Het te midden van de COVID-19-crisis beschermen van uw bank-apps tegen verschillende beveiligingslekken is dringende noodzaak geworden. In dit tijdperk van datalekken moet u, naast uw klantgegevens, ook uw bedrijf beveiligen.
Afgezien van de pandemie, is het nog steeds een slim idee om uw huidige beveiligingsstrategie opnieuw te overwegen. Volgens CSO Online is er een kans van 28% dat bedrijven met een datalek worden geconfronteerd in de komende twee jaar. Gezien de verwoestende gevolgen van inbreuken op de privacy, kunt u niet op het verbeteren van uw netwerk- of apparaatbeveiliging vertrouwen om uw apps te beschermen.
Helaas zijn web- en mobiele apps zeer vatbaar voor cyberaanvallen. Daarom zijn organisaties - vooral financiële instellingen - verplicht om enkele extra voorzorgsmaatregelen te nemen om de beveiliging van hun apps naar een hoger niveau te brengen.
Zonder dergelijke maatregelen zullen traditionele beveiligingsstappen zoals firewalls en antivirussoftware niet veel verschil uitmaken. Gelukkig is de beveiliging van uw apps tegen reverse engineering en manipulaties in uw eigen handen, dus hoeft u geen enorm budget toe te wijzen om dit probleem te verhelpen.
Waarom zijn bank-apps kwetsbaar?
De architectuur van bank-apps is één van de ernstigste kwetsbaarheden die tot inbreuken kunnen leiden. Een app is een stuk software dat is verbonden met het backend-systeem van de bank met behulp van op standaarden gebaseerde Application Programming Interfaces (API's).
Deze API's zijn meestal open source, wat erg handig is voor ontwikkelaars. Aan de andere kant creëren ze mazen in de beveiliging die niet kunnen worden opgelost of verminderd met traditionele beveiligingsmaatregelen zoals firewalls of webapplicatie-firewalls (WAF's).
Zowel API's als apps voor mobiel bankieren ontwikkelen bijvoorbeeld machine-naar-machine en versleutelde interacties op het netwerk. Aanvallers kunnen van machine-naar-machine-interacties profiteren door zelf schaduw-API's te creëren. Ironisch genoeg duiken deze schaduw-API's niet op als gecompromitteerde eindpunten, waardoor hackers en cybercriminelen zich kunnen verbergen door als goedgekeurde gebruikers te verschijnen, omdat netwerkfilters niet in staat zijn om ze te identificeren.
Het eigendom van Apps is verdeeld
Het eigendom van Apps is een andere omslachtige factor als het gaat om het beveiligen van bank-apps tegen datalekken. Er zijn meestal twee eigenaren: één die voor de bank werkt en de ander is een externe eigenaar.
In de meeste sectoren is een branchemanager meestal degene die de vereisten van de software definieert. Het ontwikkelingsteam is voornamelijk verantwoordelijk voor het maken ervan, en het IT Ops-team moet hem dienovereenkomstig implementeren.
Wat het bankwezen betreft, zijn de branchemanagers de eigenaren van de apps voor mobiel bankieren. De IT-afdeling is ook eigenaar en er is een externe entiteit die de app moet ontwikkelen en de API's moet beheren.
Dit type eigendom veroorzaakt problemen vanuit het oogpunt van de beveiliging, omdat drie eigenaren de verantwoordelijkheid delen. Er is een grote kans dat er op elk moment iets mis kan gaan.
Indien er een probleem optreedt dat de beveiliging betreft, kan er onenigheid bestaan over wie het probleem zal oplossen.
Oneigenlijk gebruik van het mobiele platform
Beide mobiele besturingssystemen, Android en iOS, voorzien hun gebruikers van unieke beveiligingsfuncties in de vorm van machtigingssystemen of TouchID. Als u ze niet op de juiste manier gebruikt, kunt u als gevolg hiervan met bedreigingen van privacy worden geconfronteerd, die uw cruciale persoonlijke gegevens blootstellen aan hackers.
Gegevensopslag is onveilig
Elke app die u gebruikt heeft wat ruimte nodig om uw gegevens op te slaan. De opslagoplossingen, inclusief interne opslag, moeten zeer veilig zijn als u uw gevoelige informatie wilt opslaan. Deze stap is de eerste verdedigingslinie bij het voorkomen van datalekken.
