IT@BANK. Technologie – Trend Micro: Czy banki i klienci są gotowi na PSD2? Ryzyko związane z otwartą bankowością

BANK 2019/11

Trend Micro przyjrzał się infrastrukturze zabezpieczeń aplikacji bankowych i stron WWW używanych przez instytucje finansowe, aby sprawdzić, jak są przygotowane do wdrożenia nowych przepisów związanych z dyrektywą PSD2, zwaną inaczej otwartą bankowością.

Trend Micro przyjrzał się infrastrukturze zabezpieczeń aplikacji bankowych i stron WWW używanych przez instytucje finansowe, aby sprawdzić, jak są przygotowane do wdrożenia nowych przepisów związanych z dyrektywą PSD2, zwaną inaczej otwartą bankowością.

Joanna Dąbrowska Sales Engineer, Trend Micro

Z raportu „Ready or Not for PSD2: The Risks of Open Banking” wynika, że analizowane przez nas aplikacje i serwisy WWW, nie są wolne od podatności, a co więcej muszą stawić czoła nowym zagrożeniom związanym z otwarciem środowiska systemów bankowych na usługi zewnętrzne. W większości sytuacji wzrost ryzyka wiąże się z koniecznością wdrożenia nowych mechanizmów bezpieczeństwa. Nowe przepisy poszerzają również obszar narażony na ataki cyberprzestępców.Raport Trend Micro przedstawia potencjalne zagrożenia bezpieczeństwa i scenariusze możliwych do przeprowadzenia ataków. Przedmiotowe analizy są lub będą przeprowadzane przez firmy z sektora finansowego, w celu zapewniania świadczenia usług w nowym modelu zgodnie z obowiązującymi przepisami.

Co zmieni się po PSD2

Wyjaśnijmy na początku, co dokładnie wprowadza otwarta bankowość. Głównym celem wprowadzenia zmian w tym obszarze jest zwiększenie dynamiki rozwoju usług elektronicznych przy jednoczesnym zwiększaniu bezpieczeństwa i świadomości użytkowników w tym obszarze. Natomiast z perspektywy komfortu wykorzystywania aplikacji finansowych użytkownik powinien mieć możliwość swobodnego zarządzania swoimi środkami finansowymi zgromadzonymi na różnych kontach, przy korzystaniu z usługi oferowanej przez stronę trzecią (TPP – Third Party Provider), co ma doprowadzić do redukcji kosztów, lepszego zarządzania budżetem itp. Klient będzie mógł skorzystać z dwóch rodzajów usług:
  • AIS (account information service), dostępu do informacji o rachunku,
  • PIS (payment initiation service), skorzystania z inicjowania płatności z poziomu usługi zewnętrznej.

Dostęp do tych usług ma nastąpić poprzez API (Application Programming Interface) – interfejs dostępowy mający zapewnić bezpieczną wymianę danych pomiędzy systemami.Oczekuje się, że otwarta bankowość wpłynie pozytywnie na wzrost innowacyjności i konkurencji w branży bankowej. Z drugiej strony, wprowadzenie nowych standardów będzie związane również ze wzrostem ryzyka w obszarze bezpieczeństwa, dyrektywa PSD2 zwraca szczególną uwagę na ten obszar, nakładając na banki obowiązkowe środki bezpieczeństwa, np. wdrożenie silnego uwierzytelniania.

