بررسی Open API در استاندارد جدید PSD2 / چالش‌های امنیتی که بانک‌ها با آن مواجه خواهند شد

PSD۱ که در سال ۲۰۰۷ منتشر شد برای متناسب‌سازی بازار اروپا با خدمات پرداخت طراحی‌شده بود و نسخه جدید این استاندارد که با عنوان PSD2 از ژانویه ۲۰۱۸ به کار گرفته می‌شود، با حفظ مزایای نسخه پیشین و افزایش شفافیت و حمایت از مشتری و امنیت، بخصوص با توجه به پرداخت آنلاین و تلفن همراه و قیمت‌گذاری ایجادشده است. (+)
 
دیوید جونز از شرکت ایردِتو (Irdeto) می‌گوید که API هایِ در راه، بسترهای مناسبی برای آسیب‌های نوینی هستند که ممکن است توسط هکرها وارد شوند. درباره همین موضوع، دیوید جونز که در حال حاضر مدیر بخش پرداخت‌ها و بانکداری ایردتو است به پرسش‌هایی که در خصوص Open API ها و استاندارد PSD2 وجود دارد، پاسخ می‌دهد.
 
هنگامی‌که PSD2 توسط اعضای بین‌المللی به قانون ملی معرفی شود بانک‌های اروپایی باید دست‌به‌کار شده و دسترسی به تأمین‌کنندگان ثالث را برای حساب‌های مشتریان، فراهم آورند. حال این وضعیت، چه پیامدی برای امنیت آنلاین دارد؟
 
مشتریان با PSD2 می‌توانند از طریق وب‌سایت‌های تأمین‌کنندگان ثالث، حساب‌های بانکی خود را مشاهده کرده و عملیات بانکی انجام دهند.
 
علاوه بر این طبق قوانین و مقررات جدید، تأمین‌کنندگان ثالث می‌توانند اختیارات بازیابی داده‌های مالی از بانک صادرکننده را نیز داشته باشند. این بدان معناست که بانک‌ها امکان دسترسی به پشت سیستم‌ها را برای تأمین‌کنندگان ثالث فراهم می‌آورند تا بتوانند داده‌ها را بازیابی کنند.
 
این سطح دسترسی، شباهت بسیار زیادی به Open API دارد. مدل‌های کسب‌وکار جالبی در حال پیدایش در این فضا است اما ازنقطه‌نظر امنیتی، پیچیدگیِ امن نگاه داشتن داده‌ها نیز به‌طور چشمگیری افزایش خواهد یافت.
 
یکی از محرک‌های اساسی این است که مشتریان با نمونه‌های بسیار زیادی مشابه بانک‌های سنتی خود در ارتباط هستند و بدین ترتیب فضای حملهٔ هکرها چند برابر می‌شود.
 
ظهور Open API، بستر مناسبی برای آسیب‌رسانیِ هکرها است بنابراین بسیار حیاتی و حائز اهمیت است که تأمین‌کنندگان تا زمان پیاده‌سازی PSD2 یعنی تا ژانویه سال ۲۰۱۸، با دقت هرچه‌تمام‌تر مراقب این استانداردها باشند.
 
Open API مستلزم چه موارد امنیتی است و کدام نهاد، مسئولیت اصلی تأمین امنیت داده‌ها را بر عهده دارد؟
 
صنعت پرداخت و بانکداری در میانهٔ دگرگونیِ دیجیتالی قرار دارد. تأمین‌کنندگان سنتی خدمات مالی در همهٔ عرصه‌ها در حال مواجهه با وقایع نوین هستند.
 
هم‌زمان، جرائم اینترنتی نیز از یک هکر با یک لپ‌تاپ و یک آدرس آی‌پیِ جعلی فراتر رفته و تبدیل به سازمان‌های جهنده با مهارت‌های بالا شده که حملات اینترنتیِ جهانی را اجرا می‌کنند؛ بنابراین موارد بسیار زیاد دیگری علاوه بر هدایتِ موفقیت‌آمیز، وجود دارند که باید به آن‌ها اندیشید.
 
درنتیجه بانک‌ها و تأمین‌کنندگان خدمات پرداخت باید به این ادراک برسند که استانداردهای فعلیِ صنعت در عرصهٔ امنیت شبکه، رمزنگاری و تأمین توسعهٔ امن، کافی نیستند.
 
