Jaká je připravenost na otevřené bankovnictví?

22. 10. 2019. (redaktor: František Doupal, zdroj: Trend Micro)
Směrnice PSD2 – známá také pod označením otevřené bankovnictví – zavádí bezpečnostní opatření nejen pro banky, ale také pro technologické společnosti, které data o zákaznících zpracovávají. Průzkum firmy Trend Micro potvrdil, že směrnicí ovlivněné organizace berou bezpečnostní rizika vážně, a to i nad rámec povinných opatření.

Nová legislativa sice přináší i nové možnosti pro kybernetické zločince, nicméně při zodpovědném přístupu lze rizika spojená se směrnicí PSD2 minimalizovat.

Nejdůležitější zjištění

Mezi nejdůležitější závěry výzkumné zprávy patří:

  • Nově založené finančně-technologické společnosti mají ve srovnání se zavedenými bankami méně zkušeností s řešením podvodů. Nicméně zákazníci jim musí jako oficiálním poskytovatelům služeb dát stejnou důvěru, jakou banky získávaly po mnoho let.
  • Počítačoví zločinci budou nový typ aplikací využívat pro získávání citlivých informací a zákazníci spoléhající se na otevřené bankovnictví tak budou náchylnější k phishingovým útokům.
  • Aplikační rozhraní některých bankovních aplikací zobrazují osobní údaje zákazníků v URL adresách. Útočníci budou tyto a další podobné nedostatky vyhledávat, a to s cílem osobní údaje získat a následně je zpeněžit.
  • Aplikace pro mobilní bankovnictví závisí na softwaru třetích stran – například pro hlášení chyb – komunikujících s cizími weby. Pro on-line bankovnictví představuje tento stav významná bezpečnostní rizika.
  • Finančně-technologické společnosti používají pro získávání informací rizikové techniky a zastaralé systémy, jako je tzv. screen scraping nebo staré verze formátu OFX. Podle směrnice by tyto techniky měly být zakázané, ale zúčastněné strany proti tomu protestují s argumentem nepříliš velkého počtu zneužití a neprůkazné historie incidentů.
  • Finanční sektor ve Velké Británii plánuje nad rámec minimálních požadavků směrnice PSD2 implementovat rozhraní Financial-grade API (FAPI). Jde o další opatření zvyšující bezpečnost při poskytování dat třetí straně, nicméně průzkum ukázal, že společnosti na toto ještě nejsou plně připraveny a počítačoví zločinci tak mohou využít i další nové scénáře útoku.

Doporučení

  • Banky a finančně-technologické společnosti by měly klást důraz na bezpečnost a zájmy svých klientů.
  • Finančně-technologické společnosti by měly přijmout a implementovat bezpečné protokoly a odpovídající bezpečnostní postupy.
  • Banky a finančně-technologické společnosti by neměly v URL adrese zobrazovat osobní údaje ani další citlivé přístupové informace. I přes použité šifrování mají útočníci řadu způsobu, jak tato data ukrást.
  • Finanční sektor je dlouhodobě jedním z odvětví, které jsou pro kybernetické zločince nejzajímavější. Vývojáři aplikací pro otevřené bankovnictví by měli tento software vyvíjet tak, aby na bezpečnost mysleli již při samém návrhu a pravidelně prováděli bezpečnostní audity – na všech úrovních a ve všech komponentách u všech s bankovnictvím souvisejících projektů.
  • Uživatelé aplikace pro otevřeného bankovnictví by se měli před její instalací důsledně seznámit jak se samotnou aplikací, tak i se společnostmi, kterým budou data poskytovat.

Zpráva Ready or Not for PSD2: The Risks of Open Banking a zjištění společnosti Trend Micro týkajících se změn ve finančním průmyslu s ohledem na implementaci směrnice PSD2 je k dispozici zde.

Štítky: 
Bezpečnost, Trend Micro

Podobné články

Chystá se na nás v roce 2020 nová kybernetická studená válka?

18. 11. 2019. (redaktor: František Doupal, zdroj: Check Point)
Check Point ve své kyberbezpečnostní vizi pro rok 2020 předpovídá, že s růstem mezinárodního napětí bude přibývat státy sponzorovaných kybernetických útoků proti vládám, kritickým infrastrukturám a důležitým organizacím. Čtěte více

Zyxel: firewall ZyWALL ATP100

17. 11. 2019. (redaktor: František Doupal, zdroj: Zyxel)
Společnost Zyxel uvedla na trh firewall ZyWALL ATP100 určený pro ochranu malých organizací. Novinka využívá zabudovanou cloudovou službu, díky které má k dispozici nepřetržitě rostoucí databázi informací o kybernetických hrozbách. Zařízení tak poskytuje vícevrstvou ochranu a pomocí funkce Cloud Query na dálku rozpozná miliardy hrozeb a umožní jejich eliminaci. Čtěte více

Cisco představilo novinky z oblasti bezpečnosti, sítí i komunikace

15. 11. 2019. (redaktor: František Doupal, zdroj: Cisco systems)
Mezi novinky patří Talos Incident Response – ucelený soubor aktivních a reaktivních služeb, které pomáhají připravit se na možný kybernetický útok, reagovat na něj a následně obnovit provoz. Dále sem patří inovace v portfoliu nástrojů pro spolupráci nebo nové produkty z rodiny Meraki tvořící jednoduchou, bezpečnou a inteligentní platformu pro budování a správu sítí pro digitální podniky. Čtěte více

S ransomwarem se setkává stále více českých organizací

15. 11. 2019. (redaktor: František Doupal, zdroj: Acronis)
Podle lokálního průzkumu společnosti Acronis provedeného mezi účastníky konferencí Acronis Roadshow v Praze a Ostravě zmínilo 29 % podnikových uživatelů ransomwarové útoky jako hlavní příčinu ztráty dat v organizaci, což je o 12 procentních bodů více než vloni. Čtěte více