The main goal of this paper is to analyze the complex relationship of security and user experience with a focus on banking software and hardware. Instead of conventional research approaches this paper goes towards the establishment of a specific framework for reflection and decision-making when creating a banking software and hardware.

1. THE RELATIONSHIP BETWEEN SECURITY AND USER
EXPERIENCE
DEFINISANJE ODNOSA SIGURNOSTI I KORISNIČKOG ISKUSTVA
Jovan Šikanja, online fraud and security analyst1
Abstract: The main goal of this paper is to analyze the complex relationship of security and
user experience with a focus on banking software and hardware. Instead of conventional
research approaches this paper goes towards the establishment of a specific framework for
reflection and decision-making when creating a banking software and hardware.
Key words: security, user experience, banking software, banking hardware
Sadržaj: Cilj rada je analiza kompleksnog odnosa sigurnosti i korisničkog iskustva sa
akcentom na bankarskom softveru i hardveru. Poznata je činjenica da sigurnosne mere mogu
negativno uticati na korisničko iskustvo. Ipak, važna stavka, koja se često izostavlja, je to da
softver neprilagođen krajnjem korisniku, nezavisno od postojanja/nepostojanja sigurnosnih
mera, može negativno uticati na sigurnost. Rad je, umesto klasičnog istraživačkog pristupa,
okrenut ka uspostavljanju specifičnog okvira za razmišljanje i donošenje odluka pri kreiranju
bankarskog softvera i hardvera
Ključne reči: sigurnost, korisničko iskustvo, bankarski hardware, bankarski software
1. UVOD
U ovom radu analiziraćemo front-end delove bankarskih elektronskih sistema. Pre svega,
bavićemo se analizom e-bankinga ali delom i ATM i POS softvera. Tema koju ćemo obraditi
je odnos sigurnosnih mera na bankarskim sistemima sa jedne strane i njihov , kako će se
ispostaviti, dvojak uticaj na korisničko iskustvo (u daljem tekstu UX) sa druge strane.
Svesni smo potpuno opravdanog zahteva da sistemi koji se koriste u bilo kom obliku
elektronskog bankarstva moraju da zadovolje adekvatne sigurnosne zahteve, bilo da su oni
propisani određenim standardom ili predstavljaju primer dobre prakse. Ipak, zadovoljavanje
sigurnosnih zahteva može se postići na različite načine. Najjednostavnije rečeno – na dobar i
na loš način.
Rad je, umesto klasičnog istraživačkog pristupa, okrenut ka uspostavljanju specifičnog okvira
za razmišljanje i donošenje odluka pri kreiranju bankarskog softvera i hardvera. Akcenat je na
najboljem mogućem odnosu sigurnosti i korisničkog iskustva i približavanju proizvoda i
usluge win-win situaciji. Kao takav, može se shvatiti kao pilot rad na osnovu kojega se mogu
vršiti detaljnije u dublje analize.
2. ZNAČAJNI SPOREDNI FAKTORI U ODNOSU UX- a SIGURNOSTI
1
E-sigurnost.net, Limundo.com - jovan@e-sigurnost.net

2. Kada razmatramo odnos sigurnosti i UX-a moramo da pomenemo još dva važna faktora koja
neće direktno uticati na odnos sigurnosti i UX-a, ali će značajno uticati na finalni proizvod u
procesu konstrukcije jednog bankarskog sistema. U pitanju su utisak korisnika o sigurnosti i
cena samog proizvoda.
Utisak o sigurnosti sistema od strane korisnika je važan posredni faktor koji ima čisto
psihološki uticaj na korisnika. Jednostavno rečeno, sa strane korisnika koji nije ekspert jako je
važno da sam sistem izgleda sigurno i da se korisnik oseća sigurno dok ga koristi. Stavimo se
u poziciju nenaprednog korisnika koji je svoja primanja poverio banci. U ovom slučaju
postoji potreba da sistem spolja deluje kao sigurno rešenje. Sa druge strane, faktička sigurnost
u ovom slučaju igra sporednu ulogu, što će biti demonstrirano u primerima u ovom radu.
