21 feb 2019

Zijn API's veilig?

Een API (Application Programming Interface) is een verzameling functies en procedures die twee toepassingen in staat stelt met elkaar te praten door verzoeken te verzenden en antwoorden te ontvangen.

API's in open bankieren

API's zijn relevant voor financiële en treasury professionals vanwege Open Bankieren en PSD2 (Richtlijn betalingsdiensten 2).

Open Bankieren vereist dat banken hun API's beschikbaar stellen voor particulieren en derden om op een veilige manier toegang te krijgen tot persoonlijke financiële gegevens. En volgens PSD2 zullen bijna alle banken in de EU de toegang tot klantgegevens via API's mogelijk moeten maken.

De echte vraag is dus: hoe veilig zijn API's voor transacties en het delen van uw financiële gegevens?

Tot voor kort creëerden banken financiële silo's, waardoor klanten op hun diensten moesten vertrouwen om op een veilige manier toegang te krijgen tot hun financiële gegevens. Maar API's en Open Banking brengen daar verandering in.

Met een rijke API kunnen financiële instellingen een concurrentievoordeel behalen en hun klanten controle geven over hun financiën door real-time, veilige gegevens te verstrekken.

Er zijn tal van voorbeelden van hoe bedrijven en consumenten API's al omarmen om het leven gemakkelijker te maken:

Bedrijven

Nu digitale transformatie bovenaan de agenda van bedrijven over de hele wereld staat, kunnen API's verschillende voordelen voor corporate treasurers. API's maken geavanceerde technologieën toegankelijk voor kleinere treasury-teams, die voorheen alleen beschikbaar waren voor grotere ondernemingen; ze maken real-time business, snellere besluitvorming en verbeterde klantervaringen mogelijk.

API's kunnen bedrijven directe bankverbindingen met banken bieden vanuit enterprise resource planning (ERP)-systemen of via live data-integraties met business intelligence tools.

Consumenten

Voor consumenten zorgen API's voor snelheid en eenvoud om betere financiële ervaringen te creëren.

Yolt is een perfect voorbeeld van consumentengebaseerd Open Banking in de praktijk, omdat het API's gebruikt om verschillende rekeningen te centraliseren en zo gebruikers te helpen hun uitgavengewoonten beter in de gaten te houden.

Wat zijn de risico's?

De invoering van open API's maakt banken afhankelijk van de beveiliging van de TPP's (third party providers) die deze API's gebruiken, hetgeen een aantal vragen - of zorgen - oproept bij banken en gebruikers van diensten:

  • Nu meer consumenten gebruikmaken van instrumenten van derden, neemt het aantal transacties dat wordt verricht via kanalen die eigendom zijn van banken af. Dit heeft een negatief effect op de hoeveelheid gegevens die banken kunnen verzamelen en die zij gebruiken om onderscheid te maken tussen legitieme en frauduleuze transacties.
  • Nieuwe open-bankinginstrumenten maken de weg vrij voor nieuwe soorten transacties, die zou het bestrijden van betalingsfraude nog moeilijker kunnen maken.
  • Fraudeurs kunnen zich richten op gegevens die via API's worden doorgegeven. Als dat lukt, kunnen ongeautoriseerde klantgegevens worden gebruikt bij een account takeover (ATO) of een andere vorm van cyberaanval.
  • Banken werken samen met TPP's zonder volledig inzicht te hebben in hun beveiligingsmaatregelen, wat een nieuw risico inhoudt met betrekking tot de plaats waar de gegevens uiteindelijk zullen worden bewaard. Als gevolg daarvan kunnen banken worden blootgesteld aan honderden nieuwe bedreigingen die buiten hun normale controlegebied vallen.
  • