S T U D I A N A D B E Z P I E C Z E Ń S T W E M

NR 2	ss. 143–162	ROK 2017

ISSN 2543–7321

Mariusz Terebecki

Akademia Pomorska Słupsk mariusz.terebecki@apsl.edu.pl

Marcin Olkiewicz

Politechnika Koszalińska Koszalin marcin.olkiewicz@tu.koszalin.pl

JAKOŚĆ ZABEZPIECZEŃ INFORMACJI DETERMINANTĄ

ROZWOJU BANKOWOŚCI INTERNETOWEJ

QUALITY OF INFORMATION SECURITY FOR DETERMINANTS

DEVELOPMENT OF INTERNET BANKING

Zarys treści: W warunkach szybko zmieniającego się otoczenia banki poszukują nowych sposobów na uzyskanie przewagi konkurencyjnej na rynku. Znaczącą determinantą kreu- jącą zmiany jest jakość, a w szczególności jakość bezpieczeństwa informacji. To właśnie między innymi ona zmusza banki do ponoszenia nakładów na dostosowanie systemów informatycznych do oczekiwań międzynarodowych i światowych rynków finansowych oraz interesariuszy. Współczesny, wymagający interesariusz coraz częściej domaga się usług o wysokim standardzie, często dostarczanych za pomocą nowych technologii. Dla- tego banki podejmują strategiczne działania mające na celu dostosowanie swoich pro- duktów, usług do wymagań i oczekiwań interesariuszy a jednocześnie, poprzez wdraża- ne innowacje, generowanie nowych potrzeb. Należy jednak pamiętać, że wszystkie działania bankowe muszą gwarantować interesariuszom banku bezpieczeństwo informa- cji. Celem pracy jest ukazanie, jakie aspekty zabezpieczeń, które pośrednio wpływają na jakość oferowanej usługi bankowej, są kluczowe w bankowości elektronicznej. W publi- kacji zostaną przeanalizowane certyfikaty i zabezpieczenia, które są wykorzystywane w chwili kontaktu klienta z badanym bankiem poprzez platformę internetową. Do celów badawczych wykorzystano raporty PRNews.pl o stanie bankowości w Polsce w IV kwartale 2016 r.

Słowa kluczowe: zabezpieczenia, jakość, bankowość internetowa, bank

Key words: security, quality, online banking, bank

144	Mariusz Terebecki, Marcin Olkiewicz

Wprowadzenie

Jakość obsługi klienta jest jednym z ważniejszych elementów kreowania prze- wagi konkurencyjnej przedsiębiorstwa. Widoczne jest to również w bankowości, a szczególnie w bankowości elektronicznej. Bankowość elektroniczna, jako innowa- cyjność procesu świadczenia usług, w obecnych czasach stała się standardem w bankowości, tworząc wartość dodaną dla poszczególnych banków oraz ich klien- tów. Brak bezpośredniego kontaktu z pracownikami banku sprawia, że istotna jest jakość oferowanej elektronicznie usługi, która w odpowiedni sposób musi przeka- zywać, przetwarzać i generować informacje, poprzez odpowiednie zabezpieczenia gwarantujące i kreujące odpowiednią relację banku z klientem.

Należy zatem uznać, że jakość oferowanych produktów, asortyment oraz dostęp- ność stały się determinantami rozwoju banków w Polsce. Dowodzą tego ostatnie trzy raporty opublikowane przez PRNews.pl pod koniec marca 2017 r., które pod- sumowują IV kwartał 2016 r. w obszarach: liczby klientów w bankach1, rynku kont osobistych2 oraz bankowości internetowej3. Przedstawione dane wyraźnie wskazują, iż liczba klientów z dostępem do bankowości elektronicznej sukcesywnie wzrasta i wynosi około 31 mln4. Widoczny trend wynikać może z odpowiedniego sposobu zarządzania bankami, w ramach odpowiednich systemów zarządzania, poprzez po- dejmowane i realizowane strategiczne działania ukierunkowane na jakość5. Odpo- wiednie i odpowiedzialne zarządzanie jakością, w ramach ciągłego doskonalenia, jest wynikiem rosnących oczekiwań i wymagań klientów, a także zagrożeń rynkowych widocznych w szczególności w sieci bankowości internetowej. Zaspokajanie po- trzeb oraz zwiększanie satysfakcji interesariuszy sektora bankowego wymaga wyso- kiej skuteczności banku m.in. z zakresu marketingu – oferowania nowych produk- tów, a także teleinformatyki – gwarantowania bezpiecznego sposobu dostarczania i zakupu usługi.