آن‌ها مسئول حفظ امنیت داده‌ها در برابر جرائم اینترنتی هستند که روزبه‌روز نیز پیچیده‌تر و سازمان‌دهی‌تر می‌شوند. این امر مستلزم حفظ امنیت «قابل‌اثبات در آینده» است چراکه این امکان را برای سازمان‌های مالی فراهم می‌آورد تا خدمات موجود را مستحکم‌تر و خدمات جدید خود را در برابر تهدیدهای پویای امروزی، مقاوم‌تر کنند.
 
هم‌اکنون بانک‌ها و تأمین‌کنندگانِ درگاه‌های API­، از چه معیارهای امنیتی استفاده می‌کنند؟
 
امروزه بانک‌ها از مجموعه‌ای از محصولات امنیت شبکه و API استفاده می‌کنند. اغلب این محصولات در قالب درگاه‌های API است که سندیت، اختیارات و پایش را به API می‌افزاید. به‌هرحال ازآنجایی‌که اپلیکیشن‌های وب و موبایل که به API متصل می‌شوند می‌توانند روزنه‌ای برای لو رفتن اطلاعات (بانکی) حساس باشند لذا این معیارها و استانداردها کافی نیستند.
 
این موضوع در عمل، بدان معناست که هر بار مشتری روی صفحه، کلیک می‌کند سِرورهای بانک از طریق اینترنت و از مجرای یک محیط کنترل نشده قابل‌دسترسی خواهند بود.
 
چنین فعل‌وانفعالات اینترنت-محور، داده‌های مشتریان را به یک هدفِ خوش و آب و رنگ‌تری برای جرائم اینترنتی تبدیل می‌کند. طبق گزارش سال ۲۰۱۶ شرکت وِریزون (Verizon) در بررسی نقض داده‌ها، حدود ۴۰ درصد از سرقت داده‌ها از طریق اپلیکیشن‌های وب انجام می‌شوند.
 
این موضوع صراحتاً بدان معناست که ملاحظات امنیتیِ فعلی، کافی نیستند به‌ویژه با وجود دگرگونی‌های دیجیتالی که پرداخت‌ها و بانکداری با آن‌ها مواجه هستند.
 
بانک‌ها و تأمین‌کنندگان ثالث در بازنگری رویکردهای امنیتی خود، چه ملاحظاتی را باید در نظر داشته باشند؟
 
بانک‌ها و تأمین‌کنندگان ثالث باید آخرین استانداردهای امنیتی را پیاده‌سازی کنند که فراتر از پروتکل‌های استاندارد صنعت، تحت عنوان HTTPS است.
 
به‌علاوه مهم است در برابر حمله‌هایی که بین کاربران اینترنتی و سِرور رخ می‌دهند (غالباً تحت عنوان حملاتِ مرد میانی (Man-in-the-Middle attacks) شناخته می‌شوند) نیز ایمن باشند.
 
به‌علاوه بانک‌ها و تأمین‌کنندگان ثالث از قدیم‌الایام روی امنیتِ محیطی، تمرکز کرده و جاوا اسکریپت و API ها را داخل دیوار آتش، محافظت کرده‌اند.
 
به‌هرحال حملات مرد میانی، جاوا اسکریپت‌ها و API هایی را که خارج از دیوار آتش و در قالب پرداخت هستند هدف قرار می‌دهند. بهترین روش برای محافظت در برابر حملات مرد میانی این است که جاوا اسکریپت‌هایی که در قالب پرداخت، اجرا می‌شوند مقاوم شوند. با این کار، بانک‌ها و تأمین‌کنندگان ثالث نه‌تنها کدها بلکه API هایی را که داده‌ها را از سطح به سمت سِرور می‌برند محافظت می‌کنند.
 
با وجود جرائم سایبری که پیچیدگیِ آن‌ها روزافزون است، چه چالش‌های امنیتیِ دیگری برای بانک‌ها پیش‌بینی می‌کنید؟
 
با پیاده‌سازیِ PSD2 در صنعت خدمات مالیِ اروپایی، طبیعی است که جاوا اسکریپت و API هایی که در خارج از دیوار آتش اجرا می‌شوند (Open API) بستری برای دسترسیِ تأمین‌کنندگان ثالث به داده‌های بی‌نهایت حساس باشند.
 
در حال حاضر اکثر تأمین‌کنندگانِ خدمات، به شکاف‌های خارج از دیوار آتش، توجه زیادی نشان نمی‌دهند. این شکاف‌ها ازنظر آن‌ها یا آن‌قدر کوچک است که ارزش زنگ خطر ندارند و یا «خطای انسانی» غیرقابل تشخیص است مانند خطای یک اپراتور بانک خُرد هنگام شمارش چندین ده پوندی.
 
