Dyrektywa PSD2 zobowiązała banki do wzmocnienia zabezpieczeń logowania klientów do e-bankowości.
Dyrektywa PSD2 zobowiązała banki do wzmocnienia zabezpieczeń logowania klientów do e-bankowości.
Finanse i gospodarka Finanse i gospodarka
878
BLOG

Klient w nowej zbroi – PSD2

Finanse i gospodarka Finanse i gospodarka Finanse Obserwuj temat Obserwuj notkę 3

Trwa wyścig zbrojeń pomiędzy hakerami a twórcami zabezpieczeń systemów bankowych. Coraz skuteczniejsza obrona spotyka się z coraz nowszymi formami ataków, a stawką w tym niekończącym się pojedynku jest bezpieczeństwo powierzonych bankom przez nas środków finansowych.

Sprawa jest na tyle poważna, że straty z tytułu cyberprzestępstw są już od kilku lat wyższe niż z handlu narkotykami i stanowią około 1% światowego PKB. Aby skutecznie stawić czoła złodziejom w dobie cyfryzacji, UE zdecydowała się na unormowanie prawa na poziomie unijnym, czego wynikiem była dyrektywa PSD2.  

Stanowi ona z jednej strony wzmocnienie systemu bankowego, ponieważ wprowadza standardy istotnie zwiększające poziom bezpieczeństwa, z drugiej natomiast otwiera bankowość i pozwala na korzystanie z szerszej oferty firm poza-bankowych (tzw. fintechów). Warto dowiedzieć się,w jakim stopniu bank jest w stanie sam zagwarantować nam bezpieczeństwo, a w jakim odpowiedzialność ta spoczywa na nas samych. 

Zmiany, jakie wnosi dyrektywa PSD2 

W dniu 14 września 2019 r. weszła w życie unijna dyrektywa PSD2 (ang. Payment Services Directive), której celem jest integracja płatności usług detalicznych. Jest ona odpowiedzią na wyzwania stawiane przez ciągle rozwijający się rynek, podlegający nieustannemu rozwojowi, w wyniku którego staje się coraz bardziej innowacyjny, zdigitalizowany i pojemny. Wprowadza też wiele zmian w kwestii wymogów bezpieczeństwa przeprowadzanych transakcji oraz tworzy przestrzeń dla nowego typu podmiotów działających w sektorze bankowym.

Chociaż dyrektywa Parlamentu Europejskiego i Rady UE 2015/2366 została przyjęta już trzy lata temu, to jest ona wdrażana przez sektor finansowy stopniowo. Ostatni krok miał miejsce 14 września 2019 r., kiedy to banki musiały uruchomić silne uwierzytelnienie (tzw. SCA) oraz umożliwić dostęp do systemów bankowości dla fintechów – poprzez wdrożenie API, przez które fintechy mogą mieć dostęp do rachunków klientów (oczywiście tylko wtedy, gdy klient wyrazi zgodę i poprawnie się uwierzytelni w bankowości). Wcześniej zmianom uległy m.in. zasady rozpatrywania reklamacji dotyczących usług płatniczych. Ustandaryzowano również moment wykonania oraz realizacji zlecenia płatniczego po godzinie granicznej i uregulowano kwestię odpowiedzialności banków oraz płatnika za nieautoryzowane transakcje płatnicze.  

PSD2 - co oznacza w praktyce? 

Z punktu widzenia banków, dyrektywa PSD2 to była przede wszystkim konieczność przygotowania API (Application Programming Interface), czyli specjalnego interfejsu dostępu do danych i dostosowania go do nowych realiów. Na rynku usług płatniczych pojawił się bowiem nowy typ podmiotów - tzw. Third Party Providers (TPP). Są to uprawnione podmioty, które za zgodą klientów mogą otrzymywać dostęp do rachunków płatniczych oraz kart kredytowych, inicjować płatności na tych rachunkach oraz potwierdzać dostępność środków.

PSD2 określa zasady współpracy banków oraz dostawców usług płatniczych (TPP) w zakresie otwartej bankowości. Będą oni mogli, po otrzymaniu odpowiednich uprawnień, świadczyć w imieniu klienta wiele usług, które do tej pory nie były dostępne. Aby otrzymać te uprawnienia muszą spełniać wymogi regulacyjne zawarte w ustawie.  