Celowe zatem staje się sprawdzenie wdrożonych przez poszczególne banki za- bezpieczeń dostępu do usług z rodziny e-bankingu. Ponadto przyjęta6 przez banki

———————

1Raport PRNews.pl: Liczba klientów w bankach – IV kw. 2016, http://prnews.pl/wiado

mosci/raport-prnewspl-liczba-klientow-w-bankach-iv-kw-2016-6554091.html (dostęp: 31.03. 2017).

2Raport PRNews.pl: Rynek kont osobistych – IV kw. 2016, http://prnews.pl/raporty/raport-

prnewspl-rynek-kont-osobistych-iv-kw-2016-6553975.html (dostęp: 31.03.2017).

3Raport PRNews.pl: Rynek bankowości internetowej – IV kw. 2016, http://prnews.pl/wiado

mosc/raport-prnewspl-rynek-bankowosci-internetowej-iv-kw-2016-6554056.html (dostęp: 31.03. 2017).

4Wartość ta nie może być bezpośrednio zestawiona z liczbą ludności w Polsce, wynika to z pro- stego faktu – istnieje na pewno spora grupa klientów, którzy są klientami równocześnie kilku banków.

5M. Olkiewicz, Zarządzanie jakością w sektorze bankowym w dobie wejścia do Unii Europejskiej, [w:] Rynki finansowe w przestrzeni elektronicznej, red. B. Świecka, Szczecin 2004.

6W dniu 8 stycznia 2013 r. Komisja Nadzoru Finansowego jednogłośnie przyjęła Rekomendację D dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska tele- informatycznego w bankach. KNF przewidywała, że zalecenia zostaną wprowadzone nie później niż do dnia 31 grudnia 2014 r.

146	Mariusz Terebecki, Marcin Olkiewicz

mości i bezpieczeństwo danych oraz środków klientów, jak również edukować klientów w zakresie zasad bezpiecznego korzystania z tych kanałów”11.

Należy również podkreślić, że w punkcie 16.4. wskazano, iż „dodatkowo, bank powinien zapewnić, że: sesje połączeniowe bankowości elektronicznej są szyfrowa- ne oraz prowadzone są dodatkowe mechanizmy, które w możliwie największym stopniu uodparniają te sesje na manipulacje”12.

Warto w tym momencie zaznaczyć, że w procesie odpowiedniego zarządzania jakością podejmowane są działania proinnowacyjne13, które pozwolą interesariu- szom korzystać z multikanałowości banków. Oznacza to, iż obecnie interesariusze banku korzystają z przeróżnych systemów operacyjnych, które w różnym stopniu obsługują standardy dotyczące używanych protokołów internetowych mających za zadanie zabezpieczyć kanał komunikacji elektronicznej pomiędzy klientem a serwe- rem. Jednocześnie wykorzystują różne urządzenia końcowe – nie są to tylko kompu- tery PC lub laptopy, ale także tablety, smartfony, iPady, czyli urządzenia mobilne.

Identyfikacja polskiego sektora bankowego

Sektor bankowy w Polsce jest jednym z najbardziej rozwijających się obszarów gospodarki. Wysoka jakość usług oferowanych przez banki wynikać może z reali- zowanych odpowiedzialnych strategii ukierunkowanych na wzrost efektywności i konkurencyjności. Zarządzanie jakością w bankach pozwoliło stworzyć standary- zację usług, które w znaczący sposób oddziaływały na optymalizację kosztów, a tak- że zmianę kreowania podejścia do interesariuszy i generowania innowacyjnych pro- duktów. Natomiast odpowiednie zarządzanie finansami banku ukierunkowane było na proces podejmowania decyzji finansowych i inwestycyjnych (pozyskiwania źró- deł finansowania działalności operacyjnej od interesariuszy), ich zagospodarowania tak, aby realizować cel strategiczny, jakim jest wzrost wartości banku przy określo- nym regulacjami nadzorczymi poziomie ryzyka14. Należy jednak pamiętać, że wszystkie podejmowane działania ukierunkowane są na kształtowanie odpowied- nich relacji i interakcji w ujęciu interesariusze – bank.