Drugačije rečeno, mi možemo korisniku obezbediti sistem neverovatno lak za korišćenje,
perfektno osiguran sa logovanjem bez lozinke i bez komplikovanih zaštita, međutim, ako
sistem spolja ne deluje korisniku kao nešto što je sigurno, to se može negativno odraziti na
prihvatanje proizvoda od strane korisnika. Sličan koncept, koji nije vezan direktno za
bankarski softver, izneo je Brus Šnajer u eseju "The Psyshology Of Security"[1]
3. KAKVIM SISTEMIMA TEŽIMO?
Imajući u vidu faktore objašnjene u prethodnom odeljku, možemo reći da težimo sigurnim
sistemima, koji korisniku izgledaju sigurno, laki su za korišćenje a ne koštaju mnogo.
Za postizanje rezultata imamo široku paletu sigurnosnih proizvoda, međutim zadovoljavanje
svakog faktora u optimalnoj meri može biti vrlo izazovno. Na primer, ukoliko zadovoljimo
potrebu korisnika da sistem koji koristi izlega sigurno, a pritom zanemarimo pravu sigurnost
dovešćemo korisnika u zabludu i izložiti ga riziku. Iako možda deluje jednostavno, i ovaj
odnos je višeslojan i komplikovan. Pokušaćemo da produbimo priču jednim praktičnim
primerom. Dva e-banking sistema koje koriste banke u Srbiji na login stranama, kao zaštitu
od keylogger-a imaju implementirane virutelne "in browser" tastature koje pozitivno utiču na
utisak korisnika o sigurnosti. Virtuelne tastature pružaju relativno dobru zaštitu od osnovnih
verzija keylogger programa. Međutim, suštinski, ukoliko je računar korisnika već zaražen
malverom doprinos sigurnosti virtuelne tastature može se dovesti u pitanje ili čak potupuno
anulirati.
4. UX I SIGURNOST: E-BANKING SISTEMI BANAKA U SRBIJI
Većina banaka koje posluju na teritoriji Srbije svojim klijentima pružaju e-banking usluge.
Rešenja koja se koriste na tim sistemima dosta su različita pa samim pregledom ovih sistema
možemo videti dosta različitih primena sigurnosnih mera. Takođe sami sistemi zasnovani su
na različitim tehnologijama od kojih svaka ima svoje prednosti i mane. Za potrebe ovog rada
analiziraćemo načine na koje su na e-banking sistemima rešene dvofaktorska autentifikacija.
4.1 UX i sigurnost na primeru dvofaktorske autentifikacije
1.1.2014. na snagu je stupila Odluka o minimalnim standardima upravljanja informacionim
sistemom finansijske institucije[2] koju je donela NBS.

3. Iako je ova odluka izazvala negodovanje korisnika potreba za dvofaktorskom autentifikacijom
pri korišćenju e-banking sistema je potpuno opravdana i neophodna.
Dvofaktorska autentifikacija zbog svoje prirode pokazala se kao idealan poligon za
razmatranje odnosa korisničkog iskustva i sigurnosti kao i rasplitanje njihovog dvojakog
odnosa.
Sigurna dvofaktorska autentificakcija treba da podrazumeva suštinsku odvojenost dva
faktora autentifikacije [3]. Jedino na taj način donosi adekvatnu zaštitu. Takav sistem
omogućen vam je na Twitter-u, Facebook-u i Google-u ali ne i uvek i online bankarstvu.
Pojasniću primerima šta želim da kažem. Da bi se neko ulogovao na vaš Google nalog koji je
zaštićen dvofaktorskom autentifikacijom mora da poseduje vaše korisničko ime i lozinku
(faktor 1), mora da ima pristup vašem telefonu na koji je Google poslao jednokratni kod za
logovanje (faktor 2). Ako ste bili meta phishing napada i ukradena vam je lozinka vaš nalog i
dalje ostaje siguran i nekompromitovan.
Vratimo se sada na online bankarstvo i eksperimentalnu situaciju gde haker kontroliše računar
korisnika pomoću nekog malicioznog RAT softvera. Namerno spominjem RAT jer ga za
napade mogu koristiti i tehnički nenapredna lica. Na primer, DarkComet RAT (slika 1) ima
vrlo jednostavan interfejs i vrlo lako se podešava. Potrebno je samo uz malo društvenog
inženjeringa naterati žrtvu da instalira softver. Tada napadač ima potpunu kontrolu nad vašim
računarom. Situacija je slična i kada napadač koristi sofisticiraniji malver.
slika 1: DarkComet RAT - izgled interfejsa

4. Uzmimo sada za primer dve banke koje posluju na teritoriji Srbije koje imaju
različite druge faktore u dvofaktorskoj autentifikaciji.
