Отвореното банкиране предлага ползи и удо
Отвореното банкиране предлага изгоди и улеснения, само че крие и опасности за сигурността
(снимка: CC0 Public Domain)
Отвореното банкиране се обрисува като една от преобладаващите трендове измежду кредитните институции в днешно време. Въпреки това, съгласно доста финтех компании, реализирането на този нов метод напредва по-бавно от предстоящото. И въпреки да вещае доста улеснения за банките, компаниите за финансови технологии и потребителите, обещанието му да дава новаторски услуги и да подтиква конкуренцията не идва без закани за сигурността.
За разлика от обичайното банкиране, при което банката управлява всички потребителски данни, при отвореното банкиране потребителските данни са налични, по сигурен метод, за разнообразни външни снабдители – „ трети страни. Това става посредством приложни програмни интерфейси (API), със единодушието на клиента, отбелязва Пракаш Синха от Radware в обява на. Споделянето на данните от своя страна основава опасности, което значи, че връзката би трябвало да бъде предпазена против кибер-злоупотреби.
Ползи от отвореното банкиране
Ползите от отвореното банкиране за потребителите са ясни. Отвореното банкиране улеснява клиентите да купуват финансови артикули и услуги. Вместо да изминават досадния развой на свързване с всеки заемодател поотделно, потребителите могат да дадат краткотрайно позволение на група банки за одит на тяхната финансова история и кредитен профил. Това, което потребителят получава, са по-бързи, по-персонализирани и по-конкурентни предложения – и доста по-лесен метод за сравняване на продуктовите предложения.
предлага преимущества и за банките и кредиторите. Според Finextra, банките получават четири съществени преимущества: повече благоприятни условия за съдействие, по-голяма дарба за взимане на далновидни решения, нараснала задоволеност на клиентите и усъвършенствана цифрова еластичност.
Последиците за сигурността
Ясно е, че отвореното банкиране предлага изгоди и улеснения за обслужване. Има обаче рискове за непредпазливите и някои считат технологията за забележителна опасност.
Както стана дума, процесът на отваряне данните на клиентите към външни снабдители – „ трети страни ” – става посредством оповестени отворени API. Лесни за създаване и лесни за потребление, API форсират създаването на приложения, като в същото време разрешават шерване на чувствителни данни сред системите. Според изследване на Radware, повече от половината от приложенията в съвсем две пети от организациите имат допир с интернет или услуги на трети страни посредством API.
Предизвикателството е, че доста организации не съумяват да поддържат същите практики за сигурност за, както за уеб приложенията. Така че въпреки API да носят доста изгоди, те също по този начин носят и опасности за достъпността и сигурността. Потребителите и финансовите институции би трябвало да са наясно с тях. Това включва:
Прекъсване на услугата: Зависимостта от API и съставените елементи на трети страни може да докара до непреднамерени спирания на услугата, в случай че API услугите се окажат – заради неточности в сигурността, настройка на мрежата и приложението – податливи на офанзиви за отвод на услуга на API или сривове в инфраструктурата за засвидетелствуване.
Проблеми с доверието: Много решения за отворено банкиране са построени единствено върху облачни или хибридни инфраструктури. Въпреки това миграцията към обществени облаци може да сътвори проблеми с доверието. Това включва несъответственост на решенията за сигурност, проблеми с конфигурацията в разнообразни среди, неверни конфигурации и проблеми с политиките за сигурност и профилите на приложенията.
Увеличена атакуема повърхнина: API офанзивите не са необикновени. Според данни на Radware, 55% от организациите претърпяват DoS офанзива против своите API най-малко един път месечно! 48% претърпяват някаква форма на офанзива с инжектиране на код най-малко всеки месец. Наред с това 42% стават обект на офанзива с операция на елемент/атрибут най-малко един път месечно.
Други проблеми могат да включват офанзиви за засвидетелствуване и упълномощаване на API, като SQL инжектиране, междусайтови скриптове (XSS) и бот-атаки.
Бот офанзиви против API: Атаките с ботове са автоматизирани стратегии, основани за навлизане в потребителски профили, кражба на самоличности, иницииране на измами при заплащания, добиване на наличие като цени или данни, разпространяване на спам и влияние върху законните бизнес-дейности.
Кражба на данни: Много API обработват сензитивна, персонална информация. Комбинацията от сензитивна и поверителна информация, съчетана с неналичието на видимост за това по какъв начин работят въпросните API и приложения на трети страни, е призрачен сън за сигурността.
Недокументирани, само че оповестени API: Недокументираните API може инцидентно да разкрият сензитивна информация, в случай че не са тествани, и може да се окажат отворена врата за операции на API и потребление на уязвимости.
Има ли сигурност при отвореното банкиране?
Gartner предвижда, че до 2022 година API офанзивите ще станат най-често срещаният вектор на офанзива, причинявайки голям брой пробиви на данни. Една постоянна тактика за сигурност би трябвало да обезпечава цялостна поддръжка за Топ-10 OWASP, ръководство на ботове, API сигурност,, мащабируемост и досегаемост на решението, както и следствие на заканите. Всеки съставен елемент играе значима роля.
OWASP Топ 10 е онлайн документ, който прави ранглиста – дружно с насоки за отстраняването – на десетте най-критични риска за сигурността на уеб приложенията. Докладът се основава на консенсус сред специалисти по сигурността по целия свят. Той оказва помощ на организациите да подредят целите си: върху кои опасности да се съсредоточат и кои уязвимости да поправят най-бързо в своите софтуерни инфраструктури.
още по темата
Що се касае до ръководството на ботове, бот-мениджърът пази API против автоматизирани офанзиви и подсигурява, че единствено законни консуматори и законни устройства имат достъп до API. Блокира всеки опит за противоположен инженеринг.
Защита от DDoS също е сериозна. API би трябвало да бъдат предпазени против офанзиви, употребяващи „ наводнение ” за закъснение или спиране на услуга.
В тази картина все по-интензивното потребление на облачни системи и инфраструктури наслоява спомагателна трудност. основава спомагателна атакуема низина, която би трябвало да бъде предпазена допустимо най-стриктно, с цел да не бъде употребена от злонамерени лица за кражба на потребителски данни.
Тези и други техники и правила в последна сметка могат да създадат отвореното банкиране задоволително безвредно, тъй че и банките, и потребителите да имат успокоение. Всеобхватните тактики за сигурност в тази ситуация могат да станат основата за предложение на гъвкави и комфортни нови благоприятни условия, които оправдават доверието на клиентите, държейки киберпрестъпниците далеко.
Източник: technews.bg
КОМЕНТАРИ