Obszerną analizę obszarów rozwoju bankowości przedstawiają Raporty PR- News.pl, w których poddana została ocenie działalność 19 banków działających na terenie Polski. Ze względu na tematykę publikacji, zwrócono szczególną uwagę w raportach na: liczbę klientów ogółem15, liczbę klientów indywidualnych16, liczbę

———————

11Tamże, s. 48–49.

12Tamże, s. 49.

13M. Olkiewicz, Knowledge management as a determinant of innovation in enterprises, [w:] Pro- ceedings of the 9th International Management Conference. Management and Innovation For Competitive Advantage, Bucharest 2015, s. 399–409.

14M. Capiga, Zarządzanie bankami, Warszawa 2010, s. 63.

15Każdy bank do struktury swoich klientów wlicza nie tylko osoby fizyczne, dla banku klientem są: korporacje, spółki, firmy, szkoły, gminy, miasta, stowarzyszenia, fundacje itp.

16Niektóre banki do klientów indywidualnych zaliczają także małe firmy, np. jednoosobowe dzia- łalności gospodarcze.

148	Mariusz Terebecki, Marcin Olkiewicz

klientów indywidualnych mających podpisaną umowę umożliwiającą korzystanie

zbankowości internetowej19, liczbę „klientów aktywnych”20 oraz liczbę prowadzo- nych przez banki ROR-ów. Mimo że nie wszystkie banki podały pełne informacje, to jednak nie zdecydowano się usunąć żadnej pozycji, gdyż uniemożliwiałoby to późniejsze porównanie otrzymanych wyników.

Wszystkie banki posiadają w swoich portfelach ogółem około 46 mln umów. Istotny dla prowadzonych rozważań jest fakt, iż aż około 30 mln z nich, to umowy umożliwiające korzystanie z bankowości elektronicznej. Również z 30 mln rachun- ków typu ROR około 14 mln ma aktywnych użytkowników bankowości elektro- nicznej. W celu lepszej prezentacji jakościowej i ilościowej wskazanych parametrów sporządzono tabelę 1.

Analiza danych w tabeli 1 pozwoliła na zidentyfikowanie, w każdej kategorii,

pierwszej piątki wiodących banków oraz wyliczenie procentowego udziału aktyw- nych klientów w stosunku do liczby ROR-ów21. Głównymi parametrami i wielko- ściami charakteryzującymi wielką piątkę są22:

liczba klientów ogółem – 60,45% (ok. 28 mln klientów);

liczba klientów indywidualnych – 59,33% (ok. 26 mln klientów);

liczba klientów indywidualnych mających podpisaną umowę umożliwiającą korzystanie z bankowości internetowej (nie tylko ROR) – 71,58% (ok. 22 mln klientów);

liczba klientów indywidualnych, którzy przynajmniej raz w miesiącu logują się do ROR za pomocą bankowości internetowej – 78,14% (ok. 11 mln klien- tów);

liczba ROR – 64,54% (ok. 20 mln rachunków typu ROR23);

średni procentowy udział klientów aktywnych w stosunku do liczby ROR-ów

– 55,70% (średnia wszystkich banków 49,37%).

Warto podkreślić, iż udział „wielkiej piątki”, w każdym przedstawionym aspek- cie przekracza 50% ogólnego portfela. Zatem zarządzanie bezpieczeństwem infor- macji ma istotne znaczenie dla rozwoju usług on-line.

Kanał informatyczny jako uwierzytelnienie relacji serwer – klient

Podczas korzystania z usług e-bankingu musi zajść zdarzenie polegające na tym, że dwie strony (serwer i klient), które zamierzają się skomunikować ze sobą, są zo- bowiązane przeprowadzić „pewne” ustalenia dotyczące kanału komunikacyjnego. Podczas tego procesu dochodzi do wymiany określonych komunikatów (nazwanych standardem komunikacyjnym), w których między innymi określana jest wersja pro-

———————

19Liczba umów nie dotyczy tylko i wyłącznie rachunków ROR.

20ROR – rachunek oszczędnościowo-rozliczeniowy.

21Niektóre banki umożliwiają aktywowanie dostępu do bankowości internetowej bez zakładania rachunku.

22Wielka piątka: PKO BP i Inteligo, Bank Pekao SA, mBank i Orange Finanse, BZ WBK, ING Bank Śląski.

23Klienci indywidualni – jedynie konta złotowe, bez rachunków oszczędnościowych.

150	Mariusz Terebecki, Marcin Olkiewicz

Rys. 2. Uwierzytelnienie dwukierunkowe – uwierzytelnienie klienta

Fig. 2. Two-way authentication - client authentication

Źródło: Opracowanie własne, na podstawie https://pl.wikipedia.org/wiki/Transport_Layer_Security.

Jak można zauważyć analizując powyższe schematy, proces uzgadniania odpo- wiednich poziomów bezpieczeństwa jest procesem długotrwałym oraz dodatkowo wymaga skomplikowanych obliczeń. Aby podczas przerwania kanału komunikacyj- nego lub w przypadkach krótkich połączeń nie dochodziło do sytuacji ponownego zestawiania odpowiednich parametrów komunikacyjnych, istnieje możliwość kon- tynuowania wcześniej rozpoczętej sesji (klient musi wysłać odpowiedni komunikat

ClientHello zawierający parametr SessionId).

Oczywiście długość pamiętania poprzedniej sesji jest nadzorowana przez serwer i w przypadku jej minięcia klient mimo wysłania identyfikatora równego parame- trowi SessionId nie będzie mógł jej kontynuować ze względu na jej przeterminowa- nie (wygaśnięcie).

Warto zaznaczyć, że gdyby nawet pominąć skomplikowanie ustalenia parame- trów kanału komunikacyjnego na drodze klient – serwer, to i tak nie można zapo- mnieć o tym, iż obecne bezpieczeństwo kanału komunikacyjnego, bez względu na rodzaj użytego szyfrowania, opiera się na krytycznym parametrze określającym siłę szyfrowania, czyli długości klucza. Im dłuższy klucz, tym trudniej go złamać, a przez to odszyfrować transmisję.

Określenie długości klucza jest wymogiem każdego banku, gdyż to właśnie on gwarantuje swemu klientowi bezpieczeństwo, gdyż przejęcie kanału komunikacyj- nego i jego odszyfrowanie pozwala stronie trzeciej na dowolną modyfikację przesy- łanych wiadomości przez ten kanał i np. dokonanie zmiany parametrów przelewu.

Analiza bezpieczeństwa użytej metody szyfrowania – przegląd zabezpieczeń

Klienci bankowi edukowani są, iż powinni zwracać uwagę na fakt występowania „zielonej kłódki” na pasku przeglądarki, gdyż taki stan świadczy o zabezpieczonym połączeniu. Dodatkowo wszystkie połączenia z usługami e-bankingu powinny być

152	Mariusz Terebecki, Marcin Olkiewicz

poprzedzone przez adres internetowy zaczynający się od https://25. Cóż zatem kryje się za zieloną kłódką i protokołem https? Za pomocą zwykłego sprawdzenia bezpie- czeństwa danej witryny użytkownik może się przekonać o tożsamości witryny oraz zobaczyć dla kogo i przez kogo został wystawiony certyfikat bezpieczeństwa. Przy- kładowa informacja, jaka jest dostępna dla użytkownika z poziomu każdej przeglą- darki internetowej, przedstawiona została rysunkach 3 i 4. Rysunki przedstawiają in- formację na temat strony www firmy Qualys i jej produktu SSL Labs.

Warto zastanowić się, czy takie informacje wystarczają, aby stwierdzić, że dana witryna jest bezpieczna? W większości wypadków można odpowiedzieć twierdząco. Ale czy można zweryfikować tę jakość poprzez niezależne źródło? Oczywiście, że tak, gdyż w erze powszechnego dostępu do informacji i niezależnych usług nie sta- nowi to większego problemu.

Na potrzeby publikacji wszystkie testy26 zostały oparte na raportach generowa- nych przez specjalne ogólnodostępne narzędzie27 SSL Server Test28. Jednocześnie, aby ograniczyć ilość informacji przedstawionych w danym raporcie postanowiono, że pokazane zostanie tylko podsumowanie dla wielkiej piątki oraz odnośniki do ra- portów dla pozostałych banków.

PKO BP i INTELIGO

A. iPKO (https://www.pkobp.pl/)29

Główne dane:

Posiadany certyfikat: RSA 2048 bits (SHA256withRSA).