Als u niet in staat bent om uw gegevensopslag te beveiligen, kunnen hackers toegang krijgen tot uw gevoelige gegevens en deze voor hun eigen gewin misbruiken.
Communicatie is kwetsbaar
Mobiele apps moeten communiceren met externe gegevensbronnen zoals NFC, Bluetooth-apparaten, servers, enz. U kunt deze communicatie niet vermijden; anders zou de app niet optimaal kunnen presteren. Maar deze activiteit kan ook uw gegevens lekken.
Implicaties van PSD2 op banken
Het primaire doel van PSD2 (Richtlijn voor Betalingsdiensten 2) is om fraude en kwaadaardige activiteiten te verminderen en de beveiliging van online betalingen te verbeteren. De wet heeft tot doel het gebruik van digitale documenten te versterken en ook om de digitale veiligheid te vergroten. Bovendien ondersteunt de PSD2 ook het idee van open bankieren en concurrentie binnen de financiële sector.
De wet verplicht banken om gekwalificeerde derden geautomatiseerde toegang te verlenen tot de transactierekeningen van particuliere en zakelijke klanten. De PSD2 stelt fintechs, grote ondernemingen, banken en klanten in staat om nauw met banken samen te werken, als PSP's. Bovendien streeft de wet ernaar om de consumenten een veel betere online beveiliging te bieden op het gebied van online betalingen en de algemene klantervaring.
Hoe kunnen beveiligingslekken in bank-apps worden voorkomen?
Banken zullen robuuste beveiligingsmaatregelen moeten nemen om hun apps tegen gegevens- of beveiligingslekken te beschermen. Hier is de lijst met de best mogelijke oplossingen waarmee banken hun apps adequaat kunnen beveiligen:
- Verschillende tactieken hanteren, zoals het continu scannen van apps en kwetsbaarheidsanalyses om privacy problemen met gegevens in Android- en iOS-apps te omzeilen.
- Vanuit het oogpunt van de gebruikers moeten ze altijd hun internetverbindingen beveiligen voordat ze zich toegang verschaffen tot hun bankrekeningen op hun mobiele telefoons, vooral wanneer ze openbare wifi-netwerken gebruiken.
- Banken moeten alle belanghebbenden bij het proces van app-ontwikkeling en -implementatie betrekken om inzicht in de tekortkomingen in de beveiliging te krijgen vóór de release van een bankapp.
- Banken zouden in AI (Artificial Intelligence) moeten investeren om de beveiliging van hun apps voor mobiel bankieren te verbeteren. Hierdoor kunnen ze het geld van hun klanten die mobiel bankieren veilig bewaren.
- Banken moeten hun mobiele platforms beschermen door de beste beveiligingspraktijken te implementeren.
- Banken moeten hun klanten leren hoe ze mobiele platforms veilig kunnen gebruiken.
- Banken moeten adequate veilige algoritmen implementeren waarmee ze de interne opslag van hun apps kunnen beveiligen.
- Banken moeten de communicatie van hun apps beschermen door tools voor de communicatiebeveiliging toe te passen, zoals effectieve versleutelingsalgoritmen en andere.
- Banken, klanten, betalingsdienstaanbieders en andere belanghebbenden moeten de PSD2-wet volgen om hun online betalingsmechanismen te beveiligen met behulp van gekwalificeerde certificaten voor website-authenticatie (QWAC) en gekwalificeerde certificaten voor elektronische zegels (QSealC).
Afrondend
Zowel banken als klanten moeten het eens zijn als het gaat om het beveiligen van hun gevoelige financiële informatie tegen verschillende online bedreigingen. Banken moeten regelmatig app-scans en kwetsbaarheidsanalyses uitvoeren om de prestaties van hun apps op het gebied van beveiliging en privacy te verbeteren, en er ook voor zorgen dat ze aan alle richtlijnen en voorschriften voor gegevensprivacy, zoals PSD2, voldoen.
Klanten moeten hun bank-apps ook beveiligen door op mobiele apparaten gebaseerde antivirussoftware te installeren en VPN's te gebruiken waarmee ze hun financiële informatie kunnen beschermen.
