Open Banking создает риски кибербезопасности

Open Banking создает риски кибербезопасности

Исторически сложилось так, что банки представляют собой довольно консервативные учреждения, которые не желают делиться данными своих клиентов. Это связано со страхом подвергнуться разным угрозам безопасности.

Теперь с новыми регуляторными изменениями банкам нужно будет соблюдать PSD2 (Директива о платежных услугах), GDPR (Общий регламент по защите данных) и открывать часть данных о своих клиентах через API (программный интерфейс приложения). Это потребует от банков усиления их рискового менеджмента, чтобы безопасно обрабатывать данные клиентов.

Современный ландшафт киберугроз

Сегодняшний ландшафт угроз невероятно сложный, и кибератаки варьируются от простого DDoS до сложнейших целевых атак с использованием разработок на базе искусственного интеллекта.

Согласно отчету Verizon Data Breach за 2018 год, 81% всех нарушений со взломом происходили из-за слишком простых или украденных паролей. А отчет F5 Security за первый квартал 2018 года показал, что 70% сообщений о нарушениях в банковской сфере были про web injections (использование структурированного языка запросов для получения сведений из баз данных), которые воровали информацию о платежной карте клиента. Также отмечается, что к 2022 году API-атаки станут основным вектором угроз. Ситуацию усложняет то, что банки просто не смогут жить без этой технологии.

Приложения для онлайн-банкинга — одна из наиболее прибыльных целей для киберпреступников, а атаки с использованием учетных данных вызывают хаос во всей отрасли. Поэтому банкам потребуется система, которая смогла бы упрощать жизнь клиентам, защищая их личные данные. Это будет означать полное переосмысление API-технологии и параметров безопасности. Банки должны будут встраивать защищающие решения на каждом этапе и никому не доверять. Другими словами, они должны вести политику нулевого доверия.

Идея нулевого доверия

По мере того как банки уходят в «облако», очень важно перейти от традиционного подхода обслуживания в физическом отделении на современный мобильный подход, ориентированный на идентификацию пользователя. Модели Zero Trust Forrester и Google BeyondCorp — это два подхода к безопасности, согласно которым весь доступ к корпоративным ресурсам должен быть ограничен до тех пор, пока пользователь не подтвердит свою личность, а устройство не пройдет проверку безопасности.

Оба подхода подчеркивают идею того, что сейчас банковская безопасность мобильных решений сравнялась с тем уровнем защищенности, который можно увидеть внутри банка. Поэтому нужно принять за основу то, что доступ будет недоверенным, пока пользователь не пройдет идентификацию личности.

Идентификация пользователей обязательна на всех этапах: от начального сбора информации до повседневного банковского обслуживания. Аутентификация личности должна лежать в основе каждого случая взаимодействия с банком, будь то физический или цифровой контакт. А с появлением открытых API и расширяющегося ландшафта угроз важность строгой аутентификации клиентов (SCA) постоянно возрастает.

Угроза изнутри

Кража личных данных и мошенничество чаще всего связаны с внешними угрозами, о которых мы говорили выше. Но при этом многие фирмы просто пренебрегают внутренними угрозами. Банки и технические компании должны осознавать риски кибербезопасности, связанные с сотрудниками. Это могут быть как случайные ошибки, так и злонамеренные действия, которые приведут к потере или краже данных. Кто знает, может быть, ваш лучший сотрудник тайно сливает информацию о клиентах и продает ее на черном рынке?

Решение проблемы заключается в изменении способов, которыми компании регулируют область авторизации и управление доступом. У сотрудников должен быть доступ только к тем системам, приложениям и платформам, которые им нужны для работы. При этом доступ должен быть защищенным и безопасным.

Важной отправной точкой станут отказы от использования только паролей и популяризация многофакторной аутентификации. Также компаниям нужно будет принять еще более строгую политику аутентификации для своих сотрудников, запрещающую им видеть информацию, которая не требуется для работы.

Безопасность порождает успех

В связи с будущими правовыми изменениями в области регулирования банковских систем API-безопасность стала критическим фактором для банков. По мере увеличения количества взломов счетов мультифакторная аутентификация будет становиться популярнее. Банки должны настроить надлежащий мониторинг сервисов, управление доступом к API и постоянно обновлять политику аутентификации, которая должна будет оберегать банковских клиентов от угроз.

The Fintech News

Оставить комментарий

Потребительские кредиты: лучшие предложения
Смотреть все

Банк

РОСБАНК

Сумма

от 300 000 Р.

Срок,(мес)

от 13

Ставка, годовых

11%

Банк

РОСБАНК

Сумма

от 10 000 Р.

Срок,(мес)

от 13

Ставка, годовых

10.99%