Wsparcie protokołów30: TLS 1.2 (Tak); TLS 1.1 (Tak); TLS 1.0 (Tak); SSL 3 (Nie), SSL 2 (Nie)

Algorytmy szyfrowania31 dla TLS 1.232:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,

———————

25HTTPS (ang. Hypertext Transfer Protocol Secure), to szyfrowana wersja protokołu HTTP w re- lacji serwer – klient/klient – serwer, szyfrowanie to zapobiega to przechwytywaniu i zmienianiu przesyłanych danych.

26Zabezpieczenia oceniane są za pomocą liter: A+, A, B, C, D, E, F; gdzie A+ ocena najwyższa, zaś F ocena najniższa.

27Narzędzie te jest dostępne na stronach https://www.ssllabs.com/ (dostęp: 31.03.2017).

28Metodologia wykorzystywana podczas rankingu serwisów https://github.com/ssllabs/research/ wiki/SSL-Server-Rating-Guide (dostęp: 31.03.2017).

29https://www.ssllabs.com/ssltest/analyze.html?d=www.ipko.pl (dostęp: 31.03.2017).

30Kwestia istotna ze względu na używanie danego systemu i agenta (przeglądarki internetowej, dedykowanego oprogramowania) w realizowaniu połączenia serwer – klient – nie każdy agent potrafi nawiązać połączenia, wykorzystując najlepszy/najbezpieczniejszy protokół.

31Tylko dla najwyższego protokołu, reszta informacji dla innych protokołów dostępna w pełnym raporcie.

32Algorytmy opisane zostały w dokumencie referencyjnym RFC5289, https://www.ietf.org/ rfc/rfc5289.txt (dostęp: 31.03.2017).

158	Mariusz Terebecki, Marcin Olkiewicz

Algorytmy szyfrowania dla TLS 1.2:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA.

Nieudana symulacja połączenia: IE 6 / XP.

POZOSTAŁE BANKI

Analiza pozostałych banków pozwoliła zidentyfikować i ocenić na:

Alior Bank (https://aliorbank.pl/hades/)39 – ocena ogólna40 A;

Bank BGŻ BNP Paribas i BGŻOptima (https://login.bgzbnpparibas.pl/)41 – ocena ogólna A;

Credit Agricole Bank Polska (https://e-bank.credit-agricole.pl/)42 – ocena ogólna C;

Bank Millennium (https://www.bankmillennium.pl/)43 – ocena ogólna A+;

Getin Noble Bank (https://secure.getinbank.pl)44 – ocena ogólna A+;

Eurobank (https://online.eurobank.pl/)45 – ocena ogólna A+ z perspektywą obniżenia oceny do poziomu C;

Bank Pocztowy (https://www.pocztowy24.pl/)46 – ocena ogólna A;

Raiffeisen Polbank (https://moj.raiffeisenpolbank.com/)47 – ocena ogólna A48;

Citi Handlowy (https://www.online.citibank.pl/)49 – ocena ogólna A;

T-Mobile Usługi Bankowe (https://online.t-mobilebankowe.pl/)50 – ocena ogólna A;

Deutsche Bank (https://dbeasynet.deutschebank.pl/)51 – ocena ogólna A;

Plus Bank (https://plusbank24.pl/)52 – ocena ogólna A;

———————

39https://www.ssllabs.com/ssltest/analyze.html?d=aliorbank.pl (dostęp: 31.03.2017).

40poziomu zabezpieczeń.

41https://www.ssllabs.com/ssltest/analyze.html?d=login.bgzbnpparibas.pl (dostęp: 31.03.2017).

42https://www.ssllabs.com/ssltest/analyze.html?d=e-bank.credit-agricole.pl (dostęp: 31.03.2017).

43https://www.ssllabs.com/ssltest/analyze.html?d=www.bankmillennium.pl (dostęp: 31.03.2017).

44https://www.ssllabs.com/ssltest/analyze.html?d=secure.getinbank.pl (dostęp: 31.03.2017).

45https://www.ssllabs.com/ssltest/analyze.html?d=online.eurobank.pl (dostęp: 31.03.2017).

46https://www.ssllabs.com/ssltest/analyze.html?d=www.pocztowy24.pl (dostęp: 31.03.2017).

