Több részes posztsorozatban vesszük sorra az internetes veszélyeket, illetve azok kikerülésének lehetőségeit. Tényleg a legfontosabb információkat próbáljuk meg összeszedni, de aki elolvassa ezt a sorozatot, máris többet tud majd a biztonságról, mint egy átlag felhasználó, és valószínűleg ki is tudja kerülni a nyilvánvaló csapdákat, amik valójában a csapdák 99%-a.
A legutóbbi posztunkban arról írtunk, milyen módon próbálják meg kicsalni jelszavainkat és pénzünket spamek segítségével, és miként lehet egyszerűen megbizonyosodni a támadás tényéről. A mai posztunkban egy ennél sokkal aktuálisabb, jelenleg is ránk leselkedő veszélyről lesz szó: amikor szerződésben vesznek rá minket arra, hogy adjuk oda a banki hozzáférésünket. Ilyen is van már, és lévén hogy nagyon friss probléma, kevesen tudják a hátterét.
A probléma a nyílt bankolás bevezetéséhez kapcsolódik.
A nyílt bankolás azt jelenti, hogy a bankok és pénzintézetek külső felek, szolgáltatók – más néven fintech-ek – számára elérhetővé teszik a számlaadatok lekérdezését, sőt lehetővé teszik, hogy tranzakciókat kezdeményezhessenek. Vagyis ezentúl nem csak mi, ügyfelek kérhetünk le adatokat, nem csak mi indíthatunk tranzakciót, hanem egy általunk megbízott szoftver is. Ha nem bízunk meg senkit ezzel, akkor nincs változás: továbbra is egy személyben vagyunk a saját számlánk kezelői.
A más néven PSD2-ként is ismert (Revised Payment Services Directive) EU-direktívát azért vezették be, mert rendkívül hasznos megoldásokat hozhat el a mindennapjainkba is. Lehetőséget ad arra, hogy végre a pénzügyi szektor is olyan digitális innovációkat valósítson meg, ami minden más informatikai területen évek óta zajlik. Például egy online számlázóprogramnak is lehetősége lehet arra, hogy lássa, a rajta keresztül kiállított számlákat megfizették-e már, és mikor zajlott a fizetés. Így ha kiállítunk egy számlát, nem kell többé manuálisan figyelni a banki szoftverben, megfizették-e. Mindez megtörténhet automatikusan, a lejárt kintlévőségeink miatt pedig automatikusan elküldheti a program a felszólító üzenetet.
De vajon a kapuk kinyitása nem jár-e biztonsági kockázattal?
Az eddig zárt, és egyben nagyon biztonságos banki rendszereket meg kellett nyitni. Természetes, hogy a nagyon biztonságos banki rendszereket nem nyithatják meg ennél kevésbé biztonságos irányokba, hiszen az a teljes rendszer biztonságát veszélyeztetné. A legalacsonyabb kerítésen ugranak át a támadók, és ha már bent vannak, akkor késő. Teljesen mindegy, hogy a kerítés a legmagasabb pontján milyen magas volt: a legalacsonyabb pont számít. Ennek köszönhetően végül olyan kritériumokat állítottak a piac új szereplői elé, hogy a kockázat ugyanolyan alacsony maradjon, mint eddig: a fintech-eknek olyan biztonságosnak kell lenniük, mint a bankoknak.
Ha egy szolgáltató vagy fintech szeretne megfelelni a fentieknek, akkor lehetősége van az MNB által kiadott számlainformációs szolgáltatói (AISP) engedélyért folyamodni. Ekkor elindul egy szigorú eljárás, melynek során ellenőrzik: az adott cég rendszere kellően biztonságos-e ahhoz, hogy megkapja a banki adatokat. Nagyon egyszerű tehát a képlet: ha egy szolgáltató rendelkezik AISP engedéllyel, akkor megkaphatja az adatokat, és biztosak lehetünk benne, hogy jól kezelik azokat. Ha nincs ilyen engedélye, akkor a szolgáltató nem férhet hozzá az adatokhoz.
A Számlázz.hu egyike annak a négy hazai szolgáltatónak, aki megszerezte az AISP engedélyt, az online számlázóprogramok közül egyedüliként.
És a rendszert nem most indítottuk el, az összeköttetést a K&H-val és Magnet Bankkal történő együttműködés keretében már korábban megvalósítottuk. Aki ennek a két banknak az ügyfele, már automatikusan láthatja a számlái kiegyenlítését, és hamarosan jönnek a többiek is.
Ennek ellenére nemcsak ez a négy szereplő hirdeti, hogy meg tudja oldani az adatok egyeztetését. AISP megfelelőség nélkül is azt ígérik, látni fogják a bankszámlaforgalmat. De vajon hogyan?
Megkérik az ügyfeleiket, adják át nekik vagy partnerüknek a banki jelszavaikat!
A szigorú megfelelőségi eljárást megkerülve leszerződhetnek egy adatszkennelő szolgáltatóval, akik megkapják a belépési adatokat, ezután pedig a mi nevünkben lépnek be a céges netbankunkba, hogy az adatokat letöltsék, a kinyert adatokat feldolgozzák. Neve is van ennek, screen scraping technikaként híresült el a folyamat.
Egyrészt mindenkit óva intünk attól – és ebben 100 biztonsági szakértőből 100 egyetért velünk -, hogy bárki kiadja egy harmadik félnek a saját, névre szóló banki belépési adatait. Nem csak azért, mert a harmadik fél nem megbízható – nyilván ez is közrejátszhat bizonyos esetekben -, hanem azért is, mert abban a pillanatban, hogy önként kiadjuk a belépési adatokat, a bankunk többé nem vállal felelősséget olyan számlaforgalmakért, amiket nem mi indítottunk. Jelenleg ugyanis, ha rejtélyes módon eltűnik a pénzünk, a bank felelősséget vállal, mivel az ő rendszerén belül történt valami. Ha azonban kiadjuk ezeket az adatokat, a bank többé nem biztosít minket. Bármi történik, a mi hibánk, a mi felelősségünk.
A módszer annyira aggályos, hogy tudomásuk szerint az egyik bank egyenesen kijelentette, hogy abban a pillanatban, ha akármelyik ügyfelük ilyen módon ad megbízást online számlázóval való összekötésre, a szoftverkészítőket (nem az ügyfelet) feljelenti a megfelelő hatóságnál, mert értelmezésük szerint az ilyen tevékenység nem törvényes.
Nagyon fontos azonban, hogy ne várjunk ilyen segítségre. Banki ügyfélként legyünk tisztában a felhasználónevünk és jelszavunk fontosságával. Ennek segítségével ugyanis nemcsak bármit tehet bárki a számláinkon lévő pénzzel, hanem az adataink önkéntes kiadása esetén elveszítünk minden garanciát, amit egy bank a biztonságos rendszere miatt számunkra nyújtani tud. Nincs értelme kockáztatni, ha van egy másik, biztonságos, jogilag kifogástalan út, mégpedig az, hogy kizárólag AISP engedéllyel rendelkező fintech-ekkel kötünk szerződést.
Ők meg egyébként sem fogják kérni a belépési adatainkat, mert nem így jutnak hozzá az adatokhoz. A bank adja át nekik biztonságos módon, a saját felelősségét továbbra is fenntartva.
Szeretnél többet tudni a NAV online számlázásról?