A pár éve kitört fintech-láz, valamint a jövő év elején életbe lépő PSD2 nem csak a pénzügyi piacok üzleti modelljét borítja meg. A biztonsági kérdéseket is sürgősen újra kell gondolniuk a piac szereplőinek.

A fintech cégek megjelenésével és sikerével egy új és bizakodásra okot adó ökoszisztéma kezdett kialakulni a pénzügyi szektorban, ami hozzájárult a régimódi és sokszor körülményes banki ügyviteli rendszerek lebontásához. Ráébresztette például az embereket, hogy a bankszámlakezelés, pénzváltás, beruházások, biztosítások menedzselése, vagy más pénzügyi szolgáltatások egyaránt jelentős és kényelmi szempontból előremutató változásokon mennek keresztül.

A "régi típusú" vállalatok érthetően megrémültek ettől, és megpróbálnak mindent megtenni annak érdekében, hogy lassítsák ezt a folyamatot, és legalább időt nyerjenek a bekapcsolódáshoz. Ehhez persze egy távoli elérést biztosító mobil alkalmazás már kevés lesz, hiszen ennél jóval többről, paradigmaváltásról van szó, például peer-to-peer fizetésről, közvetítő nélküli kölcsönzésről vagy chatbot-on keresztül történő biztosításkötésről.

Mindenesetre ezt a versenyhelyzetet még a hagyományosan nehézkesen mozgó, a technológiai trendeket gyakran lemaradással követő pénzügyi szektor szereplői sem odázhatják már el, hiszen a 2018-tól alkalmazandó PSD2 (második Payment Services Directive) néven ismert európai uniós szabályozás mindenkit versenyre kényszerít, akik relevánsak akarnak maradni a piacon. A szabályozás arra kötelez minden pénzintézetet, hogy hozzon létre szabványos nyílt hozzáférést biztosító API-t, amely segítségével különböző harmadik felek is hozzáférhetnek a banki ügyfelek egyes adataihoz.

Az adatok segítségével pedig ezek a szolgáltatók felépíthetik saját szolgáltatásaikat, melyek pénzügyi appok százaiban öltenek majd testet: banki alkalmazásokban, a személyes pénzügyek kezelésére szolgáló, ún. PFM (Personal Finance Management) szoftverekben, mobilfizetési, hitelezési és vagyonmenedzsment szolgáltatásokban és így tovább. Mindez persze egyik oldalról új szintre emeli az emberek felhasználói élményét a hétköznapokban, ugyanakkor nem feledkezhetünk meg a trend által előidézett új biztonsági kockázatokról sem.

A kockázatok is új szintre emelkednek

Ahogy minden technológiai újítást kényelmi funkciók fejlesztése indukál, a pénzügyi szektort érintő innovációk esetén is tetten érhető az a jelenség, aminek eredményeként számos frissen megjelenő, ám a biztonságtudatosságot korántsem szem előtt tartó megoldás jelenik meg a piacon, ezek bevezetése pedig komoly fejtörést okozhat a szervezetek számára. Elég, ha arra gondolunk, hogy rengeteg olyan startup vállalat lép be a pénzügyi szolgáltatások piacára, melyek kevés pénzügyi erőforrással és kapacitással rendelkeznek ahhoz, hogy megfelelő, biztonságos kódokat írjanak, hiszen a befektetői forrásokat elsősorban a funkciókra és a kereskedelmi csatornák fejlesztésére összpontosítják.

Az új szolgáltatások és szereplők tehát új biztonsági kockázatokat is maguk után vonnak. Egyszerűsödhet a felhasználók identitásának, biztonsági kulcsának megszerzése révén a pénztárcákhoz való hozzáférés, és számos új felület nyílik például DDoS (Distributed Denial-of-Service) támadások megvalósításra is. Az első tennivaló ezek elhárítása érdekében az API-k területén jelentkezik, hiszen a PSD2 2018-tól már elvárja ezek hozzáférhetővé tételét a külső fejlesztők számára.