47https://www.ssllabs.com/ssltest/analyze.html?d=moj.raiffeisenpolbank.com

(dostęp: 31.03.2017).

48Bank w raporcie ma wskazanie dotyczące zmiany funkcji skrótu do certyfikatu z SHA1 do SHA2. Na początku roku 2017 firma Google udostępniła dokumenty, z których jasno wynika, iż możliwe są udane, efektywne i praktyczne ataki na funkcję skrótu SHA1.

49https://www.ssllabs.com/ssltest/analyze.html?d=www.online.citibank.pl (dostęp: 31.03.2017).

50https://www.ssllabs.com/ssltest/analyze.html?d=online.t-mobilebankowe.pl

(dostęp: 31.03.2017).

51https://www.ssllabs.com/ssltest/analyze.html?d=dbeasynet.deutschebank.pl

(dostęp: 31.03.2017).

52https://www.ssllabs.com/ssltest/analyze.html?d=plusbank24.pl (dostęp: 31.03.2017).

160	Mariusz Terebecki, Marcin Olkiewicz

temie klasyfikacji60 oraz wspieraniem szyfrowania, które nie jest już uznawa- ne za bezpieczne61.

Należy zauważyć, że Getin Noble Bank jest najbardziej wymagający, jeżeli cho- dzi o dopuszczone systemy operacyjne.

Reasumując, zielona kłódka i zaufany certyfikat wcale nie oznaczają bezpiecz- nego kanału informacyjnego. Zbadany też został tylko jeden aspekt bezpieczeństwa

–obsługa protokołów szyfrujących po stronie serwera. Każdy kanał zaś ma dwie strony, co za tym idzie ta druga strona (klient) może mieć szereg innych mankamen- tów, które mogą obniżyć ogólne standardy bezpieczeństwa.

Bibliografia

Capiga M., Zarządzanie bankami, Warszawa 2010.

Olkiewicz M., Knowledge management as a determinant of innovation in enterprises, [w:] Proceedings of the 9th International Management Conference. Management and Innovation For Competitive Advantage, Bucharest 2015.

Olkiewicz M., Zarządzanie jakością w sektorze bankowym w dobie wejścia do Unii Eu- ropejskiej, [w:] Rynki finansowe w przestrzeni elektronicznej, red. B. Świecka, Szczecin 2004.

Wojciechowska-Filipek S., Zarządzanie jakością informacji w organizacjach zhierarchi- zowanych, Warszawa 2015.

http://prnews.pl/raporty/raport-prnewspl-rynek-bankowosci-internetowej-iii-kw-2016- 6553450.html (dostęp: 31.03.2017).

http://prnews.pl/raporty/raport-prnewspl-rynek-kont-osobistych-iv-kw-2016-6553975. html (dostęp: 31.03.2017).

http://prnews.pl/wiadomosc/raport-prnewspl-rynek-bankowosci-internetowej-iv-kw- 2016-6554056.html (dostęp: 31.03.2017).

http://prnews.pl/wiadomosci/raport-prnewspl-liczba-klientow-w-bankach-iv-kw-2016- 6554091.html (dostęp: 31.03.2017).

https://blog.qualys.com/ssllabs/2017/01/18/ssl-labs-grading-changes-january-2017 (do- stęp: 31.03.2017).

https://github.com/ssllabs/research/wiki/SSL-Server-Rating-Guide (dostęp: 31.03.2017).

https://www.ietf.org/rfc/rfc5289.txt (dostęp: 31.03.2017). https://www.knf.gov.pl/Images/Rekomendacja_D_8_01_13_uchwala_7_tcm75-

33016.pdf (dostęp: 22.02.2017). https://www.ssllabs.com/ (dostęp: 31.03.2017). https://www.ssllabs.com/ssltest/analyze.html?d=aliorbank.pl (dostęp: 31.03.2017). https://www.ssllabs.com/ssltest/analyze.html?d=bosbank24.pl (dostęp: 31.03.2017). https://www.ssllabs.com/ssltest/analyze.html?d=dbeasynet.deutschebank.pl

(dostęp: 31.03.2017).

———————

60https://blog. qualys. com/ssllabs/2017/01/18/ssl-labs-grading-changes-january-2017 (dostęp: 31.03.2017).

61Kara za użycie szyfrowania 3DES w połączeniu z protokołem TLS 1.1 lub nowszym.