Raport Cyberbezpieczeństwo | IT Solution Factor / Hewlett Packard Enterpise | Nowy pakiet regulacji open bankingowych może znacząco podnieść bezpieczeństwo klienta
Na ile pakiet PSD3/PSR/FIDA może wprowadzić rewolucyjne zmiany w koncepcji otwartej bankowości, a w jakim stopniu będziemy mieli do czynienia jedynie z korektami?
Marcin Krzemieniewski: Nowy pakiet regulacji to bardziej korekta i doprecyzowanie wyznaczonych wcześniej kierunków transformacji, niż rewolucja, jaką było wprowadzenie PSD2. PSD3 z założenia odpowiada na zidentyfikowane przez uczestników rynku problemy – zwalczanie coraz częstszych oszustw płatniczych, dalsze wzmocnienie silnego uwierzytelniania czy łatwiejszy cashback dla konsumentów. Pakiet ten rozszerza również ideę otwartej bankowości, m.in. poprzez ustandaryzowanie kwestii wymiany danych oraz otwarcie rynku usług płatniczych dla nowych podmiotów. To jeszcze bardziej zwiększy konkurencyjność na rynku usług i może stanowić mocny impuls do tworzenia nowych rozwiązań, takich jak aplikacje do zarządzania finansami osobistymi. PSD3 ma swoich zwolenników oraz przeciwników, jednak z założenia ma przynieść korzyści zarówno konsumentom, jak i dostawcom.
Paweł Krakowian: Od wejścia w życie PSD2 wiele banków na polskim rynku zmieniło mechanizmy zabezpieczające transakcje płatnicze oraz wprowadziło nowe usługi dla klientów. W mojej opinii stało się tak, ponieważ PSD2 wskazuje podmiotom świadczącym usługi bankowe zwiększenie poziomu bezpieczeństwa przy transakcjach płatniczych, jednocześnie zmniejszając możliwości nieautoryzowanego dostępu do środków klienta. Celem było również uproszczenie interfejsu między bankiem a klientem oraz ułatwienie dostępu do nowych ofert. PSD3 i PSR mają na celu przeniesienie części tych zaleceń do obowiązków prawnych oraz zaostrzenie wymagań dotyczących zabezpieczeń przed nadużyciami. W tym kontekście zalecane jest stosowanie dedykowanych narzędzi wykorzystujących mechanizmy Adaptive Fraud Detection oraz wzmocnienie metryk uwierzytelniania (Strong Customer Authentication), a także zabezpieczenia przed nadużyciami w coraz popularniejszym modelu płatności BNPL. Nadrzędnym celem pozostaje ochrona środków i transakcji klientów. To wyraźny sygnał dla dostawców, że odpowiedzialność za zwiększenie bezpieczeństwa leży po ich stronie.
Czy na polskim rynku istnieją warunki do upowszechnienia ekosystemów usług finansowych i pozafinansowych w rodzaju superaplikacji, ewentualnie marketplace z bankiem w roli głównej, i na ile obecne systemy bankowe są gotowe na upowszechnienie tego modelu?
Paweł Krakowian: Nasz sektor finansowy wykazuje znaczną innowacyjność, co jest ściśle związane z otwartością klientów na nowe usługi oferowane przez banki i fintechy. Wysoki poziom zaufania, umiejętności cyfrowe oraz popularność urządzeń mobilnych i aplikacji bankowych sprzyja wprowadzaniu nowości przez banki, z których Polacy chętnie korzystają. Przykładem są nowoczesne formy kontaktu z usługodawcami w ramach aplikacji, które eliminują potrzebę fizycznej obecności w banku. W przeszłości wielu z nas nie wyobrażało sobie załatwienia sprawy bez wizyty w placówce.
Drugi aspekt to potencjał Polski do tworzenia innowacji, bo nie brakuje nam śmiałych pomysłów, zdolnych twórców aplikacji oraz wysoko wykwalifikowanych specjalistów IT, którzy potrafią zbudować ekosystemy dla innowacyjnych rozwiązań odnoszących duże sukcesy na rynku, np. BLIK, Allegro, inPost i wiele innych.
W kontekście warunków rynkowych istotna jest rola Komisji Nadzoru Finansowego i organów kontroli instytucji działających na rynku, która określa ramy dla innowacji, zapewniając bezpieczeństwo operacji i środków klientów. Same regulacje wymuszają na dostawcach usług finansowych dbałość o bezpieczeństwo i wysoką dostępność usług.
