امنیت و حفاظت اطلاعات در بانکداری باز

توسط Finnotech به روز رسانی شده در مرداد ۱۸, ۱۴۰۱ 4,462

آیا بانک‌داری باز امن است؟

مهم ترین نکته در بانک‌داری باز این است که کاربران کاملا در به اشتراک‌گذاری داده‌های خود مختار هستند. به عنوان مثال، اپلیکیشنی وجود دارد که خدمات مدیریت سرمایه ارائه می کند و برای ارائه خدمات خود نیازمند دسترسی به اطلاعات شما است. با فرض اینکه بانک ها اجازه استفاده این اپلیکیشن از خدمات بانک‌داری باز را داده باشند و API های خود را در اختیار این اپلیکیشن قرار داده اند، تا زمانی که شما به عنوان یک کاربر و مشتری بانک، اجازه دسترسی این اپلیکیشن به اطلاعات مالیتان را نداده باشید، هیچ اطلاعاتی در اختیار هیچ شرکتی قرار نمی‌گیرد و به هیچ وجه از کاربر خواسته نمی شود تا رمز‌ها و پسوردهای حساب کاربری خود را با کسی یا اپلیکیشنی به اشتراک بگذارد.

شرکت های طرف سوم که قصد وارد شدن و استفاده از خدمات پلتفرم بانک‌داری باز را دارند، به وسیله تست های امنیتی ارزیابی می شوند.

در حال حاضر، کسب وکارهایی که به سرویس های مالی بانک ها وصل هستند و از آنها برخی دسترسی ها و اطلاعات را دریافت می کنند، از تکنولوژی Screen-Scraping استفاده می کنند. این تکنولوژی موجب می شود تا به اطلاعات پسورد و جزئیات حساب کاربری کاربران دسترسی داشته باشند؛ به دنبال آن می توانند تخلفات زیادی را انجام دهند. مثلا می توانند بجای کاربران پرداخت کنند. این در حالی است که استفاده از API موجب می شود که کاربران به طور مستقیم به حساب بانکی خود وصل شوند و نیازی نباشد تا از طریق وب سایت های دیگر به حساب بانکی خود متصل شوند و اطلاعات خود را با شرکت ها وافراد دیگر به اشتراک بگذارند.

در پلتفرم بانک‌داری باز، کاربر همیشه کنترل اجازه دسترسی به اطلاعات خود را در اختیار دارد و هرزمانی که بخواهد می تواند دسترسی اپلیکیشن مورد نظر به آن ها را ببندد.

شرکت های استفاده‌کننده از خدمات بانک‌داری باز، به هیچ وجه به طور مستقیم به حساب کاربری مشتریان وصل نمی شوند؛ به عبارت دیگر این شرکت ها وارد حساب کاربران نمی شوند بلکه تنها اطلاعاتی از حساب کاربری مشتریان در اختیار این کسب وکارها قرار می گیرد که به سرویس دهی بهتر به مشتریان کمک می کند.

برای جلوگیری از هرگونه هرج و مرج و غیرایمن شدن تبادلات اطلاعات مالی، سعی در توسعه قانونی شد تا ضمن اینکه همه از این قانون تبعیت می کنند، بر اساس آن اطلاعات کاربران نیز امن بماند. که قانون PSD2 به خودی خود، امنیت داده‌ها و اطلاعات را به همراه دارد.

شرکت‌ها، توسعه دهندگان و موسسات مالی برای دسترسی به خدمات بانک‌داری باز چه مواردی را باید رعایت کنند؟

برای فرایند احراز هویت(Authentication) از سه المان باید استفاده شود: دانش، مالکیت و اصالت(Knowledge, Possession, inherence). این موضوع موجب جلوگیری هرچه بیشتر از تخلفات(fraud) می شود.
استانداردهای امنیتی باید مطابق با ISO 27001 باشد.
API که قرار است بانک ها از سرویس های پایه ای خود (ابزارهای پرداخت و اطلاعات مربوط به حساب ها) در اختیار شرکت ها (TTP[۱]) قرار دهند باید تحت همان SLA باشد که بانک ها به ابزارهای تحت توسعه خود مانند(Online Banking) می دهند.
بانک ها باید Core Banking خود را بر اساس استاندارد ISO2002 در اختیار این پارتنرها قرار دهند
برای راحتی هرچه بیشتر کاربران، معافیت “عدم نیاز به احراز هویت به ازای هر تراکنش” در اختیار این شرکت ها قرار می گیرد. یعنی لازم نیست به ازای هر تراکنش، کاربر اطلاعات خود را وارد و احراز هویت کند.

