Se zvyšujícími se schopnostmi mobilních zařízení a připojením k internetu lze očekávat, že finanční a bankovní průmysl bude následovat tento příklad a prozkoumá nové standardy ke zlepšení svých služeb. Hotovost není již tak běžná, uživatelé a poskytovatelé přecházejí k používání mobilních a internetových platforem pro platby a transakce. Tato vznikající potřeba bankovního sektoru vedla ke vzniku nových hráčů ve finančním odvětví - Apple, Facebook a Google, spolu se start-upy, které tvoří své nové služby. Zavedené banky, nucené novými konkurenty, pracují s novými finančními prostředky technologických (fintech) společností a poskytovateli softwarových služeb, ve snaze přizpůsobit a vyvinout více rozhraní pro programování aplikací (API) s Open Banking.

Nový zákon Evropské unie (EU), revidovaná směrnice o platebních službách (PSD2), která byla schválena v říjnu 2015, který nahradil stávající směrnici o platebních službách dále urychlil tento vývoj. Cílem PSD2 je podporovat inovace online a mobilních plateb, mezinárodní platby v EU a z EU a učinit je jednodušší, efektivnější a bezpečnější. Nařízení také má za cíl podpořit větší hospodářskou soutěž v bankovním průmyslu, stanovit bezpečnostní požadavky na snížení rizika podvodu, stanovit pokyny pro nakládání s údaji společností a zvýšit povědomí uživatelů a poskytovatelům o jejich právech a povinnostech a zajistit lepší ochranu a bezpečnost spotřebitelů.

Je třeba také poznamenat, že ve snaze zjednodušit a zefektivnit zpracování plateb, směrnice poskytuje uživatelům služeb přehled o jejich současné finanční situaci, aby mohli lépe využívat a spravovat své osobní finance. Pro třetí strany a poskytovatele služeb umožňují otevřené API sdílení bankovních údajů zákazníků, doplňkové služby a také snížení příplatků.

Implementace směrnice PSD2 nevyhnutelně nutí Evropské banky implementovat otevřená API pro sdílení bankovních dat zákazníků s jejich poskytovateli fintech, aby vyhověli předpisům a mohli poskytovat doplňkové služby. Protože bankovní data zákazníků se budou šířit ve více společnostech, evidentně vzniká mnohem větší útočný prostor pro zneužívání kybernetickými zločinci.

Očekává se, že otevřené bankovnictví povede k inovacím a větší konkurenci v bankovním průmyslu. Pro zmírnění rizik, která mohou s těmito změnami souviset, nutí systém PSD2 provádět banky povinně nová bezpečnostní opatření kromě zavedených postupů. Například nový zákon vyžaduje banky implementovat více faktorovou autentizaci (MFA) pro všechny transakce požadované přes jakýkoli kanál. V souladu s tím to znamená použití dvou ze tří prvků:

• Znalosti - něco, co zná pouze uživatel, například hesla a bezpečnostní otázky
• Vlastnictví - něco, co má pouze uživatel, například telefon, token nebo čtečka karet
• Dědičnost - něco jedinečného nebo neodmyslitelného pro uživatele, jako je biometrie

Otevřené bankovnictví zvětší útočný prostor, kterému dnes banky a jejich zákazníci čelí, a vytvoří tak nové příležitosti pro počítačové zločince, kteří na ně cílí. Jedná se o hrozby jako:

• Zákazníci, kteří autorizují aplikace Open Banking ke správě svých dat, se ocitnou v novém vztahu důvěryhodnosti. Uživatelé dříve důvěřovali zavedeným finančním institucím s dlouhou historií zabezpečení a uživatelé nyní budou muset dát stejnou úroveň důvěry méně známým poskytovatelům třetích stran. Vybraný vzorek těchto poskytovatelů finančních technologií (fintech) ukázal, že jsou to obecně menší softwarové společnosti a často bez konkrétního jednotlivce, který se věnuje pouze bezpečnosti.
• Zákazník otevřeného bankovnictví může být zranitelnější vůči phishingovým útokům. Dnešní uživatelé jsou většinou zvyklí na to, že banky nebudou zasílat e-maily s odkazy nebo žádostmi o přihlášení. Počítačoví zločinci však mohli používat aplikace Open Banking jako nový háček pro staré techniky phishingu.
• Nové ne vždy znamenají lepší, což platí zejména o bezpečnosti. Viděli jsme banky s historií vystavování osobně identifikovatelných informací (PII) v adresách URL jejich existujícího rozhraní pro programování aplikací (API). Očekáváme, že v rozhraní Open Banking API dojde k řadě implementačních nedostatků, které budou útočníci rychle vyšetřovat, jakmile budou tyto aplikace spuštěny.
• Ne všechny aplikace Open Banking budou mít oprávnění provádět platby jménem zákazníků. Sofistikovaní útočníci však považují transakční data za informace o osobě samé. Vědět, kdy a kde zákazník nakupuje, umožňuje útočníkovi vytvořit si obraz každodenních pohybů, rutin, zájmů a finančního postavení uživatelů a toto následně zneužít v svůj prospěch.

Pavlína Volková Autorka článku působí na pozici Regional Account Manager pro CZ a SK ve společnosti Trend Micro.