Prieskum: Aká je pripravenosť bánk a technologických spoločnosti v otvorenom bankovníctve?

Smernica PSD2 - známa aj pod označením otvorené bankovníctvo - zavádza bezpečnostné opatrenia nielen pre banky, ale aj pre technologické spoločnosti, ktoré spracovávajú dáta o zákazníkoch. Prieskum potvrdil, že smernicou ovplyvnené organizácie berú bezpečnostné riziká vážne, a to aj nad rámec povinných opatrení. Nová legislatíva síce prináša aj nové možnosti pre kybernetických zločincov, avšak pri zodpovednom prístupe možno riziká spojené so smernicou PSD2 minimalizovať.

Medzi najdôležitejšie závery výskumnej správy patrí:

• Novo založené finančno-technologické spoločnosti majú v porovnaní so zavedenými bankami menej skúseností s riešením podvodov. Avšak zákazníci im musia ako oficiálnym poskytovateľom služieb dať rovnakú dôveru, akú banky získavali po mnoho rokov.
• Počítačoví zločinci budú nový typ aplikácií využívať pre získavanie citlivých informácií a zákazníci spoliehajúci sa na otvorené bankovníctvo tak budú náchylnejší k phishingovým útokom.
• Aplikačné rozhranie niektorých bankových aplikácií zobrazuje osobné údaje zákazníkov v URL adresách. Útočníci budú tieto a ďalšie podobné nedostatky vyhľadávať, a to s cieľom osobné údaje získať a následne ich speňažiť.
• Aplikácia pre mobilné bankovníctvo závisí od softvéru tretích strán - napríklad pre hlásenie chýb - komunikujúcich s cudzími webmi. Pre online bankovníctvo predstavuje tento stav významné bezpečnostné riziko.
• Finančno-technologické spoločnosti používajú pre získavanie informácií rizikové techniky a zastarané systémy, ako je tzv. ccreen scraping alebo staré verzie formátu OFX. Podľa smernice by tieto techniky mali byť zakázané, ale zainteresované strany proti tomu protestujú s argumentom nepríliš veľkého počtu zneužitia a nepresvedčivej histórii incidentov.
• Banky a finančno-technologické spoločnosti by nemali v URL adrese zobrazovať osobné údaje ani ďalšie citlivé prístupové informácie. Aj napriek použitému šifrovanie majú útočníci rad spôsobov, ako tieto dáta ukradnúť.
• Finančný sektor je dlhodobo jedným z odvetví, ktoré sú pre kybernetických zločincov najzaujímavejšie. Vývojári aplikácií pre otvorené bankovníctvo by mali tento softvér vyvíjať tak, aby na bezpečnosť mysleli už pri samotnom návrhu a pravidelne vykonávali bezpečnostné audity - na všetkých úrovniach a vo všetkých komponentoch pri všetkých projektoch súvisiacich s bankovníctvom.
• Používatelia aplikácie pre otvorené bankovníctvo by sa mali pred jej inštaláciou dôsledne oboznámiť ako sa samotnou aplikáciou, tak aj so spoločnosťami, ktorým budú dáta poskytovať.

Celú výskumnú správu Ready or Not for PSD2: The Risks of Open Banking nájdete TU.