احراز هویت و جلوگیری از تخلفات مربوط به احراز هویت (fraud)

برای بالابردن سطح احراز هویت و در کنار آن، راحتی و سهولت کاربران از روش OAuth2 استفاده می شود که هم میزان تخلفات را کاهش می‌دهد و هم کاربر کنترل حساب کاربری خود را در اختیار دارد و می‌تواند بدون واردشدن پیاپی، تراکنش انجام دهد.

از آنجا که امروزه، سرویس‌ها بر روی کانال های مختلف عرضه می شوند(اپلیکیشن، وب سایت، نرم افزارهای دسکتاپ و …) نیاز است تا بیش از یک المان برای احراز هویت کاربران استفاده شود. رمز ورود، ارسال کد اختصاصی به ایمیل و شماره تلفن، فینگر تاچ و … .

با راه اندازی سرویس بانک‌داری باز، تعداد تراکنش ها و وسعت فعالیت ها افزایش می یابد و این موضوع ممکن است امنیت سایبری بانک ها و طرف های سوم را به خطر بیاندازد. برای این موضوع، چه تمهیداتی اندیشیده شده است؟

خواه ناخواه، پیاده سازی سیستم بانک‌داری باز توسط بانک ها، به دلیل افزایش حجم تراکنش ها و افزایش راه های نفوذ، خطرات امنیتی را برای آنها افزایش می دهد.

در زیر تصویری وجود دارد که نشان می دهد بانک ها برای کاهش خطرات مربوط به امنیت سایبری، چگونه API خود را باید به اشتراک بگذارند.

امنیت مربوط به API باید بخش جدایی ناپذیر پیاده سازی API برای کسب وکارها باشد و برای حصول به این موضوع باید به ساختار و معماری API مسلط بود.

API ها به عنوان یک ارتباط دوطرفه بر پایه اعتماد میان دو کسب وکار(B2B) تعریف می شود و این بدان معنی است که کنترل بر روی آن به اندازه سرویس هایی که به صورت مستقیم با مشتری در ارتباط است، اهمیت ندارد. به علت حساسیت بالای تراکنش ها و عملیات بانکی، طراحی API در این حوزه باید بر اساس ۴ مشخصه زیر باشد:

کنترل های مربوط به دسترسی و سطح دسترسی: چه کسی و تا چه اندازه به سرویس های موجود دسترسی داشته باشد.
شناسایی تهدید ها: شرکت های طرف سوم باید تهدیدهایی که ممکن است از کانال آنها رخ دهد را پیش بینی و مسائل امنیتی مروبط به آن را رعایت و مرتفع کنند
محرمانگی: جلوگیری از به اشتراک‌گذاری اطلاعات کاربران، اطلاعات کسب وکارها میان یک دیگر، اطلاعات بانک ها میان یک دیگر
یکپارچگی: هرچه ارتباط میان سرویس های توزیع شده و نحوه دسترسی طرف های سوم به این سرویس ها یکپارچه تر باشد، راه های نفوذ کاهش می یابد.

بر اساس این معماری، طراحی API ها باید به گونه ای باشد که در مقابل حملات DDoS(Distributed denial of Service) مقاوم باشد. اگرچه در وهله اول این خطرات به عنوان یک تهدید محسوب می شوند اما می توانند یک فرصت نیز باشند. چرا که طراحی سیستم هایی که بر اساس open API کار می کنند به عنوان نمونه ای از توسعه یک پروژه “greenfield” محسوب می شود و شرکت ها مجبورند از ابتدا یک سرویسی را توسعه دهندکه این موضوع باعث می شود از همان اول تمام مسائل امنیتی دیده شود.

