بررسی Open API در استاندارد جدید PSD2 / چالشهای امنیتی که بانکها با آن مواجه خواهند شد
PSD۱ که در سال ۲۰۰۷ منتشر شد برای متناسبسازی بازار اروپا با خدمات پرداخت طراحیشده بود و نسخه جدید این استاندارد که با عنوان PSD2 از ژانویه ۲۰۱۸ به کار گرفته میشود، با حفظ مزایای نسخه پیشین و افزایش شفافیت و حمایت از مشتری و امنیت، بخصوص با توجه به پرداخت آنلاین و تلفن همراه و قیمتگذاری ایجادشده است. (+)
دیوید جونز از شرکت ایردِتو (Irdeto) میگوید که API هایِ در راه، بسترهای مناسبی برای آسیبهای نوینی هستند که ممکن است توسط هکرها وارد شوند. درباره همین موضوع، دیوید جونز که در حال حاضر مدیر بخش پرداختها و بانکداری ایردتو است به پرسشهایی که در خصوص Open API ها و استاندارد PSD2 وجود دارد، پاسخ میدهد.
هنگامیکه PSD2 توسط اعضای بینالمللی به قانون ملی معرفی شود بانکهای اروپایی باید دستبهکار شده و دسترسی به تأمینکنندگان ثالث را برای حسابهای مشتریان، فراهم آورند. حال این وضعیت، چه پیامدی برای امنیت آنلاین دارد؟
مشتریان با PSD2 میتوانند از طریق وبسایتهای تأمینکنندگان ثالث، حسابهای بانکی خود را مشاهده کرده و عملیات بانکی انجام دهند.
علاوه بر این طبق قوانین و مقررات جدید، تأمینکنندگان ثالث میتوانند اختیارات بازیابی دادههای مالی از بانک صادرکننده را نیز داشته باشند. این بدان معناست که بانکها امکان دسترسی به پشت سیستمها را برای تأمینکنندگان ثالث فراهم میآورند تا بتوانند دادهها را بازیابی کنند.
این سطح دسترسی، شباهت بسیار زیادی به Open API دارد. مدلهای کسبوکار جالبی در حال پیدایش در این فضا است اما ازنقطهنظر امنیتی، پیچیدگیِ امن نگاه داشتن دادهها نیز بهطور چشمگیری افزایش خواهد یافت.
یکی از محرکهای اساسی این است که مشتریان با نمونههای بسیار زیادی مشابه بانکهای سنتی خود در ارتباط هستند و بدین ترتیب فضای حملهٔ هکرها چند برابر میشود.
ظهور Open API، بستر مناسبی برای آسیبرسانیِ هکرها است بنابراین بسیار حیاتی و حائز اهمیت است که تأمینکنندگان تا زمان پیادهسازی PSD2 یعنی تا ژانویه سال ۲۰۱۸، با دقت هرچهتمامتر مراقب این استانداردها باشند.
Open API مستلزم چه موارد امنیتی است و کدام نهاد، مسئولیت اصلی تأمین امنیت دادهها را بر عهده دارد؟
صنعت پرداخت و بانکداری در میانهٔ دگرگونیِ دیجیتالی قرار دارد. تأمینکنندگان سنتی خدمات مالی در همهٔ عرصهها در حال مواجهه با وقایع نوین هستند.
همزمان، جرائم اینترنتی نیز از یک هکر با یک لپتاپ و یک آدرس آیپیِ جعلی فراتر رفته و تبدیل به سازمانهای جهنده با مهارتهای بالا شده که حملات اینترنتیِ جهانی را اجرا میکنند؛ بنابراین موارد بسیار زیاد دیگری علاوه بر هدایتِ موفقیتآمیز، وجود دارند که باید به آنها اندیشید.
درنتیجه بانکها و تأمینکنندگان خدمات پرداخت باید به این ادراک برسند که استانداردهای فعلیِ صنعت در عرصهٔ امنیت شبکه، رمزنگاری و تأمین توسعهٔ امن، کافی نیستند.
آنها مسئول حفظ امنیت دادهها در برابر جرائم اینترنتی هستند که روزبهروز نیز پیچیدهتر و سازماندهیتر میشوند. این امر مستلزم حفظ امنیت «قابلاثبات در آینده» است چراکه این امکان را برای سازمانهای مالی فراهم میآورد تا خدمات موجود را مستحکمتر و خدمات جدید خود را در برابر تهدیدهای پویای امروزی، مقاومتر کنند.
هماکنون بانکها و تأمینکنندگانِ درگاههای API، از چه معیارهای امنیتی استفاده میکنند؟
امروزه بانکها از مجموعهای از محصولات امنیت شبکه و API استفاده میکنند. اغلب این محصولات در قالب درگاههای API است که سندیت، اختیارات و پایش را به API میافزاید. بههرحال ازآنجاییکه اپلیکیشنهای وب و موبایل که به API متصل میشوند میتوانند روزنهای برای لو رفتن اطلاعات (بانکی) حساس باشند لذا این معیارها و استانداردها کافی نیستند.
این موضوع در عمل، بدان معناست که هر بار مشتری روی صفحه، کلیک میکند سِرورهای بانک از طریق اینترنت و از مجرای یک محیط کنترل نشده قابلدسترسی خواهند بود.
چنین فعلوانفعالات اینترنت-محور، دادههای مشتریان را به یک هدفِ خوش و آب و رنگتری برای جرائم اینترنتی تبدیل میکند. طبق گزارش سال ۲۰۱۶ شرکت وِریزون (Verizon) در بررسی نقض دادهها، حدود ۴۰ درصد از سرقت دادهها از طریق اپلیکیشنهای وب انجام میشوند.
این موضوع صراحتاً بدان معناست که ملاحظات امنیتیِ فعلی، کافی نیستند بهویژه با وجود دگرگونیهای دیجیتالی که پرداختها و بانکداری با آنها مواجه هستند.
بانکها و تأمینکنندگان ثالث در بازنگری رویکردهای امنیتی خود، چه ملاحظاتی را باید در نظر داشته باشند؟
بانکها و تأمینکنندگان ثالث باید آخرین استانداردهای امنیتی را پیادهسازی کنند که فراتر از پروتکلهای استاندارد صنعت، تحت عنوان HTTPS است.
بهعلاوه مهم است در برابر حملههایی که بین کاربران اینترنتی و سِرور رخ میدهند (غالباً تحت عنوان حملاتِ مرد میانی (Man-in-the-Middle attacks) شناخته میشوند) نیز ایمن باشند.
بهعلاوه بانکها و تأمینکنندگان ثالث از قدیمالایام روی امنیتِ محیطی، تمرکز کرده و جاوا اسکریپت و API ها را داخل دیوار آتش، محافظت کردهاند.
بههرحال حملات مرد میانی، جاوا اسکریپتها و API هایی را که خارج از دیوار آتش و در قالب پرداخت هستند هدف قرار میدهند. بهترین روش برای محافظت در برابر حملات مرد میانی این است که جاوا اسکریپتهایی که در قالب پرداخت، اجرا میشوند مقاوم شوند. با این کار، بانکها و تأمینکنندگان ثالث نهتنها کدها بلکه API هایی را که دادهها را از سطح به سمت سِرور میبرند محافظت میکنند.
با وجود جرائم سایبری که پیچیدگیِ آنها روزافزون است، چه چالشهای امنیتیِ دیگری برای بانکها پیشبینی میکنید؟
با پیادهسازیِ PSD2 در صنعت خدمات مالیِ اروپایی، طبیعی است که جاوا اسکریپت و API هایی که در خارج از دیوار آتش اجرا میشوند (Open API) بستری برای دسترسیِ تأمینکنندگان ثالث به دادههای بینهایت حساس باشند.
در حال حاضر اکثر تأمینکنندگانِ خدمات، به شکافهای خارج از دیوار آتش، توجه زیادی نشان نمیدهند. این شکافها ازنظر آنها یا آنقدر کوچک است که ارزش زنگ خطر ندارند و یا «خطای انسانی» غیرقابل تشخیص است مانند خطای یک اپراتور بانک خُرد هنگام شمارش چندین ده پوندی.
