Open Banking: перспективы и опасности
В начале сентября 2019 года в Евросоюзе вступила в действие инициатива PSD2, также известная как Open Banking. Документ обязывает банки европейских стран предоставить финтех-компаниям доступ к финансовой информации клиентов с использованием унифицированного программного интерфейса. По замыслу разработчиков это позволит существенно разнообразить перечень финансовых услуг по сравнению с традиционным банкингом, а в перспективе полностью изменит подход к управлению платежами и капиталами.
В основе инициативы лежит забота о гражданах и компаниях. Согласно этому законодательному документу клиенты не обязаны быть привязаны к одному банку, если в перечне его услуг нет всех нужных клиенту. Единое платёжное пространство позволит формировать собственный пакет банковских услуг в разных кредитных организациях, выбирая только выгодные предложения и сервисы.
В России пока нет единого стандарта, аналогичного PSD2. Утверждённые ЦБ РФ в декабре 2017 года «Основные направления развития финансовых технологий на период 2018-2020 годов» носят рекомендательный характер, а потому всю нагрузку по разработке единого платёжного пространства приняли на себя частные компании.
Несмотря на весь оптимизм участников внедрения новой технологии, это обязательно создаст новые риски, которые в сфере финансовых услуг могут обойтись очень дорого. Поэтому понимать опасности, которые появятся с массовым внедрением Open Banking, и меры их предупреждения критически важно именно сейчас, на стадии разработки.
В этой статье мы расскажем, о каких опасностях идёт речь и какие меры помогут защититься от возможного ущерба.
Но прежде чем говорить об опасностях, выясним, чем занимаются финтех-компании в банковской экосистеме и в чём заключается их роль в происходящем.
Как финтех-компании работают с банками
Развитие технологий создаёт новые потребности. Пользователям уже недостаточно кэшбэка или бонусов «Спасибо», они выбирают удобное управление финансами, оперативные транзакции, интуитивно понятные интерфейсы. Даже если банковские приложения имеют все эти возможности, они всё ещё «заточены» на один конкретный банк. Между тем, значительная часть клиентов владеет картами разных кредитных организаций, клиенту приходится использовать несколько банковских приложений и самостоятельно решать вопросы консолидации и обработки финансовой информации.
Источник: Trend Micro
Финтех-компании не привязаны к единственному банку. Доступ к клиентским данным позволяет им создавать инновационные предложения, в которых интегрирован доступ к нескольким кредитным учреждениям. Пользователи финтех-приложений имеют возможность сравнивать характеристики продуктов разных банков — доходность, комиссии и процентные ставки.
В перспективе усилиями финтех-компаний традиционный финансовый рынок трансформируется в маркетплейс, на котором клиенты смогут набирать себе корзину банковских услуг, отвечающих их потребностям, и не обращать внимание на то, какие конкретно банки предоставляют эти услуги. И главное — они будут с комфортом пользоваться ими в рамках одного приложения, получая анализ финансовых потоков, рекомендации по оптимизации затрат и размещению свободных денежных средств.
Источник: Trend Micro
С технической точки зрения, доступ к клиентским данным будет происходить в два этапа:
1. Финтех-компании получают собственный токен доступа к API банка;
2. Пользователь финтех-приложения подтверждает набор операций, которые могут производиться с его финансовой информацией.
Например, если приложение используется для анализа финансовых потоков в разных банках, совсем необязательно давать разрешение на проведение платежей.
Может показаться, что такой способ взаимодействия более безопасен, однако это не совсем так. Авторы исследования Trend Micro «Ready or not for PSD2: The Risks of Open Banking» считают, что Open Banking расширяет периметр атак, с которыми сталкиваются банки и клиенты, создавая новые возможности для преступников, которые помимо прежних векторов атак могут эксплуатировать ошибки и уязвимости в:
-
публичных API банков и финтех-компаний;
-
мобильных приложениях финтех-компаний;
-
новых расширениях и модулях безопасности.
В течение какого-то времени актуальными будут атаки на устаревшие методы обмена банковскими данными, которые до сих пор используются — технологию Screen Scraping и протокол OFX (Open Financial Exchange).
Атаки на Open Banking
Атака на финтех-компанию
Авторизуя приложения Open Banking для управления своими данными, клиенты устанавливают с финтех-компанией доверительные отношения. Однако, как показала сделанная Trend Micro выборка, в отличие от банков эти организации представляют собой небольшие софтверные компании, в которых часто нет сотрудников, целенаправленно занимающихся вопросами безопасности. К тому же финансовые ресурсы большинства финтех-стартапов существенно меньше, чем у банков.
Серверы финтех-компаний — идеальные объекты для получения банковских данных клиентов, особенно с учётом того, что в большинстве случаев либо эти сервера расположены в облачной инфраструктуре, либо у провайдера платформы для финтех-маркетплейса. Это создаёт новые возможности для «атак на цепочку поставщиков».
Атаки на приложение или мобильную платформу
Поскольку большинство финтех-сервисов реализуются в форме мобильных приложений, они могут стать основными целями для злоумышленников. Хищение имени пользователя, пароля или ключа шифрования позволит злоумышленнику получить банковские данные, выдав себя за пользователя.
Атаки на пользователей
Большинство пользователей банковских приложений понимают, что банки не отправляют им е-мейлы со ссылками или запросами на вход. Однако приложения Open Banking дают клиентам новый опыт, поэтому злоумышленники могут использовать их в качестве наживки для старых методов фишинга.
Банки на протяжении многих лет совершенствовали свои методы обнаружения мошенничества с целью защиты пользователей и самих себя путём фиксации количества попыток входа, местоположения пользователя и других параметров. После перехода на Open Banking эта информация может не собираться или не приниматься во внимание.
Атаки на API
В сфере безопасности новое не всегда является синонимом лучшего. Аналитики Trend Micro ожидают, что реализация Open Banking API неизбежно будет содержать недостатки, которыми злоумышленники смогут воспользоваться в своих целях, например, для хищения информации или организации отказа в обслуживании (DoS/DDoS).
Как защититься
Работа над безопасностью Open Banking далека от завершения, поэтому важно, чтобы все заинтересованные стороны безотлагательно приступили к системной реализации защитных мер. Но даже в этом случае можно ожидать, что дополнительным удобствам, которые получат пользователи глобальных банковских услуг, киберпреступники также найдут самые неожиданные применения.
В качестве рекомендаций по организации защиты в новых условиях можно выделить следующие:
-
Устранение конфликтов между банками и финтех-компаниями, согласование решений, обеспечивающих кибербезопасность;
-
Вывод из эксплуатации устаревших протоколов OFX и метода Screen Scraping;
-
Переход на безопасные протоколы, такие как Financial API/OAuth 2.0;
-
Финтех-компаниям необходимо обратить более пристальное внимание на вопросы кибербезопасности, внедрив защитные решения для пользовательских устройств, облачной инфраструктуры и средств контейнеризации.[1]
[1] Платформы для разработки на базе контейнеров не дают гарантий безопасности результирующего продукта. Для таких оркестраторов, как Kubernetes, Jenkins и прочих, требует специализированные защитные решения. Подробный обзор ландшафта угроз, доступен по ссылке:
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 31.10.2019