Z drugiej strony, tworząc każde nowe rozwiązanie dla sektora, należy pamiętać o bezpieczeństwie, stosując podejście „Security by Design” w procesie wytwarzania oprogramowania oraz współpracując z zaufanymi dostawcami platform programowych i sprzętowych, np. HPE GreenLake. Konieczne są także ciągłe inwestycje w mechanizmy zabezpieczeń, np. zwiększające poziom ochrony danych przed ich utratą, nieautoryzowanym dostępem czy naruszeniem ich integralności, zabezpieczenie kanałów komunikacji przez szyfrowanie, ochronę przed atakami, np. „man in the middle” czy ochronę użytkownika aplikacji bankowej.
Jakie mechanizmy zabezpieczeń powinny być wdrożone, aby zminimalizować ryzyko ataków związanych z otwartymi interfejsami API?
Marcin Krzemieniewski: Bezpieczeństwo interfejsów API to złożony temat, który wymaga uwagi na wielu płaszczyznach, postaram się jednak zaznaczyć kluczowe obszary do zaadresowania, bez odwoływania się do konkretnych metod. Jednym z nich jest walidacja danych wejściowych, co pozwala chronić system przed popularnymi atakami, takimi jak SQL Injection, XSS, Command Injection oraz XML External Entity (XXE). Istotne jest również odpowiednie zarządzanie komunikatami błędów poprzez ich unifikację, aby nie zawierały informacji, które nie powinny trafić do użytkownika końcowego. Innym aspektem jest implementacja ograniczeń liczby zapytań, która jest niezbędna dla zapewnienia dostępności usług oraz ograniczenia możliwości ataków DoS i DDoS. Uwierzytelnianie i autoryzacja powinny opierać się na sprawdzonych metodach, unikając tworzenia własnych rozwiązań od podstaw. Klucze API powinny być generowane losowo, a każde zapytanie najlepiej podpisywać hasłem generowanym na podstawie klucza, co zabezpiecza przed przechwyceniem i nieautoryzowanym użyciem. Nie można również zapominać o ochronie nagłówków i metod HTTP.
To wszystko tworzy szeroki kontekst do dyskusji oraz implementacji skutecznych zabezpieczeń interfejsów API.
Jak skutecznie chronić klienta bankowego przed fraudami, zwłaszcza dokonywanymi przy użyciu metod socjotechnicznych, biorąc pod uwagę trwały trend legislacyjny do przenoszenia odpowiedzialności za nieprzemyślane decyzje klientów na banki?
Marcin Krzemieniewski: Dużo dobrego w obszarze ochrony klienta końcowego wprowadziła dyrektywa PSD2. Silne uwierzytelnianie oraz konieczność autoryzacji transakcji znacznie podniosły bezpieczeństwo korzystania z bankowości elektronicznej i zredukowały problemy ze słabymi, niezmienianymi hasłami dostępu. Jednak w przypadku ataków socjotechnicznych to człowiek jest najsłabszym ogniwem, które pod wpływem presji i manipulacji może zostać złamane przez przestępców.
W ochronie pomóc może PSD3, która wiąże informacje o posiadaczu rachunku z numerem konta oraz nakłada na banki obowiązek porównywania danych odbiorcy przelewu wprowadzanych przez płatnika z rzeczywistymi danymi odbiorcy. Takie podejście chroni przed omyłkowym wprowadzeniem błędnego numeru konta oraz powinno skutecznie wyeliminować ataki „na wnuczka”, czyli wyłudzanie przelewów poprzez podszywanie się pod bliską osobę. W ten sposób ochrona obejmuje kolejny wymiar transakcji, na który zmanipulowany użytkownik oraz cyberprzestępca nie mają wpływu. W tradycyjnym podejściu do walki z phishingiem stawia się zarówno na zabezpieczenia techniczne, jak i edukację użytkowników. Prowadzimy cykliczne kampanie zwiększające świadomość bezpieczeństwa w naszych firmach, więc czemu nie postawić na taką edukację wśród klientów banków? Dobrym pomysłem jest kampania jednego z banków, skoncentrowana na edukacji o popularnych metodach wyłudzeń. Mówi się, że w cybersecurity człowiek często stanowi najsłabsze ogniwo; dzięki edukacji możemy to zmienić!