بههرحال چندین «خطای انسانی»- ده دلار آمریکا، ده یوروی آمستردام یا ده پوند لندن- طیِ صدها روز و بین دهها شهر میتواند به مقدار قابلتوجهی از دزدیِ گردش مالی تبدیل شود بدون آنکه حتی بانک متوجه شود.
مسیرهای زیادی وجود دارند که ده دلار آمریکا، ده یوروی آمستردام یا ده پوند لندن به یک حساب اشتباه، واریز شوند. یکی از این مسیرها یک حملهٔ مرد میانی TLS/SSL است.
مرد میانی، نوعی از حملهٔ سایبری است که یک جاعل خود را میان تعاملات دو طرف میاندازد، هویت هر دو طرف را جعل میکند و به اطلاعاتی که آنها قصد دارند برای یکدیگر بفرستند دسترسی مییابد. با توجه به آنکه هر دزدی، بسیار کوچک است حتی نمیتوان گفت که رخ داده است.
تجزیهوتحلیلهای زیادی پیرامون حجم یا تأثیرات این قبیل حملات انجام نشده و محافظت در برابر آنها نیز خیلی حائز اهمیت نبوده است. این فقدانِ درک میتواند صنعت را در برابر موارد روزافزونِ تقلبهای سایبری، بیپناه کند.
بههرحال واضح است برای تأمینکنندگانی که میخواهند همزمان با ورود PSD2، همچنان امن باقی بمانند فناوریهای گستردهای که اپلیکیشنها را فراتر از دیوار آتش، مقاوم میکنند اهمیت روزافزونی خواهند داشت.
کلوکوِیرِ شرکت ایردِتو برای پرداختها و بانکداری، در یک کنفرانس تراکنشی دربارهٔ توسعهٔ حرفهای و پایدار در عرصهٔ پرداختهای شخصی تحت عنوان «اوج پرداختهای اروپایی» برندهٔ جایزهٔ فلورین در گروه «امنیت چندکانالهٔ پرداختها» شد. کلوکوِیرِ شرکت ایردِتو برای پرداختها و بانکداری، بانکها و تأمینکنندگان خدمات پرداخت را قادر میسازد به کمک دانشِ امنیتِ نهفته در کلوکوِیرِ، خلاقیت سریع و بههنگام داشته باشند.
دربارهٔ دیوید جونز
دیوید در سال ۲۰۰۸ میلادی به ایردِتو پیوست. از آن زمان تاکنون مسئولیتهای وی شامل استراتژی مشارکت جهانی، مدیریت بازرگانی و خدمات پشتیبانی فنی شرکاء بوده است.
دیوید در سال ۲۰۱۴، به پشتوانهٔ تجربهٔ گستردهاش در عرصهٔ بینالمللی، به تیم توسعهٔ کسبوکار پیوست تا ورودیهای ایردِتو را به سمت بازارها و بخشهای نوین، هدایت کند.
در حال حاضر دیوید، مدیر بخش پرداختها و بانکداری است و فناوریها و راهکارهای هستهایِ ایردِتو را با استفاده از فروش و کانالهای مستقیم به صنعت خدمات مالی معرفی میکند.
دربارهٔ ایردِتو (Irdeto)
ایردِتو با حدود ۵۰ سال سابقه در حوزهٔ امنیت، یکی از پیشگامان پلتفرمِ دیجیتال و اپلیکیشن امنیتی است. فناوریِ ایردِتو بیش از ۷۵۰ میلیون دلار آمریکا در پرداختها و بیش از ۵ میلیارد دستگاه و اپلیکیشنِ برخی از نامآشناترین برندهای دنیا را در برابر حملات سایبری حفظ میکند.
ایردِتو به اتکای این مهارت خود در عرصهٔ امنیت، بانکها و تأمینکنندگان خدمات پرداخت را قادر میسازد یک خرید دیجیتالی به همراه تجارب بانکداریِ امن و راحت برای مشتریان به همراه آورند.