Unijna dyrektywa PSD2 wprowadziła wiele zmian na rynku usług finansowych, które stały się nie tylko wyzwaniem dotyczącym zgodności z przepisami i technologiami, ale także wymusiła nowe spojrzenie na strategię rozwoju biznesu. W obliczu nowych wytycznych najwięcej mówiono o tym, co zmieniło się z punktu widzenia konsumentów jak np. podwójne uwierzytelnienie czy konieczność podawania kodu PIN przy większej liczbie transakcji kartowych. Znacznie mniejszą uwagę zwrócono na to, jakie rozwiązania muszą wewnętrznie wprowadzić banki i instytucje finansowe. To nie tylko open API, które nierozerwalnie wiąże się z otwartą bankowością, ale także konieczność wdrożenia i utrzymania odpowiednich mechanizmów awaryjnych czy choćby odgórnie narzucony obowiązek udostępniania środowiska testowego.
Będzie więcej ataków
Z badań przeprowadzonych przez Związek Banków Polskich oraz KPMG[1] wynika, że aż 76 proc. przedstawicieli sektora bankowego spodziewa się wzrostu liczby cyberataków po wdrożeniu dyrektywy Payment Services Directive 2. Cyberprzestępcy poczynają sobie coraz śmielej, a przypadków naruszeń bezpieczeństwa przybywa z roku na rok. Raport CERT za 2018 r[2]. pokazał, że liczba incydentów w sieci wzrosła o 17,5 proc. w stosunku do roku poprzedniego. Banki i instytucje współpracujące z nimi w ramach otwartego API muszą się spodziewać, że hakerzy będą próbować pokonać zabezpieczenia i zdobyć dostęp do wrażliwych danych.
– Instytucje finansowe posiadają skuteczne zabezpieczenia i dobrze opracowane procedury chroniące ich systemy przed dostępem osób nieuprawnionych. Jednak próby złamania zabezpieczeń mogą doprowadzić do utraty ciągłości usług i utracenia danych. Niezbędnym jest zatem zadbanie o odpowiednie kopie bezpieczeństwa, a firma Veeam zaleca regułę 3-2-1, w której tworzone są trzy kopie najważniejszych plików, zapisywane są one na co najmniej dwóch różnych nośnikach, a jedna kopia jest zawsze przechowywana poza lokalem przedsiębiorstwa. Kopie najlepiej wykonywać w rozproszony sposób – z wykorzystaniem chmury lub środowiska wielochmurowego wspomaganego lokalną kopią. Przy wyborze dedykowanego rozwiązania jednym z kluczowych parametrów, które należy wziąć pod uwagę, jest czas, w jakim oprogramowanie jest w stanie przywrócić ciągłość świadczenia usług. Najlepsze z nich potrafią przywrócić funkcjonowanie systemów po ataku w zaledwie kilka minut – komentuje Andrzej Niziołek, Dyrektor Regionalny w Veeam, firmie zajmującej się zawansowanymi rozwiązaniami z zakresu bezpieczeństwa i backupu.
Wymagane zabezpieczenia
Unijne rozporządzenie 2018/389 nakłada obowiązek posiadania odpowiednich mechanizmów awaryjnych w ramach specjalnego interfejsu dostępowego. Zamiarem ustawodawcy jest zapewnienie w ten sposób ciągłości usług świadczonych za pośrednictwem open API podmiotom trzecim. Co prawda rozporządzenie zakłada możliwość zwolnienia z obowiązku stosowania mechanizmów awaryjnych, jednak uzyskanie na to zgody KNF oraz Europejskiego Urzędu Nadzoru Bankowego będzie wyjątkowo trudne. Po pierwsze, kryteria które musi wypełnić podmiot są dość niejasne, po drugie – trudne do spełnienia. Należy sobie także odpowiedzieć na pytanie, czy jest sens rezygnowania z nich w obliczu ciągle rosnącej liczby ataków na infrastrukturę IT. Historia pokazuje, że utrata danych czy choćby brak możliwości ich przywrócenia, może mieć bardzo dotkliwe skutki finansowe, nie wspominając już o kwestiach wizerunkowych. W przypadku firm działających na masową skalę jak banki, ale też współpracujących z nimi podmiotami straty mogą być naprawdę potężne i to nie tylko te finansowe. W tym przypadku rozczarowani klienci i utrata dobrego wizerunku są nie do przecenienia.
Kopie bezpieczeństwa ważnym elementem
Odpowiedzią na zagadnienia bezpieczeństwa i zapewnienia ciągłości usług w dużej mierze jest chmura. Jej szybkość, skalowalność, możliwość dopasowania pod konkretne wymagania i zabezpieczenia sprawiają, że staje się ona naturalnym wyborem dla coraz większej liczby firm. Niepotrzebnie niektórzy martwią się właśnie o jej bezpieczeństwo, które obecnie stoi na najwyższym poziomie.
Rozwiązania pozwalające na wykonywanie kopii bezpieczeństwa i ich przywracania z chmury cechują się wyjątkowo wysokim poziomem bezpieczeństwa. O tym, że środowisko chmurowe jest dobrze zabezpieczone, świadczą choćby ruchy amerykańskich instytucji rządowych. Departament Obrony USA planuje przenieść swoją infrastrukturę IT właśnie do chmury, na co przeznaczy 10 mld USD[3]. Warto jednak pamiętać, że najczęściej dostawcy rozwiązań chmury publicznej stosują tzw. „shared responsibility model” – odpowiadają za tzw. uptime, czyli dostępność do działającej usługi, przerzucając odpowiedzialność za backup i zabezpieczenie danych na użytkownika. Warto na to zwrócić uwagę decydując się na migrację do chmury.
Dyrektywa PSD2 wniosła na rynek wiele szans i możliwości rozwoju zarówno dla banków, jak i podmiotów z nimi współpracujących. Niesie też pewne zagrożenia związane choćby z prognozowanym zwiększeniem liczby cyberzagrożeń. Warto, aby wszyscy użytkownicy open API pamiętali o odpowiednich mechanizmach zabezpieczeń i odzyskiwania danych. Dzięki temu zapewnią sobie bezpieczeństwo i spokój, a jednocześnie będą przygotowani na szybkie przywrócenie danych, a co za tym idzie usług w przypadku np. ataku hakerskiego.
[1] https://assets.kpmg/content/dam/kpmg/pl/pdf/2019/03/pl-raport-kpmg0-zbp-psd2-i-open-banking-rewolucja-czy-ewolucja.pdf
[2] https://www.cert.pl/wp-content/uploads/2019/05/Raport_CP_2018.pdf
[3] https://www.nytimes.com/2019/10/25/technology/dod-jedi-contract.html