Banka 1 kao drugi faktor koristi sertifikat snimljen na mini CD-u. Sertifikat je vezan za
korisnikov nalog i nije moguće izvršiti plaćanje bez njegovog prisustva.
Banka 2 kao drugi faktor koristi običan SMS kod koji se šalje na mobilni telefon korisnika
koji je potreban da bi se izvršilo plaćanje. SMS kod je vezan za jedno specifično plaćanje.
Kako bi RAT napad koji smo osmislili uticao na korisnike Banke 1 i Banke 2?
Na prvi pogled možemo pomisliti se elektronski sertifikat odnosi pobedu nad SMS-om,
međutim ipak nije tako.
Zbog činjenice da sve više računara ne koristi CD rom u Banci 1 su dozvolili kopiranje
sertifikata na USB ili hard disk. Samim tim drugi faktor autentifikacije gotovo da gubi smisao
u ovakvim vrstama napada. Napadač bi vas posmatrao i gledao kako vršite prvo plaćanje (ili
bi pustio keylogger da odradi taj deo posla). Pošto vam se drugi autentifikacioni faktor nalazi
na samom računaru napadač ne bi imao prepreku da sam obavi transfer novca na bilo koji
račun.
Suštinska odvojenost dva faktora autentifikacije u ovom slučaju ne postoji i to je još jedan
ispit na kome pada ovo rešenje.
U identičnoj situaciji napadač bi samo mogao da posmatra korisnika Banke 2 kako vrši
novčane transakcije. Napadač sam ne bi mogao da izvrši nijednu transakciju jer nema u
posedu korisnikov telefon i ne može da dođe do SMS koda koji je potreban da bi se potvrdilo
plaćanje.
U ovom primeru vidljiva je razlika u sigurnosti. Uporedimo sada ova dva sistema sa
stanovišta korisničkog iskustva. Ovde lepo možemo videti kako komplikovaniji sistem
(sertifikat vezan sa vaš nalog vs. SMS kod) ne znači uvek više sigurnosti.
Zašto dolazi od ove razlike? Jednostavno, suštinska odvojenost dva faktora autentifikacije, u
najvećem broju situacija, zahtevaće od potencijalnog napadača da kompromituje dva
sistema što je moguće, ali mnogo manje verovatno i znatno teže.
Uvedimo sada u našu eksperimentalnu situaciju i Banku 3 koja kao drugi faktor koristi
token. Ovde značajnu ulogu igraju i dva sporedna faktora koja smo pomenuli u tački 2 –
utisak korisnika o sigurnosti i cena. Tokeni su skupo rešenje međutim snažno pozitivno utiču
na utisak korisnika o sigurnosti. Posedovanje “magičnog” uređaja za koji korisnik obično ne
zna na koji način funkcioniše pozitivno doprinosi generalnom utisku o sigurnosti.
Što se tiče suštinske sigurnosti i otpornosti ovakvog sistema na napade to zavisi od načina na
koji je implementiran. Da li se token koristi samo jednom prilikom prijave ili ističe za 30 ili
60 sekundi pa je za plaćanje potrebno generisati novi. Ipak, ranjivost token sistema na Man In
The Middle napade demonstrirana je više puta. U lošijoj implementaciji token sistema ponovo
nam nedostaje suštinska odvojenost dva faktora u dfovaktorskoj autentifikaciji.

5. Ukoliko sigurnost token sistema Banke 3 uporedimo sa sistemima koje koriste Banka 1 (CD
sertifikat) i Banka 2 (SMS verifikacija), grafički on će stajati negde između. U dobroj
implementaciji biće blizak sistemu koji koristi Banka 2).
Kako se token sistem odražava na UX? Ukoliko izjednačimo sigurnost SMS-a i tokena
postavlja se pitanje da li je opravdano da korisnik bude opterećen posedovanjem i nošenjem
još jednog uređaja? Čak i ukoliko token sistem shvatimo kao sigurniji sistem on sa sobom
vuče dosta troškova i administracije pa se postavlja pitanje finansijske opravdanosti za
korišćenje ovakvog sistema. Ovde uvodimo pojam optimalne sigurnosti.
4.2 Optimalna sigurnost
Ponovo se vraćamo na Odluku o minimalnim standardima upravljanja informacionim
sistemom finansijske institucije. O ovoj odluci definisan je pojam autentifikacije (slika 2).