Jakie zagrożenia niesie PSD2 – najważniejsze wnioski z badania

Sektor finansowy od dawna jest jednym z najczęściej atakowanych, a wprowadzenie otwartej bankowości zwiększy jeszcze zainteresowanie cyberprzestępców. Pierwsze systemy bankowości elektronicznej obfitowały w podatności, niejednokrotnie łatwe do wykorzystania, np. przesyłanie danych wrażliwych w URL. Wydawać by się mogło, że tak trywialne do wykorzystania luki zostały już zlikwidowane. Okazuje się, że aż 10 na 52 analizowanych przez Trend Micro aplikacji bankowych w dalszym ciągu przesyła dane wrażliwe w URL. Zatem nie należy zakładać, że zmiany w systemach bankowych, czy też nowe aplikacje tworzone w ramach otwartej bankowości, będą tych podatności pozbawione. Zgodnie z powiedzeniem, że okazja czyni złodzieja, przewidujemy zwiększenie aktywności przestępców w obszarze usług finansowych.Klienci, którzy zdecydują się korzystać z usług otwartej bankowości, bezsprzecznie zyskają na swobodzie zarządzania środkami finansowymi, jednakże ich dane będą powierzane nowym graczom w sektorze finansowym – TPP (Third Party Privider). Zbudowane zostaną nowe relacje zaufania z dostawcami o praktycznie znikomym doświadczeniu i wiedzy w obszarze bezpieczeństwa, a w szczególności w przeciwdziałaniu fraudom. Banki na takie zaufanie musiały pracować przez wiele lat, inwestując środki finansowe i olbrzymi nakład pracy w zabezpieczenia. Co równie istotne, realizacja transakcji finansowych przez dostawców usług pozbawi banki istotnej wiedzy o działaniach klienta, która była wykorzystywana w uczeniu systemów antyfraudowych, jak mają identyfikować operacje oszukańcze.Jeśli mowa o zaufaniu, to należy również zwrócić uwagę na fakt, iż banki będą zobowiązane do udostępniania TPP danych klientów do 24 miesięcy wstecz. Wiedza banków o sposobie przetwarzania danych skończy się na API. Banki będą musiały zaufać stronom trzecim, bez wiedzy czy organizacje te spełniają standardy bezpieczeństwa zdefiniowane w regulacji, ani czy dane klientów trafią do właściwych odbiorców.Nowy sposób działania zwiększy również występowanie ataków phisingowych – atakujący z pewnością będą podszywać się pod TPP – jeśli rozważymy firmy, które obecnie wykorzystują metodę screen scraping (wymaga to przekazania stronie trzeciej danych uwierzytelniających do bankowości elektronicznej), klientom trudno będzie stwierdzić, które żądanie podania danych jest próbą wyłudzenia informacji, a które stanowi element standardowej operacji.Inne elementy, które mogą zostać wykorzystane przez przestępców to:
  • API wykorzystywane w otwartej bankowości,
  • aplikacje mobilne.

Zalecenia ekspertów – jak nie dopuścić do ataku na nasze pieniądze

  • Niezaprzeczalny jest więc fakt, że po wprowadzeniu nowej dyrektywy banki i fintechy powinny stawiać na pierwszym miejscu bezpieczeństwo i interes klientów. Do takich działań zaliczyć należy:
  • wdrożenie i stosowanie bezpiecznych protokołów, takich jak OAuth 2.0 oraz zaprzestanie korzystania przez fintechy z przestarzałych metod (takich jak screen scraping);
  • nieeksponowanie wrażliwych danych w URL, gdyż nawet jeśli komunikacja jest szyfrowana (TLS) nadal dostępnych jest wiele metod pozwalających na dostęp do tych informacji,
  • tworzenie i rozwijanie aplikacji zgodnie z zasadą security by design oraz przeprowadzanie regularnych testów bezpieczeństwa tych aplikacji,
  • dbanie o jakość kodu tworzonych aplikacji, tak aby unikać współdzielenia nadmiarowych danych ze stronami trzecimi (np. crash reports, informacji o wydajności aplikacji itp.),
  • właściwa edukacja użytkowników w kwestii sposobu działania danego procesu finansowego, możliwych zagrożeń w tym obszarze oraz zaobserwowanych ataków. O ile dla banków taka edukacja to codzienność, to dla fintechów będzie to nowe doświadczenie.
Trend Micro ciągle analizuje sytuację po wejściu w życie dyrektywy PSD2 – nowe ryzyko stanowi punkt startowy do zmian w naszych systemach. Jeśli chcą Państwo zapoznać się bliżej z wynikami naszych dotychczasowych analiz, zapraszamy do zapoznania się z raportem „Ready or Not for PSD2: The Risks of Open Banking”, udostępnionego na stronie www.trendmicro.pl.Zachęcamy również do śledzenia naszej witryny, na której zamieszczamy informacje odnośnie aktualnych zagrożeń i prognoz, w tym tych dotykających sektora finansowego.
Udostępnij artykuł: