Компания Trend Micro Incorporated представила исследование о состоянии банковской безопасности в рамках новой платёжной директивы Европарламента и Еврокомиссии, PSD2. В исследовании The Risks of Open Banking — Are Banks and their Customers Ready for PSD2? рассказывается о существующих и новых рисках, с которыми придётся столкнуться финансовым структурам, и о возможных методах киберпреступников, желающих воспользоваться уязвимостями новой системы Open Banking.
Обновлённая версия платёжной директивы Европейского cоюза PSD2, которую также называют Open Banking, вступила в действие 14 сентября 2019 года. Целью PSD2 стало предоставление пользователям услуг банков новых возможностей и большего контроля над своими банковскими данными. Также директива даёт сторонним компаниям, которые специализируются на финансовых технологиях и предоставляют свои услуги банкам и клиентам, равнозначный с банками доступ к данным пользователей для их анализа и предоставления финансовых рекомендаций.
В PSD2, которая заменит утверждённую в 2007 году первую версию директивы, более чётко описываются конкретные процедуры защиты данных, права и обязанности провайдеров услуг и пользователей, а целью новой директивы является стимуляция инноваций и конкуренции в финансовой сфере. И хотя она разработана в первую очередь для государств-членов ЕС, действие и последствия принятия PSD2 распространятся далеко за рамки Европейского союза. Директива считается важным шагом для всей отрасли, так как она отбирает полный контроль над клиентскими данными у банков и даёт пользователям право делиться этой информацией с другими поставщиками финансовых услуг.
Для соблюдения требований PSD2 в сфере безопасности банки открывают свои API финтех-компаниям (когда в этих компаниях создаётся необходимая инфраструктура для обеспечения безопасности данных и клиенты дают согласие на передачу этих данных). Но существует ряд опасений касательно реальной готовности банковской сферы и финтех-компаний к работе в условиях PSD2.
Клиенты, которые решили использовать приложения системы Open Banking для хранения своих финансовых данных и управления ими, вступают в абсолютно новые доверительные отношения: ранее они раскрывали эту информацию учреждениям с многолетней историей и устоявшейся репутацией, а теперь данные будут передаваться намного менее известным сторонним поставщикам услуг, у которых нет такого опыта борьбы с мошенничеством. При этом системы защиты банков станут получать меньше данных для обучения и выявления случаев мошенничества в режиме реального времени, так как финансовая информация их клиентов начнёт «распыляться» по нескольким организациям.
Несмотря на то, что клиенты будут лучше осведомлены о фишинге и методах, которые используются киберпреступниками для получения их данных, у злоумышленников появятся новые возможности для обмана — например, преступники могут назвать себя представителями финтех-компаний, работающих с банками. Также принятие директивы наверняка приведёт к появлению новых фишинговых схем.
Банки уже не раз были замечены в раскрытии персональных данных их клиентов, которые содержались в открытом виде в URL их систем и API. В то же время некоторые финтех-компании используют явно недостаточные меры безопасности и рискованные методы сбора данных, например, screen scraping (сбор и анализ экранных данных). Поэтому очень возможно, что киберпреступники смогут найти уязвимые приложения и функции, которыми постараются воспользоваться сразу после запуска системы.
Для злоумышленников информация о банковских транзакциях крайне ценна — она помогает выявить поведенческие паттерны пользователей, их привычки, расписание и финансовый статус. Поэтому за доступ к таким данным будут готовы платить рекламные агентства, которые занимаются рассылкой спама и рекламы сомнительного содержания, а также некоторые государственные учреждения, связанные, например, с безопасностью или разведкой.