Trend Micro представила дослідження безпеки The Risks of Open Banking - Are Banks and their Customers Ready for PSD2
Trend Micro представила дослідження безпеки The Risks of Open Banking - Are Banks and their Customers Ready for PSD2
Trend Micro Incorporated представила дослідження про стан банківської безпеки в рамках нової платіжної директиви Європарламенту та Єврокомісії, PSD2. У дослідженні The Risks of Open Banking — Are Banks and their Customers Ready for PSD2? розповідається про існуючі та нові ризики, з ними доведеться зіткнутися фінансовим структурам, і про можливі методи кіберзлочинців, які бажають скористатися вразливістю нової системи Open Banking.
Оновлена версія платіжної директиви Європейського союзу PSD2, яку також називають Open Banking, вступила в дію 14 вересня 2019 року. Метою PSD2 стало надання користувачам послуг банків нових можливостей та більшого контролю над своїми банківськими даними. Також директива дає стороннім компаніям, які спеціалізуються на фінансових технологіях і надають свої послуги банкам та клієнтам, рівнозначний з банками доступ до даних користувачів для їх аналізу та надання фінансових рекомендацій.
У PSD2, яка замінить затверджену в 2007 році першу версію директиви, більш чітко описуються конкретні процедури захисту даних, права та обов'язки провайдерів послуг та користувачів, а метою нової директиви є стимуляція інновацій та конкуренції. І хоч вона розроблена в перше для держав-членів ЄС, дія і наслідки прийняття PSD2 поширяться далеко за рамки Європейського союзу. Директива вважається важливим кроком для всієї галузі, оскільки вона відбирає повний контроль над клієнтськими даними у банків і надає користувачам право ділитися цією інформацією з іншими постачальниками фінансових послуг.
Для дотримання вимог PSD2 у сфері безпеки банки відкривають свої API фінтех-компаніям (коли в цих компаніях створюється необхідна інфраструктура для забезпечення безпеки даних і клієнти дають згоду на передачу цих даних). Але існує ряд побоювань щодо реальної готовності банківської сфери та фінтех-компаній до роботи в умовах PSD2.
Клієнти, які вирішили використовувати додатки системи Open Banking для зберігання своїх фінансових даних та управління ними, вступають в абсолютно нові довірчі відносини: раніше вони розкривали цю інформацію установам з багаторічною історією та усталеною репутацією, а тепер дані будуть передаватися набагато менш відомим стороннім постачальникам послуг, у яких немає такого досвіду боротьби з шахрайством. При цьому системи захисту банків отримуватимуть менше даних для навчання та виявлення випадків шахрайства в режимі реального часу, оскільки фінансова інформація їхніх клієнтів почне «розпорошуватися» по кількох організаціях.
Незважаючи на те, що клієнти будуть краще обізнані про фішинг і методи, які використовуються кіберзлочинцями для отримання їх даних, у зловмисників з'являться нові можливості для обману—наприклад, злочинці можуть назвати себе представниками фінтех-компаній, що працюють з банками. Також прийняття директиви напевно призведе до появи нових фішингових схем.
Банки вже не раз були помічені в розкритті персональних даних їхніх клієнтів, які містилися у відкритому вигляді в URL їх систем і API. У той же час деякі фінтех-компанії використовують явно недостатні заходи безпеки і ризиковані методи збору даних, наприклад, screen scraping (збір та аналіз екранних даних). Тому дуже можливо, що кіберзлочинці зможуть знайти вразливі програми та функції, якими намагатимуться скористатися відразу після запуску системи.
Для зловмисників інформація про банківські транзакції вкрай цінна — вона допомагає виявити поведінкові патерни користувачів, їхні звички, розклад та фінансовий статус. Тому за доступ до таких даних будуть готові платити рекламні агенції, які займаються розсилкою спаму і реклами сумнівного змісту, а також деякі державні установи, пов'язані, наприклад, з безпекою або розвідкою.
