Směrnice PSD2 přináší nejen nové možnosti, ale také nová rizika.
Společnost Trend Micro, celosvětový lídr v oblasti bezpečnostních řešení, zveřejnila výsledky svého nejnovějšího průzkumu věnovaného problematice otevřeného bankovnictví a směrnici Payment Service Directive (PSD2). Společnost Trend Micro se ve zprávě Ready or Not for PSD2: The Risks of Open Banking věnuje připravenosti bank a firem z oblasti finančních technologií, mj. s ohledem na stávající bankovní aplikace a weby.
Směrnice PSD2 – známá také pod označením otevřené bankovnictví – zavádí bezpečnostní opatření nejen pro banky, ale také pro technologické společnosti, které data o zákaznících zpracovávají. Průzkum potvrdil, že směrnicí ovlivněné organizace berou bezpečnostní rizika vážně, a to i nad rámec povinných opatření. Nová legislativa sice přináší i nové možnosti pro kybernetické zločince, nicméně při zodpovědném přístupu lze rizika spojená se směrnicí PSD2 minimalizovat.
Nejdůležitější zjištění
Mezi nejdůležitější závěry výzkumné zprávy patří:
- Nově založené finančně-technologické společnosti mají ve srovnání se zavedenými bankami méně zkušeností s řešením podvodů. Nicméně zákazníci jim musí jako oficiálním poskytovatelům služeb dát stejnou důvěru, jakou banky získávaly po mnoho let.
- Počítačoví zločinci budou nový typ aplikací využívat pro získávání citlivých informací a zákazníci spoléhající se na otevřené bankovnictví tak budou náchylnější k phishingovým útokům.
- Aplikační rozhraní některých bankovních aplikací zobrazují osobní údaje zákazníků v URL adresách. Útočníci budou tyto a další podobné nedostatky vyhledávat, a to s cílem osobní údaje získat a následně je zpeněžit.
- Aplikace pro mobilní bankovnictví závisí na softwaru třetích stran – například pro hlášení chyb – komunikujících s cizími weby. Pro on-line bankovnictví představuje tento stav významná bezpečnostní rizika.
- Finančně-technologické společnosti používají pro získávání informací rizikové techniky a zastaralé systémy, jako je tzv. screen scraping nebo staré verze formátu OFX. Podle směrnice by tyto techniky měly být zakázané, ale zúčastněné strany proti tomu protestují s argumentem nepříliš velkého počtu zneužití a neprůkazné historie incidentů.
- Finanční sektor ve Velké Británii plánuje nad rámec minimálních požadavků směrnice PSD2 implementovat rozhraní Financial-grade API (FAPI). Jde o další opatření zvyšující bezpečnost při poskytování dat třetí straně, nicméně průzkum ukázal, že společnosti na toto ještě nejsou plně připraveny a počítačoví zločinci tak mohou využít i další nové scénáře útoku.
Doporučení
- Banky a finančně-technologické společnosti by měly klást důraz na bezpečnost a zájmy svých klientů.
- Finančně-technologické společnosti by měly přijmout a implementovat bezpečné protokoly a odpovídající bezpečnostní postupy.
- Banky a finančně-technologické společnosti by neměly v URL adrese zobrazovat osobní údaje ani další citlivé přístupové informace. I přes použité šifrování mají útočníci řadu způsobu, jak tato data ukrást.
- Finanční sektor je dlouhodobě jedním z odvětví, které jsou pro kybernetické zločince nejzajímavější. Vývojáři aplikací pro otevřené bankovnictví by měli tento software vyvíjet tak, aby na bezpečnost mysleli již při samém návrhu a pravidelně prováděli bezpečnostní audity – na všech úrovních a ve všech komponentách u všech s bankovnictvím souvisejících projektů.
- Uživatelé aplikace pro otevřeného bankovnictví by se měli před její instalací důsledně seznámit jak se samotnou aplikací, tak i se společnostmi, kterým budou data poskytovat.
Celá výzkumná zpráva Ready or Not for PSD2: The Risks of Open Banking a zjištění společnosti Trend Micro týkajících se změn ve finančním průmyslu s ohledem na implementaci směrnice PSD2 je k dispozici na https://documents.trendmicro.com/assets/white_papers/wp-PSD2-The-Risks-of-Open-Banking.pdf.