Uspešnom dvofaktorskom autentifikacijom NBS smatra kombinovanje bilo koja dva faktora
iz ove definicije. Neke od mogućih kombinacija su: Lozinka-Token, LIB – Otisak prsta, LIB –
očna dužica, Lozinka – Rukopis i slično.
Sada se stavimo u položaj prosečnog korisnika e-banking sistema sa prosečnim primanjima
koji ovaj sistem koristi da bi plaćao račune i/ili kupovao online. Koji stepen zaštite bi bio
optimalan za ovakvog korisnika?
Da li je opravdano i potrebno koristiti biometrijske podatke u e-banking sistemu namenjenom
fizičkim licima? Uzmimo u obzir samo moguću štetu koja može da nastane kompromitacijom
korisničkog naloga sa jedne strance i troškova koje bi zahtevala implementacija jednog
ovakvog sistema. Ovakav sistem možemo odbaciti čak i bez uplitanja dodatnih faktora kao što
su izuzetno negativan uticaj na privatnost korisnika. Ugrožavanje privatnosti korisnika zarad
sigurnosti može imati i negativne posledice[4].
Drugi primer koji spominjemo je situacija da određeni e-banking sistemi u Srbiji imaju
ograničenja u smislu da korisnik nije u mogućnosti da izvrši isplatu na tekući račun koji se
već ne nalazi u bazi proverenih računa koju kreira banka. Da bi novac bio isplaćen ka takvom
računu potrebno je da korisnik ode lično u ekspozituru kako bi se račun pridodao bazi.
Zarad sigurnosti koja možda i nije potrebna u ovom stepenu uništava se prednost koju e-
banking ima nad klasičnim bankarstvom.
Slika 2: Definicija autentifikacije po NBS

6. Potrebno je da uvek imamo u vidu šta je to što štitimo i koji su rizici kompromitacije. Biznis
nalog velike kompanije svakako ne zahteva istu količinu zaštite kao nalog prosečnog
korisnika.
5. ATM SOFTWARE I HARDWARE
U svetlu prethodno iznesenih principa, vrlo kratko ćemo se pozabaviti sofverom i hardware-
om koji se koristi na ATM-ovima banaka u Srbiji. Videćemo kako pojmovi optimalne
sigurnosti, utiska korisnika o sigurnosti a i, naravno, odnosa UX-a i sigurnosti mogu da se
primene i na ovaj bankarski proizvod.
5.1 Hardverska skimming i snooping zaštita
Od nedavno se na bankomatima NCR-a pojavila hardveska zaštita od skimminga i snoopinga
prikazana na slici dole (slika 3)
Analizirajmo sada ovaj uređaj u svetlu prethodno iznetih principa:
Utisak korisnika o sigurnosti: Pozitivan.
Samo postojanje ovakvog uređaja kod korisnika budi pozitivan osećaj o sigurnosti samog
uređaja.
slika 3: Skimming zaštita

7. Uticaj na UX: Negativan
Sam uređaj blokira lagan pristup tastaturi a gornja maska iako providna previše je tamna da bi
se mogli lepo razaznati brojevi što sa sobom povlači potrebu za podizanjem poklopca.
Takođe, kao što se vidi na fotografiji delimično je blokiran i otvor za novac što doprinosi
negativnom UX-u.
Uticaj na sigurnost: Negativan/Neutralan/Pozitivan.
Što se tiče uticaja na suštinsku sigurnost doprinos ovog uređaja je nekonzistentan. Ova
barijera pozitivno će uticati na zaštitu od libanske klopke i "radoznalih posmatrača".
Sa druge strane njen pozitivan uticaj na zaštitu od skimminga može se dovesti u pitanje.
Svakako, uređaj će pružiti zaštitu od kamere koja je instalirana negde na kućištu ATM-a,
međutim sam uređaj i njegova konstrukcija olakšaće napadačima instalaciju kamere i/ili duple
tastature na način na koji će korisniku biti još teže da posumnja da nešto nije u redu.