W związku z nowymi zagrożeniami poprawie musiały ulec też restrykcje dotyczące bezpieczeństwa. Do 14 września banki zostały zobligowane do wprowadzenia silnego uwierzytelnienia użytkowników (SCA) dla wielu scenariuszy użycia systemów bankowych.  

- Z punktu widzenia klienta PSD2 oznacza to mniej więcej tyle, że procesy logowania stają się odrobinę bardziej czasochłonne. Jest to jednak znikoma cena za korzyści płynące z długoterminowego wzrostu bezpieczeństwa klientów poprzez zwiększenie bezpieczeństwa mechanizmów kontroli dostępu oraz ochrony przed niepożądanymi transakcjami dokonywanymi za pośrednictwem wykradzionych danych – ocenia Jacek Skorupka, ekspert ds. bezpieczeństwa w Idea Banku.  

Zmiany w trendach cyberprzestępczości

Bezpieczeństwo powierzonych bankom środków wymaga nieustannego nadzorowania oraz przygotowania na zmieniające się formy zagrożenia. Między specjalistami w tej dziedzinie a cyberprzestępcami trwa odwieczny „wyścig zbrojeń”. Nowe formy zabezpieczeń eliminują bieżące zagrożenia, ale na ich miejsce natychmiast pojawiają się inne. Dlatego banki i ich systemy muszą być zawsze o krok do przodu.   

- Od kilku lat można zaobserwować wzrost intensywności ataków nie na systemy bankowe, ale na klientów bankowości. Banki działające obecnie na polskim rynku są zabezpieczone na co najmniej przyzwoitym poziomie. Dla cyberprzestępców liczy się natomiast przede wszystkim szybki i łatwy zysk. W związku z tym dziś nie warto atakować dobrze zabezpieczonego banku – łatwiej zaatakować nieświadomego klienta – mówi Jacek Skorupka, ekspert ds. bezpieczeństwa w Idea Banku.

W świetle tych informacji bardzo ważnym elementem ochrony środków jest zaangażowanie klienta w kwestie bezpieczeństwa. Zadaniem banków jest natomiast udostępnienie klientom odpowiednich instrumentów i materiałów edukacyjnych, aby mogli skutecznie i aktywnie partycypować w budowaniu własnego bezpieczeństwa.

Brak dostatecznej wiedzy na temat obecnych zagrożeń i form ochrony może doprowadzić do dramatycznych sytuacji, w których klient pada ofiarą cyberprzestępstwa. Najczęściej odbywa się to w następujący sposób: klient otrzymuje wiadomość, np. email. Wiadomość kieruje go na fałszywą stronę banku albo za pośrednictwem załącznika infekuje jego komputer. W przypadku smartfona do zainfekowania dochodzi zazwyczaj po instalacji aplikacji. Złośliwe oprogramowanie następnie „w locie” podmienia strony bankowe. Fałszywa strona prosi o podanie haseł SMS pod dowolnym pretekstem, wykorzystuje te wiadomości np. do założenia odbiorcy zaufanego, na którego konto przeleje nasze środki lub do zmiany numeru telefonu, na który przychodzą potwierdzenia! Efektem takich działań jest wyprowadzenie środków z konta. W przypadku zainfekowania telefonu – potwierdzenia SMS mogą być ukrywane przed nami i przesyłane do napastnika, a następnie usuwane. To tylko niektóre z wielu oszustw, jakie w ostatnim czasie stają się coraz bardziej popularne, wymagając od nas zwiększonej czujności.

- Biorąc pod uwagę schemat działania przestępców – wymóg PSD2 – stosowania silnego uwierzytelnienia przy dostępie do rachunku może być niestety wykorzystany przez przestępców. Będą oni powoływać się na PSD2 i podstawiać klientom fałszywe strony do wyłudzania SMS. Pierwsze takie ataki pojawiły się w tydzień po terminie wdrożenia SCA…. – mówi Jacek Skorupka, ekspert ds. bezpieczeństwa w Idea Banku.

