`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Риски безопасности вступившей в силу платежной директивы PSD2

0 
 

Риски безопасности вступившей в силу платежной директивы PSD2

Компания Trend Micro представила исследование о состоянии банковской безопасности в рамках новой платежной директивы Европарламента и Еврокомиссии, PSD2. В исследовании «The Risks of Open Banking – Are Banks and their Customers Ready for PSD2?» рассказывается о существующих и новых рисках, с которыми придется столкнуться финансовым структурам, и о возможных методах киберпреступников, желающих воспользоваться уязвимостями новой системы Open Banking.

Обновленная версия платежной директивы Европейского cоюза PSD2, которую также называют Open Banking, вступила в действие 14 сентября. Ее целью стало предоставление пользователям услуг банков новых возможностей и большего контроля над своими банковскими данными. Также директива дает сторонним компаниям, которые специализируются на финансовых технологиях и предоставляют свои услуги банкам и клиентам, равнозначный с банками доступ к данным пользователей для их анализа и предоставления финансовых рекомендаций.

В PSD2, которая заменит утвержденную в 2007 г. первую версию директивы, более четко описываются конкретные процедуры защиты данных, права и обязанности провайдеров услуг и пользователей, а целью новой директивы является стимуляция инноваций и конкуренции в финансовой сфере. И хотя она разработана в первую очередь для государств-членов ЕС, действие и последствия принятия PSD2 распространятся далеко за рамки Европейского союза. Директива считается важным шагом для всей отрасли, так как она отбирает полный контроль над клиентскими данными у банков и дает пользователям право делиться этой информацией с другими поставщиками финансовых услуг.

Риски безопасности вступившей в силу платежной директивы PSD2

Для соблюдения требований PSD2 в сфере безопасности банки открывают свои API финтех-компаниям (когда в этих компаниях создается необходимая инфраструктура для обеспечения безопасности данных и клиенты дают согласие на передачу этих данных). Но существует ряд опасений касательно реальной готовности банковской сферы и финтех-компаний к работе в условиях PSD2.

Клиенты, которые решили использовать приложения системы Open Banking для хранения своих финансовых данных и управления ими, вступают в абсолютно новые доверительные отношения: ранее они раскрывали эту информацию учреждениям с многолетней историей и устоявшейся репутацией, а теперь данные будут передаваться намного менее известным сторонним поставщикам услуг, у которых нет такого опыта борьбы с мошенничеством. При этом системы защиты банков станут получать меньше данных для обучения и выявления случаев мошенничества в режиме реального времени, так как финансовая информация их клиентов начнет «распыляться» по нескольким организациям.

Несмотря на то, что клиенты будут лучше осведомлены о фишинге и методах, которые используются киберпреступниками для получения их данных, у злоумышленников появятся новые возможности для обмана – например, преступники могут назвать себя представителями финтех-компаний, работающих с банками. Также принятие директивы наверняка приведет к появлению новых фишинговых схем.

Банки уже не раз были замечены в раскрытии персональных данных их клиентов, которые содержались в открытом виде в URL их систем и API. В то же время некоторые финтех-компании используют явно недостаточные меры безопасности и рискованные методы сбора данных, например, screen scraping (сбор и анализ экранных данных). Поэтому очень возможно, что киберпреступники смогут найти уязвимые приложения и функции, которыми постараются воспользоваться сразу после запуска системы.

Для злоумышленников информация о банковских транзакциях крайне ценна – она помогает выявить поведенческие паттерны пользователей, их привычки, расписание и финансовый статус. Поэтому за доступ к таким данным будут готовы платить рекламные агентства, которые занимаются рассылкой спама и рекламы сомнительного содержания, а также некоторые государственные учреждения, связанные, например, с безопасностью или разведкой.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

0 
 

Напечатать Отправить другу

Читайте также

 

Slack подает жалобу на Microsoft и требует антимонопольного расследования от ЕС

 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT