Image
18.10.2019 2 Comments

Prieskum: Aká je pripravenosť bánk a technologických spoločnosti v otvorenom bankovníctve?

Smernica PSD2 - známa aj pod označením otvorené bankovníctvo - zavádza bezpečnostné opatrenia nielen pre banky, ale aj pre technologické spoločnosti, ktoré spracovávajú dáta o zákazníkoch. Prieskum potvrdil, že smernicou ovplyvnené organizácie berú bezpečnostné riziká vážne, a to aj nad rámec povinných opatrení. Nová legislatíva síce prináša aj nové možnosti pre kybernetických zločincov, avšak pri zodpovednom prístupe možno riziká spojené so smernicou PSD2 minimalizovať.

Medzi najdôležitejšie závery výskumnej správy patrí:

• Novo založené finančno-technologické spoločnosti majú v porovnaní so zavedenými bankami menej skúseností s riešením podvodov. Avšak zákazníci im musia ako oficiálnym poskytovateľom služieb dať rovnakú dôveru, akú banky získavali po mnoho rokov.
• Počítačoví zločinci budú nový typ aplikácií využívať pre získavanie citlivých informácií a zákazníci spoliehajúci sa na otvorené bankovníctvo tak budú náchylnejší k phishingovým útokom.
• Aplikačné rozhranie niektorých bankových aplikácií zobrazuje osobné údaje zákazníkov v URL adresách. Útočníci budú tieto a ďalšie podobné nedostatky vyhľadávať, a to s cieľom osobné údaje získať a následne ich speňažiť.
• Aplikácia pre mobilné bankovníctvo závisí od softvéru tretích strán - napríklad pre hlásenie chýb - komunikujúcich s cudzími webmi. Pre online bankovníctvo predstavuje tento stav významné bezpečnostné riziko.
• Finančno-technologické spoločnosti používajú pre získavanie informácií rizikové techniky a zastarané systémy, ako je tzv. ccreen scraping alebo staré verzie formátu OFX. Podľa smernice by tieto techniky mali byť zakázané, ale zainteresované strany proti tomu protestujú s argumentom nepríliš veľkého počtu zneužitia a nepresvedčivej histórii incidentov.
• Banky a finančno-technologické spoločnosti by nemali v URL adrese zobrazovať osobné údaje ani ďalšie citlivé prístupové informácie. Aj napriek použitému šifrovanie majú útočníci rad spôsobov, ako tieto dáta ukradnúť.
• Finančný sektor je dlhodobo jedným z odvetví, ktoré sú pre kybernetických zločincov najzaujímavejšie. Vývojári aplikácií pre otvorené bankovníctvo by mali tento softvér vyvíjať tak, aby na bezpečnosť mysleli už pri samotnom návrhu a pravidelne vykonávali bezpečnostné audity - na všetkých úrovniach a vo všetkých komponentoch pri všetkých projektoch súvisiacich s bankovníctvom.
• Používatelia aplikácie pre otvorené bankovníctvo by sa mali pred jej inštaláciou dôsledne oboznámiť ako sa samotnou aplikáciou, tak aj so spoločnosťami, ktorým budú dáta poskytovať.

Celú výskumnú správu Ready or Not for PSD2: The Risks of Open Banking nájdete TU.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Firma vyrábajúca domové zvončeky s kamerou poskytovala polícii obrazový záznam o chodcoch na ulici

05.12.2019 00:10

Dohliadacia spoločnosť Ring, ktorá je vo vlastníctve Amazonu, poskytovala orgánom činným v trestnom konaní tepelnú mapu, ktorá umožňuje polícii vidieť všetky zariadenia Ring nainštalované v danej obla ...

Bezpečnosť

Americká armáda chce mať do roku 2050 vojakov-kyborgov

04.12.2019 00:20

Veliteľstvo americkej armády vydalo tento mesiac štúdiu venujúcu sa rozvoju bojových schopností vojakov, v ktorej sa uvádza, že zlepšenie uší, očí, mozgu a svalov je „technicky uskutočniteľné do roku ...

Bezpečnosť 1

Prečo určite stojí za to posilniť ochranu siete o sandboxing

02.12.2019 00:15

Keď pojem sandboxing po prvýkrát začuje laik, možno si vybaví pieskovisko v materskej škôlke alebo boxerský zápas odohrávajúci sa niekde na pieskovej pláži. Nič z toho samozrejme nie je pravda. V súvi ...

2 Comments

  1. Pohyby na účte oprava reakcia na: CZ: Nová výskumná správa Trend Micro: Aká je pripravenosť na otvorené bankovníctvo?
    18.10.2019 17:10
    účet SP = účet SLSP developer.databanking.sk
    SP alias štátna pokladnica neposkytla info či vôbec má nejaké API, teraz už kvôli PSD2 majú ale zdá sa len na pohyby na účte nie, iba výpisy z predošlých dní.
    Reagovať
  2. Pohyby na účte reakcia na: CZ: Nová výskumná správa Trend Micro: Aká je pripravenosť na otvorené bankovníctvo?
    18.10.2019 15:10
    Zo slovenských bánk sa mi najvia pozdáva FIO APi rozhranie, je jednoduché na implementáciu a má ho dostupný každý účet nie len "podnikateľský". Ideálne napríklad na prepojenie e-shopu, po prijatí platby automaticky zmeniť stav objednávky na zaplatené a informovať zákazníka. Pred 2 rokmi keď som to implementoval som chcel použiť napríklad na účet SP, al na prihlasovanie cez databanking chceli použiť meno a heslo ako na bežný IB, čo som nerobil ja ako správca e-shopu nepotrebujem vedieť ako sa prihlasuje obchodník do svojho bankového účtu. Po nástupe PSD2 to má každá nbanka ale mohli sa dohodnúť nejako jednotne ako sa dohodli na XML výpise z účtu, ale každý si to implementoval ľubovolne. Napríklad TB chce na prihlásenie zelený SSL certifikát čo je za vysoký poplatok.
    Reagovať

Vyhľadávanie

ACER_122019

Najnovšie videá