Skuteczna profilaktyka

Jak chronić się przed oszustami?  

1. Po pierwsze nie należy otwierać załączników lub odnośników z wiadomości email oraz instalować aplikacji spoza oficjalnych sklepów.

2. Zawsze należy się upewnić kto jest wydawcą aplikacji, ile aplikacja ma pobrań oraz jakie ma opinie. Zazwyczaj złośliwe aplikacje będą miały inną nazwę wydawcy i mniej pobrań niż te oryginalne.

3. Powinno się pamiętać o aktualizacjach programów antywirusowych oraz systemu operacyjnego.

4. Należy zawsze weryfikować opis w SMS-ie autoryzującym – upewniać się co tak naprawdę się akceptuje.

5. Po zmianach związanych z wejściem w życie dyrektywy PSD2, banki mogą żądać hasła z SMS przy logowaniu do bankowości internetowej. Niektóre z banków umożliwiają obecnie logowanie do bankowości internetowej bez przypisywania hasła SMS przy każdym z logowań, dzięki udostępnieniu klientom możliwości sparowania urządzenia. Bank dokonuje powiazania urządzenia z danym klientem, co pozwala na wygodniejsze logowanie, jednocześnie zaś wciąż spełnia wymogi silnego uwierzytelnienia.

6. Należy pamiętać, że banki nigdy nie żądają podania kodu PIN do potwierdzenia transakcji.

7. Nie wolno podawać nikomu hasła do bankowości internetowej ani kodów jednorazowych przez telefon.

8. Jeśli zobaczy się na stronie banku informacje o pracach – powinno to wzbudzić podejrzliwość – o takich pracach klienci są informowani z wyprzedzeniem.

9. Należy zawsze weryfikować czy strona jest zabezpieczona SSL, czy jej adres jest poprawny oraz czy ma poprawny certyfikat. Przestępcy mogą używać certyfikatu na fałszywych stronach, ale wtedy adres jest niepoprawny.

10. W razie jakichkolwiek podejrzeń – należy zalogować się z innego urządzenia i zmienić hasło lub od razu skontaktować się z bankiem, w celu zmiany hasła/zablokowania dostępu do bankowości.

11. Jeżeli bank oferuje dodatkowe zabezpieczenia (np. aplikacje na komputer do ochrony przed zagrożeniami), warto je zainstalować. Taka ochrona jest już udostępniona przez kilka banków w Polsce min. przez Idea Bank.

Jak nas wspierają banki?

Banki wspierają nas na wiele sposobów. Jednym z nich jest stałe doskonalenie systemów zabezpieczeń poprzez wykrywanie i eliminowanie ich słabych punktów.  

Logowanie do aplikacji i autoryzacje transakcji podlegają coraz dokładniejszej weryfikacji tożsamości i zachowań klienta.

Dobrą praktyką jest wprowadzanie dodatkowych zabezpieczeń. Idea Bank, udostępnia na swojej stronie internetowej antywirusowe oprogramowanie Trusteer Rapport. Jest to zupełnie bezpłatne, zaawansowane oprogramowanie zabezpieczające stworzone z myślą o zapobieganiu kradzieży danych bankowych przekazywanych drogą elektroniczną – podsumowuje Jacek Skorupka, ekspert ds. bezpieczeństwa w Idea Banku.

Takie oprogramowania istotnie zmniejszają ryzyko kradzieży naszych środków. Nie zmienia to jednak faktu, że tak jak bank odpowiedzialny jest za deponowane środki, tak również użytkownik powinien zadbać o ich bezpieczeństwo. Ważne jest edukowanie klientów, aby nieświadomie nie pomagali hakerom w próbach przejęcia ich haseł i kodów dostępowych (np. kodów jednorazowych SMS). Otwierając załączniki lub odnośniki z wiadomości email, których się nie spodziewamy, sami zrzucamy z siebie zbroję, którą dla nas wykuto. Musimy pamiętać, że bezpieczeństwo w dużej mierze ostatecznie zależeć będzie od nas samych. 



Partnerem bloga jest Idea Bank S.A.

Nowości od blogera

Komentarze

Inne tematy w dziale Gospodarka