به‌هرحال چندین «خطای انسانی»- ده دلار آمریکا، ده یوروی آمستردام یا ده پوند لندن- طیِ صدها روز و بین ده‌ها شهر می‌تواند به مقدار قابل‌توجهی از دزدیِ گردش مالی تبدیل شود بدون آنکه حتی بانک متوجه شود.
 
مسیرهای زیادی وجود دارند که ده دلار آمریکا، ده یوروی آمستردام یا ده پوند لندن به یک حساب اشتباه، واریز شوند. یکی از این مسیرها یک حملهٔ مرد میانی TLS/SSL است.
 
مرد میانی، نوعی از حملهٔ سایبری است که یک جاعل خود را میان تعاملات دو طرف می‌اندازد، هویت هر دو طرف را جعل می‌کند و به اطلاعاتی که آن‌ها قصد دارند برای یکدیگر بفرستند دسترسی می‌یابد. با توجه به آنکه هر دزدی، بسیار کوچک است حتی نمی‌توان گفت که رخ داده است.
 
تجزیه‌وتحلیل‌های زیادی پیرامون حجم یا تأثیرات این قبیل حملات انجام نشده و محافظت در برابر آن‌ها نیز خیلی حائز اهمیت نبوده است. این فقدانِ درک می‌تواند صنعت را در برابر موارد روزافزونِ تقلب‌های سایبری، بی‌پناه کند.
 
به‌هرحال واضح است برای تأمین‌کنندگانی که می‌خواهند هم‌زمان با ورود PSD2، همچنان امن باقی بمانند فناوری‌های گسترده‌ای که اپلیکیشن‌ها را فراتر از دیوار آتش، مقاوم می‌کنند اهمیت روزافزونی خواهند داشت.
 
کلوک‌وِیرِ شرکت ایردِتو برای پرداخت‌ها و بانکداری، در یک کنفرانس تراکنشی دربارهٔ توسعهٔ حرفه‌ای و پایدار در عرصهٔ پرداخت‌های شخصی تحت عنوان «اوج پرداخت‌های اروپایی» برندهٔ جایزهٔ فلورین در گروه «امنیت چندکانالهٔ پرداخت‌ها» شد. کلوک‌وِیرِ شرکت ایردِتو برای پرداخت‌ها و بانکداری، بانک‌ها و تأمین‌کنندگان خدمات پرداخت را قادر می‌سازد به کمک دانشِ امنیتِ نهفته در کلوک‌وِیرِ، خلاقیت سریع و به‌هنگام داشته باشند.
 
دربارهٔ دیوید جونز
دیوید در سال ۲۰۰۸ میلادی به ایردِتو پیوست. از آن زمان تاکنون مسئولیت‌های وی شامل استراتژی مشارکت جهانی، مدیریت بازرگانی و خدمات پشتیبانی فنی شرکاء بوده است.
 
دیوید در سال ۲۰۱۴، به پشتوانهٔ تجربهٔ گسترده‌اش در عرصهٔ بین‌المللی، به تیم توسعهٔ کسب‌وکار پیوست تا ورودی‌های ایردِتو را به سمت بازارها و بخش‌های نوین، هدایت کند.
 
در حال حاضر دیوید، مدیر بخش پرداخت‌ها و بانکداری است و فناوری‌ها و راهکارهای هسته‌ایِ ایردِتو را با استفاده از فروش و کانال‌های مستقیم به صنعت خدمات مالی معرفی می‌کند.
 
دربارهٔ ایردِتو (Irdeto)
ایردِتو با حدود ۵۰ سال سابقه در حوزهٔ امنیت، یکی از پیشگامان پلتفرمِ دیجیتال و اپلیکیشن امنیتی است. فناوریِ ایردِتو بیش از ۷۵۰ میلیون دلار آمریکا در پرداخت‌ها و بیش از ۵ میلیارد دستگاه و اپلیکیشنِ برخی از نام‌آشناترین برندهای دنیا را در برابر حملات سایبری حفظ می‌کند.
 
ایردِتو به اتکای این مهارت خود در عرصهٔ امنیت، بانک‌ها و تأمین‌کنندگان خدمات پرداخت را قادر می‌سازد یک خرید دیجیتالی به همراه تجارب بانکداریِ امن و راحت برای مشتریان به همراه آورند.