A fintech vállalkozásokat helyzetbe hozó európai uniós direktíva általánosságban nem ront a biztonsági helyzeten a bankok szerint. Bizonyos támadási formák azonban elszaporodhatnak, ha nem vigyázunk.

2015-ben fogadták el és 2016 elején lépett hatályba a 2015/2366-os számú PSD2 direktíva. A pénzforgalmi szolgáltatásokról szóló irányelv (Payment Services Directive 2) az öreg kontinens pénzügyi piacának további egységesítését tűzte ki célul. Ezen felül a hagyományos pénzintézeteknek rugalmasságukkal, gyors alkalmazkodóképességükkel konkurenciát állító fintech vállalkozásokat is helyzetbe akarta hozni.

A PSD2 egyik fontos részeként az európai bankokat nyílt, szabványos hozzáférést lehetővé tevő alkalmazásprogramozási felületek létrehozására kötelezte. Az API-k révén – a felhasználó engedélyével - külső felek is kezdeményezhetnek pénzügyi tranzakciókat, vagyis gyakorlatilag a bankok pénzpiaci monopóliumának megtörésére irányul PSD2. Hasonló jelenségnek lehettünk tanúi az ezredforduló után, amikor az internetes hálózati infrastruktúrák zömét kiépítő szolgáltatókat (köztük a piac inkumbens szereplőit) kötelezték rendszereik harmadik fél előtti megnyitására.

Kétféle új típusú szolgáltatót határoz meg a direktíva: a számlainformációs szolgáltatást nyújtó vállalkozásokat (AISP - Account Information Service Provider) és a fizetéskezdeményezési szolgáltatókat (PISP - Payment Initiation Service Provider). Előbbi bevezetésére 2018 elején került sor, feladata pedig az ügyfelek számlainformációinak összegyűjtése, természetesen a nevükben és felhatalmazásukkal. Utóbbi fogalom 2019 első negyedévében válik valósággá; a külső szolgáltatók ezt követően online fizetéseket banki tranzakciós díj nélkül kezdeményezhetnek – szintén a fogyasztók nevében és felhatalmazásuk birtokában.

A csalók már lesben állnak

Látható tehát, hogy a PSD2 által előírt nyílt API-használat újabb taggal gyarapítja a bank + ügyfél képletet. A nagy kérdés, hogy a várható előnyök mellett milyen hátrányokat jelent, mekkora kockázatokkal kell szembenéznie az érintetteknek.

A McKinsey év elején közreadott jelentése szerint a bankok többségének nem okoz biztonsági problémát a PSD2 bevezetése, legalábbis nem általánosságban. A várható kockázatok csökkentését azonban gyakorlatilag minden pénzintézet megemlítette, kiemelve a csalások felderítését és kezelését végző megoldásokba való befektetés szükségét.

Ezt olyan ellenőrzőkkel akarják elérni, mint amilyen a fejlett analitika és a csalásokra irányuló támadásokat észlelő hatékony eszközök. A McKinsey Global Payments Practice PSD2 Survey 2017 felmérés válaszadói szerint a harmadik fél általi ügyfélfiók-hozzáférések komoly problémát jelentenek a csalások tekintetében, ezért a csalásmegelőzés kiemelt fontosságot kap a pénzforgalmi direktíva terjedése kapcsán.

Kihívások és a rájuk adható válaszok

Lássunk néhány példát, milyen biztonsági incidensek követhetik a nyílt API-k terjedését! Például védtelenné válhatnak a banki ügyfelek adatai a harmadik félnél bekövetkező sikeres támadás után. Az idei év május végén hatályba lépett GDPR szabályozás szerencsére minimalizálja ennek hatását. A pénzintézeteknek ugyanis meg kell győződniük arról, hogy az ügyfeleik és közéjük beékelődő harmadik fél megtette a szükséges technikai és szervezeti lépéseket a felhasználói adatok megfelelő védelme érdekében.