برخی از راه های افزایش امنیت در زیر نشان داده شده است:

تخلفات و جرایم مالی – بانکی

زمانی که بانک ها API ارائه می دهند و به دنبال آن زیرساخت خود را به روی شرکت ها و اپلیکیشن ها(که تعداد آنها بیشمار است) باز می کنند، موجب می شود تا فرصت های بیشماری برای تخلفات مالی ایجاد شود. در حال حاضر و در سرویس های موجود در سیستم بانکی مساله تخلفات مالی وجود دارد و هر روز راه های جدیدی برای رفع این موضوع پیگیری می شود اما با پیاده سازی API توسط بانک ها و به دنبال آن ایجاد یک بستر بزرگ برای دسترسی حجم بالای شرکت ها و افراد به این بستر، خطرات مربوط به تخلفات مالی حتی از قبل هم بیش‌تر می‌شود. برای جلوگیری از این موضوع، چه تمهیداتی اندیشیده شده است؟

اساس و ماهیت شکل گیری قانون PSD2 این نبود که تنها بانک ها را ملزم کند تا زیرساخت خود را در اختیار بقیه قرار دهند؛ بلکه آمد تا موارد مربوط به امنیت و حفاظت اطلاعات را به طور کلی عوض کند و مشکلات موجود و آنچه که قرار است در آینده رخ دهد را حل کند.

در حال حاضر سیستم های بانکی بر اساس ارتباط مستقیم با مشتریان و کاربران طراحی شده اند و این بدان معنی است که بانک ها مجبورند تا تمام مشتریان و افراد را خودشان را هویت سنجی کنند . با پیاده سازی بانک‌داری باز:

“موضوع ورود و احراز هویت کاربران به سمت اپلیکیشن های شرکت های دیگر منتقل می شود و آنها باید کاربران را در مبدا هویت سنجی کنند. درواقع تعداد لاگین ها به اپلیکیشن های دیجیتال بانک‌داری باز کاهش می یابد و تعداد احراز هویت هایی که بانک انجام می دهد کم می شود”

تاکنون بانک ها برای رفع موضوع تخلفات مالی، از نرم افزارهایی استفاده می کردند که برای مدت ۱۸ تا ۲۴ ماه بر اساس اتفاقات افتاده، نرم افزار مورد نظر کامل تر شود. برای اینکه این اتفاق برای سیستم جدید رخ دهد نیز حداقل ۲ سال لازم است تا کانال ها و مکان هایی که ممکن است تخلفات مالی رخ دهد شناسایی شوند.

تا زمانیکه سیستم های شناسایی تخلفات در این شرکت ها(شرکت های طرف سوم) کامل شود نیاز است تا دپارتمان های تحلیل آنالیتیکس تخلفات(Frauds) در بانک ها خودشان تراکنش ها را مانیتور کنند و سیستم های شناسایی تخلفات خودشان در بستر بانک‌داری باز داشته باشند. در این حالت، بانک ها می توانند دسترسی شرکت های طرف سوم در هر زمانی که احساس کنند شواهدی مبنی بر هرگونه تخلفی وجود دارد را به سرویس های خود ببندند. بنابراین در کوتاه مدت، موضوع فرق نمی کند و سیستم های بانک همانند گذشته، می توانند جلوی هرگونه تخلفی که شناسایی کنند را بگیرند.

اما نکته بسیار قابل توجه در بلند مدت این است که بعد از تکمیل نرم افزارهای شرکت های طرف سوم که به دنبال آن فرایندهای شناسایی تخلفات آنها نیز تکمیل می شود، شناسایی تخلفات در دو محل و در دو مرحله اتفاق می افتد. در مرحله اول از طریق اپلیکیشن های طرف سوم و در مرحله دوم توسط نرم افزارهای شناسایی تخلف بانک‌ها.