Что нужно знать финтех-проекту о кибербезопасности

В этом году Всемирный экономический форум в Давосе опубликовал доклад о глобальных рисках, куда впервые включил технологические риски, понимая под ними в первую очередь риск утечки данных и киберпреступления. Оба эти пункта напрямую касаются финтех-индустрии. Количество киберпреступников растет так же стремительно, как и количество финансовых стартапов. Поэтому, разрабатывая политику безопасности и защиты данных, вам надо учитывать самые распространенные проблемы, с которыми сталкивается финтех. Рассказываем подробнее!

1. Мобильные приложения как элемент киберугрозы

Мобильные приложения финтех-проектов получают доступ к клиентским данным. Именно эти приложения чаще всего становятся объектом кибератак, чтобы преступники могли получить доступ к инфраструктуре самой компании и ее внутренней сети.

Совет: внедрите систему управления уязвимостями.

2. Комплексная интеграция со сторонними системами

Чем больше у вас интеграций со сторонними партнерами, тем более вы уязвимы. Все сторонние системы разработаны по-разному, что порождает проблемы совместимости и кибербезопасности. При большом количестве таких решений становится сложным отслеживать потенциальные атаки и предупреждать их до возникновения проблем.

Совет: внедрите безопасный жизненный цикл программного обеспечения (SDLC), добавив к существующим операциям и процессам разработки дополнительные меры безопасности.

3. Облачные решения

Облачные решения позволяют быстрее и дешевле масштабироваться. Однако работа с облачными хранилищами данных требует дополнительного контроля в вопросах безопасности по сравнению с традиционными внутренними сетями и центрами данных. Большое количество функций и решений, интегрированных с облаком, предполагают передачу данных и снижают открытость распределенного окружения.

Советы:

  • Изучите, как ваш провайдер обеспечивает безопасность и надежность сохранности данных. Внедрите со своей стороны максимум возможных средств. Убедитесь в том, что вы полностью понимаете, где именно хранятся ваши данные.
  • Лучше использовать одного надежного провайдера, чем несколько небольших и непроверенных сервисов.

4. Любые сторонние сервисы

Все сторонние сервисы и приложения, которые используются финтех-проектом, также могут быть потенциальной лазейкой для киберпреступников. Мошенники взламывают их, чтобы оттуда подобраться к вашей инфраструктуре.

Совет: постоянно проводите аудит безопасности вашей системы. Проверяйте партнерские сервисы, запуская сперва тестовые аккаунты. Внедрите систему управления уязвимостями для своей компании.

5. Ошибки комплаенса

Финтех-компании, как правило, работают по лицензиям, выданным финансовым регулятором (PI, EMI и другие). Все они должны соблюдать все требования, включая постоянно меняющиеся правила директивы PSD2. За несоблюдение правил регулятора грозит в лучшем случае штраф, в худшем — лишение лицензии.

Совет: убедитесь, что услуги вашего провайдера соответствуют всем требованиям регулятора и PSD2. Используйте те решения и сотрудничайте с теми партнерами, которые хорошо знакомы регулятору. Так, например, платежная платформа EpaySuite, с которой мы сотрудничаем, приняты регуляторами и используются многими финтех-компаниями по всему миру.

6. Человеческий фактор

Человеку свойственно ошибаться, и это надо учитывать. Это не значит, что среди ваших сотрудников может оказаться киберпреступник — человек может непредумышленно установить вредоносную программу и тем самым запустить вирус, крадущий данные. Чаще всего хакеры Black Hat используют именно невнимательных пользователей, чтобы получить доступ к чужой инфраструктуре и совершить фишинговую атаку.

Совет: повышайте уровень грамотности своего персонала в вопросах IT-безопасности и проводите аудит и контроль логов сотрудников.

7. Проблемы идентификации

Онлайн-верификация — это характерный элемент любого финтеха, а также потенциальный путь для кибермошенников. Они получают доступ к данным и используют их для входа в систему.

Совет: обязательно используйте двухфакторную аутентификацию. Учитывайте, что SMS-аутентификация на сегодняшний день не считается достаточно надежной: лучше задействовать приложения, которые генерируют одноразовые пароли. Например, сервис OTP/Mac Generator аутентифицирует клиента как при входе, так и при подписании платежа, и при этом соответствует всем требованиям PSD2. И не зависит ни от мобильного оператора, ни от SIM-карты, ни от доступа к WiFi.

8. Конфиденциальность и защита персональных данных

Финтех зачастую работает с партнерами, которые получают доступ к клиентским данным. Закон обязывает получить разрешение клиента на обработку его данных сторонними партнерами — и это, поверьте, одна из самых неприятных процедур в коммуникации с вашей аудиторией. Клиента необходимо убедить, что его данные в надежных руках, а у компании достаточно технической и юридической мощи, чтобы обеспечить полную конфиденциальность.

Совет: изучите требования GDPR и соблюдайте их буква к букве.

В заключение

Сегодня вопросы кибербезопасности — одни из самых животрепещущих. Каждый человек беспокоится за сохранность своих персональных, а тем более, финансовых данных. И каждый сегодня понимает степень их уязвимости. Поэтому финтех-компаниям необходимо, с одной стороны, подробно рассказывать клиентам о мерах защиты их информации, а во-вторых, в точности соответствовать всем требованиям и правилам регулятора.

Если вы не хотите брать эту ношу на себя, вы можете ее делегировать нам. Мы предлагаем запуск финтех-проектов «под ключ», начиная от стратегии, документации, заканчивая полностью готовыми к старту платформами, соответствующими законодательству.