Ha azonban mégis bekövetkezett a baj, akkor a külső szolgáltató irányából érkező csaló információszerzési és/vagy pénzátutalási kísérletekre kerülhet sor. Ezek az incidensek a külső pénzügyi szervezetek mobilalkalmazásának vagy webes alkalmazásának gyengeségei miatt bukkanhatnak fel. Hasonló jellegű gondot okozhatnak a harmadik fél alkalmazottjaitól beérkező csalási próbálkozások.

Banki szempontból tehát kötelező a kockázatok mérséklése. Történhet ez tranzakciós kockázatelemzéssel, felderítve a csaló tranzakciókat és felhasználói viselkedéseket. A PSD2
előírásai erre minden egyes tranzakció esetében kötelezik a szolgáltatókat, így észlelhetők az olyan próbálkozások, amikor például a támadó nem rendelkezik a használni kívánt bankkártyával. Ez vezethet el a harmadik félnél bekövetkezett biztonsági események és az API implementálásában előforduló sebezhetőségek felfedezéséhez is.

Szintén fontos a megfelelő hitelesítési modell választása. A két- vagy többfaktoros, biometriára alapuló autentikáció alkalmazása megkerülhetetlen feladat – ahogyan a kommunikációs csatornák védelme is. Elengedhetetlen a SSL/TSL-hez hasonlóan biztonságos protokollokon keresztüli adatforgalom és kölcsönös hitelesítés a bank és a külső pénzügyi szolgáltató között. Utóbbiaktól meg kell követelni független biztonsági auditálásuk jelentéseinek megtekinthetőségét. Ezeknek tartalmaznia kell többek között a kockázatértékelés, az adatvédelem, a biztonsági események megfigyelése és beszámolója, az üzletfolytonosság és a governance terén tett lépéseket.

Új korszak hajnalán

Végül, de nem utolsósorban el kell kerülni a nem megfelelő API implementálásból eredő biztonsági sebezhetőségek kialakulását. Meg kell győződni arról, hogy az API által használt adatformátumtól függetlenül az alkalmazásprogramozási felület adatstruktúrákat feldolgozó szoftveres komponense ellenálló a támadásokkal szemben. A biztonsági elemzés és tesztelés minden API-t és érintett eszközt le kell, hogy fedjen.

Betartva a PSD2 szabályait, a nyílt alkalmazásprogramozási felületek használata új, innovatív banki szolgáltatások és alkalmazások korszakát hozza magával. Ez az ügyféligényeket jobban lefedő lehetőség azonban együtt kell, hogy járjon a pénzintézetek banki támadások elleni védekezésének további erősödésével. A kiberbűnözőket meg kell akadályozni abban, hogy hozzáférhessenek az ügyféladatokhoz és tranzakciós információkhoz a nyílt API-k terjedése révén.

A bankoknak és a külső pénzügyi szolgáltatást nyújtó szervezeteknek tisztában kell lenniük a rájuk leselkedő kockázatokról és lépéseket kell tenniük elhárításuk érdekében.

Biztonság

Rugalmasan korlátos csomagokra váltott a Telenor

Az új kézbe került szolgáltatónál a vezetőség után a terifacsomagoknál is frissítenek. A korlátlan adatforgalmat jó áron biztosító Hello Data megy, helyébe rugalmasabb, de drágább konstrukciók lépnek.
 
Hirdetés

Az ipar digitalizációja a munkaerőpiacot is átformálja

A digitalizáció, amely hamarosan az élet minden területét áthatja, a legelsők között az ipar újabb forradalmát indította el. A folyamat újfajta tudással felvértezett szakembereket igényel. Őket várja folyamatosan bővülő budapesti Industry X.0 csapatába az Accenture is.

Hirdetés

Gépek között, avagy az API kommunikáció rejtett buktatói

Az API kommunikáció biztonsági aspektusaira egyelőre nincsenek egzakt válaszok, de a Balasys megoldása segít a kikerülhetetlenné váló, API-k által jelentett biztonsági kockázatok kezelésében.

A fintech vállalkozásokat helyzetbe hozó európai uniós direktíva általánosságban nem ront a biztonsági helyzeten a bankok szerint. Bizonyos támadási formák azonban elszaporodhatnak, ha nem vigyázunk.

a melléklet támogatója a Balasys

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.