintechbolag på den svenska marknaden. Undersökningen har fokuserat på på HTTPS (eller förekomsten av SSL-certifikat) och DMARC.
HTTPS/SSL
Länge var HTTPS-protokollet (som ett SSL-certifikat möjliggör/validerar) enbart använt av webbplatser som hanterade finansiella transaktioner och/eller inloggningsuppgifter. För dessa funktioner behövdes ett sätt att kryptera informationen mellan kunden och banken ifråga så ingen kunde snappa upp informationen på vägen. Därför har bankers hemsidor har länge varit det som använts för att exemplifiera vad ett SSL-certifikat är. Det tydligaste exemplet har varit att det står https istället för http, hänglås-ikonen innan adressen och det gröna adressfältet (som det s.k. EV-certifikatet med den högsta valideringen möjliggör).
På senare år har HTTPS gått från att vara ett undantag till en regel, inte minst efter att Google 2014 meddelade att HTTPS kommer vara av betydelse för bolags ranking i sökmotorresultatet.
Därför är det kanske inte så konstigt att följande resultat kan redovisas från undersökning:
Något annat än detta resultat skulle vara mycket anmärkningsvärt. Vidare, i dagens läge skulle något annat resultat än detta även vara anmärkningsvärt om undersökningen gjordes inom en annan bransch än just bank- och fintechsektorn.
DMARC
Ser man på användandet av DMARC är det en helt annan historia:
DMARC, och med det den övergripande synen på e-postsäkerhet, har i Sverige inte alls nått den mognadsgrad som HTTPS/SSL har. På vissa sätt är detta förklarligt i det att det är ett relativt nytt fenomen.
En intressant upptäckt under undersökningen var att 10% av de organisationer vi tittade på hade inkluderat för många ”lookups” i sitt SPF (den funktion som ska syfta till att hindra illegitima användare att maila från en domän). Resultatet av detta är att funktionen inte fungerar alls och troligen är flera av dessa organisationer invaggade i en falsk trygghet om att deras digitala varumärkesidentitet är säkrad. Inga av dessa fall hade heller DMARC implementerat, vilket under de rådande omständigheterna hade varit att rekommendera då eventuellt missbruk av företagets digitala identitet skulle kunna detekteras och ageras på.
Digital skyddsstrategi för bank- och fintechsektorn
Hur ser då en holistisk skyddsstrategi ut för bank- och fintechsektorn. Ett första steg är att skydda de digitala tillgångar som bolaget äger. Detta innefattar domännamn, webbsidor, email och sociala mediekonton.
Tittar vi närmare av trafikkällorna till de granskade bolagens huvudsiter så är den ledande trafikkällan fortfarande direkttrafik, därefter kommer trafik genererat genom sökordsmarknadsföring, följt av trafik länkad från andra webbplatser.
Tittar vi på skillnader mellan sektorerna så driver fintechsektorn betydligt mycket mer trafik genom sök. Det är troligen ett tecken på att dessa nya och mer digitala varumärken är mindre kända och därför behöver synas bredare i digitala kanaler för att attrahera nya kunder. Det är även betydligt vanligare att fintechbolag driver trafik genom sociala medier och mail, något som skulle kunna tyda på att en bredare användning av digitala kanaler inom fintech.
En digital skyddsstrategi bör innefatta övervakning och åtgärder i de digitala kanaler där kunderna når ens site. Allt för att stärka kundupplevelsen och varumärket.
Utanför kundernas webbsiter finns det även framstående digitala ekosystem som inte nödvändigtvis länkar tillbaka till företagets webbplats, exempelvis direkt kommunikation och interaktion med kunder via appar och sociala medier. Även om dessa kanaler i dagsläget inte genererar signifikant trafik tillbaka till huvudsidan vet vi att de generar ett direkt möte med kunden.
Det är därför avgörande att skydda det digitala varumärket i de här kanalerna.
En heltäckande strategi för bank- och fintechsektorn kan sammanfattas på följande vis:
- Säkerställ en säker användning av samtliga digitala tillgångar ni äger och kontrollerar (domännamn, webbplatser, email och sociala mediekonton).
- Bevaka och motverka risker i de digitala kanaler där ni möter era kunder.
- Lägg särskilt fokus på nya digitala ekosystem som sociala medier och appar. Det är särskilt viktigt att stärka varumärket och kundupplevelsen i de här snabbväxande digitala kanalerna.
Källor:
Appendix 1 – Metod
I vår undersökning har vi valt att titta på tio av de enligt oss största/mest välkända svenska bankerna samt tio omtalade fintechbolag på den svenska marknaden. Undersökningen har gått till så att vi analyserat dessa organisationers externa webbar, mer specifikt status på HTTPS och DMARC, med verktyget hardenize.com, samt de tre vanligaste trafikkällorna med verktyget similarweb.com.
Resultatet av denna undersökning är endast att betrakta som en indikation på ett övergripande säkerhetsläge på marknaden och inte som en fullständig analys. Abion AB kan inte lämna några garantier för att resultatet är helt korrekt då informationen hämtas från system som ligger utanför Abions förvaltning, varför inga affärsbeslut bör tas baserat endast på denna granskning.