5.2 Redosled koraka u sistemu
Pri samom procesu podizanja novca demonstriraćemo primer na koji način jedna mala UX
odluka može negativno uticati na sigurnost. Redosled koraka pri podizanju novca sa ATM-a
razlikuje se kod banaka u Srbiji. Nisu vršena detaljna ispitivanja ali su primećena dva različita
pristupa koja se koriste:
Banka 1: Ubaci karticu – Ukucaj PIN – Izaberi svotu i potvrdi – Uzmi karticu – Uzmi
novac
Banka 2: Ubaci karticu – Ukucaj PIN – Izaberi svotu i potvrdi – Uzmi novac – Uzmi
karticu
Kao što možemo videti razlikuju se dva poslednja koraka. U Banci 1 korisnik će prvo uzeti
karticu a nakon toga će uzeti novac. U Banci 2 korisniku će prvo biti isplaćen novac, pa će mu
biti vraćena kartica.
Posmatrajmo sada ove događaje sa psihološke strane. Korisnik je došao na ATM da bi
podigao novac. Njegova pažnja usmerena je novac. Kada dobije novac, u slučaju da mu je
pažnja podeljena zbog razgovora telefonom ili umora normalna reakcija je da se nakon
uzimanja novca okrene i ode.
Hipoteza koju postavljam je da Banka 2, koja prvo isplaćuje novac pa zatim vraća karticu ima
mnogo veći procenat zaboravljenih kartica na ATM-u od Banke 1.
6. ZAKLJUČAK
U radu smo pokazali na koji način sigurnosne mere i sistemi mogu negativno uticati na
korisničko iskustvo. Sa druge strane pokazali smo kako neadekvatno rešeni korisnički sistemi
mogu negativno uticati na sigurnost. Time smo demonstrirali dvojak odnos sigurnosti i
korisničkog iskustva što nam je bio primarni cilj.
Kao značajan faktor, u kreiranju bankarskih sistema, uveli smo i objasnili utisak korisnika o

8. sigurnosti čiji je efekat čisto psihološki ali je važan jer utiče na kompletnu sliku o proizvodu.
Kao što se može videti iz predhodnih pasusa ovaj rad predstavlja neku vrstu uvoda u
razmatranje odnosa sigurnosti i korisničkog iskustva. Kao što je rečeno u uvodu ovaj rad ima
za cilj da uspostavi specifičan framework za razmišljanje u konstrukciji i/ili izmeni
bankarskih sistema. O konkretnim sigurnosnim merama i UX odlukama nije bilo mnogo reči.
Ta razmatranja ostavljamo za naredne radove i eventualne on-demand analize konkretnih
bankarskih sistema. Ad hoc analiza e-banking sistema koja je sprovedena u svrhu pisanja
ovog rada govori da ima dosta mesta za napredak.
Cilj profesionalaca koji se bave sigurnošću nije da naprave siguran sistem već da naprave
siguran sistem koji može da se koristi. Sigurnost, sama po sebi nije cilj. Često na internetu
nailazi na citat da je jedini 100% siguran sistem onaj koji ne funkcioniše.
Zbog toga smo, na primeru e-banking sistema, uveli termin optimalne sigurnosti. Suština je da
pre nego što krenemo da štitimo neki sistem vidimo čemu on služi i koji su rizici njegove
kompromitacije.
Takođe. sigurnost informacionih sistema treba da shvatimo mladu nauku čiji osnovni postulati
još uvek nisu do kraja utvrđeni. Nećemo praviti greške naših prethodnika i implementirati
sisteme koji su se pokazali nesigurnim. Sa druge strane, nikako ne smemo da napravimo
grešku pa da sadašnje sisteme uzmemo zdravo za gotovo i da ih smatramo jedinim mogućim
rešenjima. Na primer, većina sistema koje danas koristimo razvijeni su pre izlaska prvog
pametnog telefona. Da li smo spremno dočekali tu revoluciju? Kao što je čuveni Brus Šnajer
rekao “Sigurnost je proces, ne proizvod”.
Jedino ukoliko sigurnost shvatimo na ovakav način možemo biti sigurni da ćemo uvek
isporučivati kvalitetan proizvod koji je siguran i jednostavan za korišćenje.
LITERATURA
[1] Schneier, B. (2008) The Psychology of Security
[2] http://bit.ly/1egQ2iz, 04.04.2014.
[3] http://www.e-sigurnost.net/Blog/2013/ne-dozvolite-da-vam-sigurnost-bude-ubica-
korisnickog-iskustva, 04.04.2014.
[4] Šikanja, J. (2013) Defining the relations of security and privacy on the Internet, DIBS