A Forbes magazin szerint 2017 az API-k évévé vált. Az API (Application Programming Interface) ugyanis kvázi üzemanyag ahhoz, hogy az informatikai vezetők megfelelhessenek a feléjük támasztott elvárásoknak, és olyan új üzleti modelleket legyenek képesek a meglévő és a leendő informatikai platformok segítségével megalkotni és bevezetni, amelyek biztosítani tudják a vállalat versenyképességét a jövőben is. A különböző platformok, alkalmazások és rendszerek összekapcsolásának kulcsát, ezek egymással való kommunikációjának megteremtését pedig az API-k biztosítják. Ezáltal, ahogy gyakorlatilag minden iparágban létfontosságú szerepet játszanak majd, a fintech ökoszisztéma sarokkövét is az API-k jelentik.

Az API-k azonban jellemzően nem gondosan megtervezett szabványok alapján és rendkívül hektikus minőségben készülnek, miáltal számos sebezhetőséget hordoznak magukban. Mint köztudott, a nyitottság és a biztonság jellemzően teljesen eltérő prioritások. A kulcskérdés a pénzügyi szervezetek számára, hogy miként nyithatják meg az alkalmazásaikat és integrálódhatnak a külvilággal anélkül, hogy a biztonságot veszélyeztető támadási felületet hagynának.

Hozzuk közös nevezőre a nyitottságot a biztonsággal

A magyar alapítású Balasys több mint tizenöt éve foglalkozik határvédelmi és egyéb hálózatbiztonsági technológiák fejlesztésével, új API Gateway megoldásával pedig éppen erre a problémára kíván választ adni. A vállalat új fejlesztése egy olyan API-biztonsági megoldás, amely képes kikényszeríteni (kiterjeszthető definíció alapján), hogy csak a megfelelőnek ítélt forgalom juthasson el az API kiszolgálókig, validáljon, naplózzon és opcionálisan transzformálja az áthaladó forgalmat.

A Balasys megoldásának tervezésekor kifejezett cél volt, hogy elősegítse a bankokat, hogy gyorsan és egyszerűen implementálhassák a PSD2 által támasztott elvárásokat. Annak érdekében, hogy a bankok harmadik fél számára API-kon keresztül hozzáférést biztosíthassanak ügyfélszámla információkhoz, tranzakciós adatokhoz és fizetés kezdeményezéshez, erős authentikációra és biztonságos kommunikációs csatornákra van szükség.

Mindez pedig beruházást követel a bankoktól az alkalmazás-szolgáltatások irányításának és az API-k menedzsmentjének a területén. A Balasys ehhez olyan megoldást kínál, ami megkönnyíti a biztonságos hozzáférést a partnereknek és a fejlesztőknek, ugyanakkor erős biztonsági ellenőrzéseket is nyújtva képes megakadályozni a visszaéléseket. A magyar fejlesztő vállalat hamarosan hivatalosan is bemutatásra kerülő termékét az európai piacra szánja, hazai pénzintézetek számára pedig ún. product definition partner programot hirdet. A programról a Balasysnál kérhet bővebb információt.

Biztonság

Ők most a világ technológiai vezetői

Az IT világ száz legbefolyásosabb vállalatának csúcsán történt némi változás, de azért az igazán nagy nevek továbbra is vezető pozícióban maradtak.
 
Hirdetés

Nagy kihívás blockchain szakértőt találni, pedig már van rá igény

Ha kell, projekt alapon, ha kell, klasszikus fejvadász módjára közvetíti az itthon is nagy számban keresett informatikai szakértőket a Bluebird International Zrt.

Hogyan alakítják át a munkaerőpiacon bekövetkezett változások a HR-cégek tevékenységét? Milyen új eszközök és módszerek jelennek meg a fejvadászatban?

a melléklet támogatója a Bluebird

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.