Отвореното банкиране се очертава като една от доминиращите тенденции сред кредитните институции в днешно време. Въпреки това, според много финтех компании, реализирането на този нов подход напредва по-бавно от очакваното. И макар да вещае много удобства за банките, фирмите за финансови технологии и потребителите, обещанието му да предоставя иновативни услуги и да стимулира конкуренцията не идва без заплахи за сигурността.
За разлика от традиционното банкиране, при което банката контролира всички клиентски данни, при отвореното банкиране клиентските данни са достъпни, по сигурен начин, за различни външни доставчици – „трети страни. Това става чрез приложни програмни интерфейси (API), със съгласието на клиента, отбелязва Пракаш Синха от Radware в публикация на SecurityBrief. Споделянето на данните от своя страна създава рискове, което значи, че комуникацията трябва да бъде защитена срещу кибер-злоупотреби.
Ползи от отвореното банкиране
Ползите от отвореното банкиране за потребителите са ясни. Отвореното банкиране улеснява клиентите да купуват финансови продукти и услуги. Вместо да изминават досадния процес на свързване с всеки кредитор поотделно, потребителите могат да дадат временно разрешение на група банки за одит на тяхната финансова история и кредитен профил. Това, което потребителят получава, са по-бързи, по-персонализирани и по-конкурентни оферти – и много по-лесен начин за сравняване на продуктовите оферти.
Отвореното банкиране предлага предимства и за банките и кредиторите. Според Finextra, банките получават четири основни предимства: повече възможности за сътрудничество, по-голяма способност за вземане на далновидни решения, повишена удовлетвореност на клиентите и подобрена дигитална гъвкавост.
Последиците за сигурността
Ясно е, че отвореното банкиране предлага ползи и удобства за обслужване. Има обаче опасности за непредпазливите и някои смятат технологията за значителна заплаха.
Както стана дума, процесът на отваряне данните на клиентите към външни доставчици – „трети страни” – става чрез публикувани отворени API. Лесни за изграждане и лесни за използване, API ускоряват разработването на приложения, като същевременно позволяват споделяне на чувствителни данни между системите. Според проучване на Radware, повече от половината от приложенията в почти две пети от организациите имат досег с интернет или услуги на трети страни чрез API.
Предизвикателството е, че много организации не успяват да поддържат същите практики за сигурност за мобилните приложения, както за уеб приложенията. Така че макар API да носят много ползи, те също така носят и рискове за достъпността и сигурността. Потребителите и финансовите институции трябва да са наясно с тях. Това включва:
Прекъсване на услугата: Зависимостта от API и компонентите на трети страни може да доведе до непреднамерени прекъсвания на услугата, ако API услугите се окажат – поради грешки в сигурността, конфигурация на мрежата и приложението – податливи на атаки за отказ на услуга на API или сривове в инфраструктурата за удостоверяване.
Проблеми с доверието: Много решения за отворено банкиране са изградени само върху облачни или хибридни инфраструктури. Въпреки това миграцията към публични облаци може да създаде проблеми с доверието. Това включва несъвместимост на решенията за сигурност, проблеми с конфигурацията в различни среди, грешни конфигурации и проблеми с политиките за сигурност и профилите на приложенията.
Увеличена атакуема повърхност: API атаките не са необичайни. Според данни на Radware, 55% от организациите претърпяват DoS атака срещу своите API поне веднъж месечно! 48% преживяват някаква форма на атака с инжектиране на код поне всеки месец. Наред с това 42% стават обект на атака с манипулация на елемент/атрибут поне веднъж месечно.
Други проблеми могат да включват атаки за удостоверяване и упълномощаване на API, като SQL инжектиране, междусайтови скриптове (XSS) и бот-атаки.
Бот атаки срещу API: Атаките с ботове са автоматизирани програми, създадени с цел проникване в потребителски профили, кражба на самоличности, иницииране на измами при плащания, извличане на съдържание като цени или данни, разпространение на спам и въздействие върху законните бизнес-дейности.
Кражба на данни: Много API обработват чувствителна, лична информация. Комбинацията от чувствителна и поверителна информация, съчетана с липсата на видимост за това как работят въпросните API и приложения на трети страни, е кошмар за сигурността.
Недокументирани, но публикувани API: Недокументираните API може случайно да разкрият чувствителна информация, ако не са тествани, и може да се окажат отворена порта за манипулации на API и използване на уязвимости.
Има ли сигурност при отвореното банкиране?
Gartner прогнозира, че до 2022 г. API атаките ще станат най-често срещаният вектор на атака, причинявайки множество пробиви на данни. Една стабилна стратегия за сигурност би трябвало да осигурява пълна поддръжка за Топ-10 OWASP, управление на ботове, API сигурност, DDoS защита, мащабируемост и достъпност на решението, както и разследване на заплахите. Всеки компонент играе важна роля.
OWASP Топ 10 е онлайн документ, който прави класация – заедно с насоки за отстраняването – на десетте най-критични риска за сигурността на уеб приложенията. Докладът се основава на консенсус между експерти по сигурността по целия свят. Той помага на организациите да подредят приоритетите си: върху кои рискове да се съсредоточат и кои уязвимости да коригират най-бързо в своите технологични инфраструктури.
Що се касае до управлението на ботове, бот-мениджърът защитава API срещу автоматизирани атаки и гарантира, че само легитимни потребители и легитимни устройства имат достъп до API. Блокира всеки опит за обратен инженеринг.
Защита от DDoS също е критична. API трябва да бъдат защитени срещу атаки, използващи „наводняване” с цел забавяне или прекъсване на услуга.
В тази картина все по-интензивното използване на облачни системи и инфраструктури наслоява допълнителна сложност. Миграцията към облачни среди създава допълнителна атакуема равнина, която трябва да бъде защитена възможно най-стриктно, за да не бъде използвана от злонамерени лица за кражба на потребителски данни.
Тези и други техники и принципи в крайна сметка могат да направят отвореното банкиране достатъчно безопасно, така че и банките, и потребителите да имат спокойствие. Всеобхватните стратегии за сигурност в случая могат да станат основата за предлагане на гъвкави и удобни нови възможности, които оправдават доверието на клиентите, държейки киберпрестъпниците надалеч.