0 |
Компания Trend Micro представила исследование о состоянии банковской безопасности в рамках новой платежной директивы Европарламента и Еврокомиссии, PSD2. В исследовании «The Risks of Open Banking – Are Banks and their Customers Ready for PSD2?» рассказывается о существующих и новых рисках, с которыми придется столкнуться финансовым структурам, и о возможных методах киберпреступников, желающих воспользоваться уязвимостями новой системы Open Banking.
Обновленная версия платежной директивы Европейского cоюза PSD2, которую также называют Open Banking, вступила в действие 14 сентября. Ее целью стало предоставление пользователям услуг банков новых возможностей и большего контроля над своими банковскими данными. Также директива дает сторонним компаниям, которые специализируются на финансовых технологиях и предоставляют свои услуги банкам и клиентам, равнозначный с банками доступ к данным пользователей для их анализа и предоставления финансовых рекомендаций.
В PSD2, которая заменит утвержденную в 2007 г. первую версию директивы, более четко описываются конкретные процедуры защиты данных, права и обязанности провайдеров услуг и пользователей, а целью новой директивы является стимуляция инноваций и конкуренции в финансовой сфере. И хотя она разработана в первую очередь для государств-членов ЕС, действие и последствия принятия PSD2 распространятся далеко за рамки Европейского союза. Директива считается важным шагом для всей отрасли, так как она отбирает полный контроль над клиентскими данными у банков и дает пользователям право делиться этой информацией с другими поставщиками финансовых услуг.
Для соблюдения требований PSD2 в сфере безопасности банки открывают свои API финтех-компаниям (когда в этих компаниях создается необходимая инфраструктура для обеспечения безопасности данных и клиенты дают согласие на передачу этих данных). Но существует ряд опасений касательно реальной готовности банковской сферы и финтех-компаний к работе в условиях PSD2.
Клиенты, которые решили использовать приложения системы Open Banking для хранения своих финансовых данных и управления ими, вступают в абсолютно новые доверительные отношения: ранее они раскрывали эту информацию учреждениям с многолетней историей и устоявшейся репутацией, а теперь данные будут передаваться намного менее известным сторонним поставщикам услуг, у которых нет такого опыта борьбы с мошенничеством. При этом системы защиты банков станут получать меньше данных для обучения и выявления случаев мошенничества в режиме реального времени, так как финансовая информация их клиентов начнет «распыляться» по нескольким организациям.
Несмотря на то, что клиенты будут лучше осведомлены о фишинге и методах, которые используются киберпреступниками для получения их данных, у злоумышленников появятся новые возможности для обмана – например, преступники могут назвать себя представителями финтех-компаний, работающих с банками. Также принятие директивы наверняка приведет к появлению новых фишинговых схем.
Банки уже не раз были замечены в раскрытии персональных данных их клиентов, которые содержались в открытом виде в URL их систем и API. В то же время некоторые финтех-компании используют явно недостаточные меры безопасности и рискованные методы сбора данных, например, screen scraping (сбор и анализ экранных данных). Поэтому очень возможно, что киберпреступники смогут найти уязвимые приложения и функции, которыми постараются воспользоваться сразу после запуска системы.
Для злоумышленников информация о банковских транзакциях крайне ценна – она помогает выявить поведенческие паттерны пользователей, их привычки, расписание и финансовый статус. Поэтому за доступ к таким данным будут готовы платить рекламные агентства, которые занимаются рассылкой спама и рекламы сомнительного содержания, а также некоторые государственные учреждения, связанные, например, с безопасностью или разведкой.
Комп’ютерний розум: генеративний штучний інтелект у рішеннях AWS
0 |