A fintech vállalkozásokat helyzetbe hozó európai uniós direktíva általánosságban nem ront a biztonsági helyzeten a bankok szerint. Bizonyos támadási formák azonban elszaporodhatnak, ha nem vigyázunk.

2015-ben fogadták el és 2016 elején lépett hatályba a 2015/2366-os számú PSD2 direktíva. A pénzforgalmi szolgáltatásokról szóló irányelv (Payment Services Directive 2) az öreg kontinens pénzügyi piacának további egységesítését tűzte ki célul. Ezen felül a hagyományos pénzintézeteknek rugalmasságukkal, gyors alkalmazkodóképességükkel konkurenciát állító fintech vállalkozásokat is helyzetbe akarta hozni.

A PSD2 egyik fontos részeként az európai bankokat nyílt, szabványos hozzáférést lehetővé tevő alkalmazásprogramozási felületek létrehozására kötelezte. Az API-k révén – a felhasználó engedélyével - külső felek is kezdeményezhetnek pénzügyi tranzakciókat, vagyis gyakorlatilag a bankok pénzpiaci monopóliumának megtörésére irányul PSD2. Hasonló jelenségnek lehettünk tanúi az ezredforduló után, amikor az internetes hálózati infrastruktúrák zömét kiépítő szolgáltatókat (köztük a piac inkumbens szereplőit) kötelezték rendszereik harmadik fél előtti megnyitására.

Kétféle új típusú szolgáltatót határoz meg a direktíva: a számlainformációs szolgáltatást nyújtó vállalkozásokat (AISP - Account Information Service Provider) és a fizetéskezdeményezési szolgáltatókat (PISP - Payment Initiation Service Provider). Előbbi bevezetésére 2018 elején került sor, feladata pedig az ügyfelek számlainformációinak összegyűjtése, természetesen a nevükben és felhatalmazásukkal. Utóbbi fogalom 2019 első negyedévében válik valósággá; a külső szolgáltatók ezt követően online fizetéseket banki tranzakciós díj nélkül kezdeményezhetnek – szintén a fogyasztók nevében és felhatalmazásuk birtokában.

A csalók már lesben állnak

Látható tehát, hogy a PSD2 által előírt nyílt API-használat újabb taggal gyarapítja a bank + ügyfél képletet. A nagy kérdés, hogy a várható előnyök mellett milyen hátrányokat jelent, mekkora kockázatokkal kell szembenéznie az érintetteknek.

A McKinsey év elején közreadott jelentése szerint a bankok többségének nem okoz biztonsági problémát a PSD2 bevezetése, legalábbis nem általánosságban. A várható kockázatok csökkentését azonban gyakorlatilag minden pénzintézet megemlítette, kiemelve a csalások felderítését és kezelését végző megoldásokba való befektetés szükségét.

Ezt olyan ellenőrzőkkel akarják elérni, mint amilyen a fejlett analitika és a csalásokra irányuló támadásokat észlelő hatékony eszközök. A McKinsey Global Payments Practice PSD2 Survey 2017 felmérés válaszadói szerint a harmadik fél általi ügyfélfiók-hozzáférések komoly problémát jelentenek a csalások tekintetében, ezért a csalásmegelőzés kiemelt fontosságot kap a pénzforgalmi direktíva terjedése kapcsán.

Kihívások és a rájuk adható válaszok

Lássunk néhány példát, milyen biztonsági incidensek követhetik a nyílt API-k terjedését! Például védtelenné válhatnak a banki ügyfelek adatai a harmadik félnél bekövetkező sikeres támadás után. Az idei év május végén hatályba lépett GDPR szabályozás szerencsére minimalizálja ennek hatását. A pénzintézeteknek ugyanis meg kell győződniük arról, hogy az ügyfeleik és közéjük beékelődő harmadik fél megtette a szükséges technikai és szervezeti lépéseket a felhasználói adatok megfelelő védelme érdekében.

Ha azonban mégis bekövetkezett a baj, akkor a külső szolgáltató irányából érkező csaló információszerzési és/vagy pénzátutalási kísérletekre kerülhet sor. Ezek az incidensek a külső pénzügyi szervezetek mobilalkalmazásának vagy webes alkalmazásának gyengeségei miatt bukkanhatnak fel. Hasonló jellegű gondot okozhatnak a harmadik fél alkalmazottjaitól beérkező csalási próbálkozások.

Banki szempontból tehát kötelező a kockázatok mérséklése. Történhet ez tranzakciós kockázatelemzéssel, felderítve a csaló tranzakciókat és felhasználói viselkedéseket. A PSD2
előírásai erre minden egyes tranzakció esetében kötelezik a szolgáltatókat, így észlelhetők az olyan próbálkozások, amikor például a támadó nem rendelkezik a használni kívánt bankkártyával. Ez vezethet el a harmadik félnél bekövetkezett biztonsági események és az API implementálásában előforduló sebezhetőségek felfedezéséhez is.

Szintén fontos a megfelelő hitelesítési modell választása. A két- vagy többfaktoros, biometriára alapuló autentikáció alkalmazása megkerülhetetlen feladat – ahogyan a kommunikációs csatornák védelme is. Elengedhetetlen a SSL/TSL-hez hasonlóan biztonságos protokollokon keresztüli adatforgalom és kölcsönös hitelesítés a bank és a külső pénzügyi szolgáltató között. Utóbbiaktól meg kell követelni független biztonsági auditálásuk jelentéseinek megtekinthetőségét. Ezeknek tartalmaznia kell többek között a kockázatértékelés, az adatvédelem, a biztonsági események megfigyelése és beszámolója, az üzletfolytonosság és a governance terén tett lépéseket.

Új korszak hajnalán

Végül, de nem utolsósorban el kell kerülni a nem megfelelő API implementálásból eredő biztonsági sebezhetőségek kialakulását. Meg kell győződni arról, hogy az API által használt adatformátumtól függetlenül az alkalmazásprogramozási felület adatstruktúrákat feldolgozó szoftveres komponense ellenálló a támadásokkal szemben. A biztonsági elemzés és tesztelés minden API-t és érintett eszközt le kell, hogy fedjen.

Betartva a PSD2 szabályait, a nyílt alkalmazásprogramozási felületek használata új, innovatív banki szolgáltatások és alkalmazások korszakát hozza magával. Ez az ügyféligényeket jobban lefedő lehetőség azonban együtt kell, hogy járjon a pénzintézetek banki támadások elleni védekezésének további erősödésével. A kiberbűnözőket meg kell akadályozni abban, hogy hozzáférhessenek az ügyféladatokhoz és tranzakciós információkhoz a nyílt API-k terjedése révén.

A bankoknak és a külső pénzügyi szolgáltatást nyújtó szervezeteknek tisztában kell lenniük a rájuk leselkedő kockázatokról és lépéseket kell tenniük elhárításuk érdekében.

Biztonság

CAPTCHA? Gotcha!

A gépi kutakodás ellen beépített, népszerű biztonsági lépcső már egy ideje nem tekinthető betonvédelemnek, de egy új kutatási projekt a korábbiaknál is hatékonyabban tudja kijátszani a szöveges CAPTCHA-t.
 
A nyilvános felhőmegoldással szembeni aggályok az elmúlt néhány évben folyamatosan fókuszban voltak, de az on-premise megoldások sem tökéletesek. Mit válasszunk?

a melléklet támogatója a Cisco Systems

Hirdetés

Így mond all-int a Cisco, ha infrastruktúrát készít

A hiperkonvergens infrastruktúrák úgy biztosítják a felhő gyorsaságát és rugalmasságát, hogy a bizalmas adatokat nem kell külső szolgáltatóra bízni. A Cisco Hyperflex all-in-one megoldásába pedig már multi-cloud platformok is integrálhatók.

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.