Исторически сложилось так, что банки представляют собой довольно консервативные учреждения, которые не желают делиться данными своих клиентов. Это связано со страхом подвергнуться разным угрозам безопасности.
Теперь с новыми регуляторными изменениями банкам нужно будет соблюдать PSD2 (Директива о платежных услугах), GDPR (Общий регламент по защите данных) и открывать часть данных о своих клиентах через API (программный интерфейс приложения). Это потребует от банков усиления их рискового менеджмента, чтобы безопасно обрабатывать данные клиентов.
Современный ландшафт киберугроз
Сегодняшний ландшафт угроз невероятно сложный, и кибератаки варьируются от простого DDoS до сложнейших целевых атак с использованием разработок на базе искусственного интеллекта.
Согласно отчету Verizon Data Breach за 2018 год, 81% всех нарушений со взломом происходили из-за слишком простых или украденных паролей. А отчет F5 Security за первый квартал 2018 года показал, что 70% сообщений о нарушениях в банковской сфере были про web injections (использование структурированного языка запросов для получения сведений из баз данных), которые воровали информацию о платежной карте клиента. Также отмечается, что к 2022 году API-атаки станут основным вектором угроз. Ситуацию усложняет то, что банки просто не смогут жить без этой технологии.
Приложения для онлайн-банкинга — одна из наиболее прибыльных целей для киберпреступников, а атаки с использованием учетных данных вызывают хаос во всей отрасли. Поэтому банкам потребуется система, которая смогла бы упрощать жизнь клиентам, защищая их личные данные. Это будет означать полное переосмысление API-технологии и параметров безопасности. Банки должны будут встраивать защищающие решения на каждом этапе и никому не доверять. Другими словами, они должны вести политику нулевого доверия.
Идея нулевого доверия
По мере того как банки уходят в «облако», очень важно перейти от традиционного подхода обслуживания в физическом отделении на современный мобильный подход, ориентированный на идентификацию пользователя. Модели Zero Trust Forrester и Google BeyondCorp — это два подхода к безопасности, согласно которым весь доступ к корпоративным ресурсам должен быть ограничен до тех пор, пока пользователь не подтвердит свою личность, а устройство не пройдет проверку безопасности.
Оба подхода подчеркивают идею того, что сейчас банковская безопасность мобильных решений сравнялась с тем уровнем защищенности, который можно увидеть внутри банка. Поэтому нужно принять за основу то, что доступ будет недоверенным, пока пользователь не пройдет идентификацию личности.
Идентификация пользователей обязательна на всех этапах: от начального сбора информации до повседневного банковского обслуживания. Аутентификация личности должна лежать в основе каждого случая взаимодействия с банком, будь то физический или цифровой контакт. А с появлением открытых API и расширяющегося ландшафта угроз важность строгой аутентификации клиентов (SCA) постоянно возрастает.
Угроза изнутри
Кража личных данных и мошенничество чаще всего связаны с внешними угрозами, о которых мы говорили выше. Но при этом многие фирмы просто пренебрегают внутренними угрозами. Банки и технические компании должны осознавать риски кибербезопасности, связанные с сотрудниками. Это могут быть как случайные ошибки, так и злонамеренные действия, которые приведут к потере или краже данных. Кто знает, может быть, ваш лучший сотрудник тайно сливает информацию о клиентах и продает ее на черном рынке?
Решение проблемы заключается в изменении способов, которыми компании регулируют область авторизации и управление доступом. У сотрудников должен быть доступ только к тем системам, приложениям и платформам, которые им нужны для работы. При этом доступ должен быть защищенным и безопасным.
Важной отправной точкой станут отказы от использования только паролей и популяризация многофакторной аутентификации. Также компаниям нужно будет принять еще более строгую политику аутентификации для своих сотрудников, запрещающую им видеть информацию, которая не требуется для работы.
Безопасность порождает успех
В связи с будущими правовыми изменениями в области регулирования банковских систем API-безопасность стала критическим фактором для банков. По мере увеличения количества взломов счетов мультифакторная аутентификация будет становиться популярнее. Банки должны настроить надлежащий мониторинг сервисов, управление доступом к API и постоянно обновлять политику аутентификации, которая должна будет оберегать банковских клиентов от угроз.