Jaká je připravenost na otevřené bankovnictví?

22. 10. 2019. (redaktor: František Doupal, zdroj: Trend Micro)
Směrnice PSD2 – známá také pod označením otevřené bankovnictví – zavádí bezpečnostní opatření nejen pro banky, ale také pro technologické společnosti, které data o zákaznících zpracovávají. Průzkum firmy Trend Micro potvrdil, že směrnicí ovlivněné organizace berou bezpečnostní rizika vážně, a to i nad rámec povinných opatření.

Nová legislativa sice přináší i nové možnosti pro kybernetické zločince, nicméně při zodpovědném přístupu lze rizika spojená se směrnicí PSD2 minimalizovat.

Nejdůležitější zjištění

Mezi nejdůležitější závěry výzkumné zprávy patří:

  • Nově založené finančně-technologické společnosti mají ve srovnání se zavedenými bankami méně zkušeností s řešením podvodů. Nicméně zákazníci jim musí jako oficiálním poskytovatelům služeb dát stejnou důvěru, jakou banky získávaly po mnoho let.
  • Počítačoví zločinci budou nový typ aplikací využívat pro získávání citlivých informací a zákazníci spoléhající se na otevřené bankovnictví tak budou náchylnější k phishingovým útokům.
  • Aplikační rozhraní některých bankovních aplikací zobrazují osobní údaje zákazníků v URL adresách. Útočníci budou tyto a další podobné nedostatky vyhledávat, a to s cílem osobní údaje získat a následně je zpeněžit.
  • Aplikace pro mobilní bankovnictví závisí na softwaru třetích stran – například pro hlášení chyb – komunikujících s cizími weby. Pro on-line bankovnictví představuje tento stav významná bezpečnostní rizika.
  • Finančně-technologické společnosti používají pro získávání informací rizikové techniky a zastaralé systémy, jako je tzv. screen scraping nebo staré verze formátu OFX. Podle směrnice by tyto techniky měly být zakázané, ale zúčastněné strany proti tomu protestují s argumentem nepříliš velkého počtu zneužití a neprůkazné historie incidentů.
  • Finanční sektor ve Velké Británii plánuje nad rámec minimálních požadavků směrnice PSD2 implementovat rozhraní Financial-grade API (FAPI). Jde o další opatření zvyšující bezpečnost při poskytování dat třetí straně, nicméně průzkum ukázal, že společnosti na toto ještě nejsou plně připraveny a počítačoví zločinci tak mohou využít i další nové scénáře útoku.

Doporučení

  • Banky a finančně-technologické společnosti by měly klást důraz na bezpečnost a zájmy svých klientů.
  • Finančně-technologické společnosti by měly přijmout a implementovat bezpečné protokoly a odpovídající bezpečnostní postupy.
  • Banky a finančně-technologické společnosti by neměly v URL adrese zobrazovat osobní údaje ani další citlivé přístupové informace. I přes použité šifrování mají útočníci řadu způsobu, jak tato data ukrást.
  • Finanční sektor je dlouhodobě jedním z odvětví, které jsou pro kybernetické zločince nejzajímavější. Vývojáři aplikací pro otevřené bankovnictví by měli tento software vyvíjet tak, aby na bezpečnost mysleli již při samém návrhu a pravidelně prováděli bezpečnostní audity – na všech úrovních a ve všech komponentách u všech s bankovnictvím souvisejících projektů.
  • Uživatelé aplikace pro otevřeného bankovnictví by se měli před její instalací důsledně seznámit jak se samotnou aplikací, tak i se společnostmi, kterým budou data poskytovat.

Zpráva Ready or Not for PSD2: The Risks of Open Banking a zjištění společnosti Trend Micro týkajících se změn ve finančním průmyslu s ohledem na implementaci směrnice PSD2 je k dispozici zde.

Štítky: 
Bezpečnost, Trend Micro
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Chester Wisniewski, CISO ve společnosti Sophos

Agentní AI v prohlížečích: Nová vrstva bezpečnostních rizik

20. 10. 2025. (redaktor: František Doupal, zdroj: Sophos)
Rozvoj agentní umělé inteligence přináší do světa internetu zásadní změnu. Pro podniky to znamená zejména nutnost zhodnotit, jaké dopady může mít zavádění těchto nástrojů do pracovního prostředí. Čtěte více
Patrick Müller, senior channel manažer společnosti Sophos

Patrick Müller (Sophos): Přinášíme mnoho atraktivních novinek

16. 7. 2025. (redaktor: František Doupal, zdroj: DCD Publishing a Sophos)
S Patrickem Müllerem, senior channel manažerem společnosti Sophos, jsme během pražské Experience Roadshow hovořili o novinkách v oblasti partnerského prodeje. V rozhovoru odhalíme detaily o nové firemní strategii, virtuálním CISO, AI asistentovi s názvem Sales Companion nebo postupném přerodu společnosti do pozice platformního poskytovatele. Čtěte více

Výdaje na kybernetickou bezpečnost letos v Evropě vzrostou o 11,8%

9. 5. 2025. (redaktor: František Doupal, zdroj: IDC)
Společnost IDC předpokládá, že výdaje na bezpečnost v Evropě v roce 2025 meziročně vzrostou o 11,8 %. Geopolitický vývoj, zintenzivnění kybernetické kriminality a zpřísňující se regulační prostředí nutí evropské organizace přijímat stále sofistikovanější obranná opatření. Očekává se, že výdaje na bezpečnost zůstanou po celé období 2023-2028 vysoké a do roku 2028 dosáhnou téměř 97 miliard USD. Čtěte více

Celosvětové výdaje na kybernetickou bezpečnost letos vzrostou o 12,2 %

27. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
IDC očekává, že celosvětové výdaje na bezpečnost vzrostou v roce 2025 meziročně o 12,2 %. Rostoucí složitost a četnost kybernetických hrozeb - urychlená umělou inteligencí - nutí organizace přijímat pokročilejší obranná opatření. V důsledku toho se předpokládá, že výdaje na bezpečnost budou po období mezi lety 2023 až 2028 trvale růst až na 377 miliard dolarů. Čtěte více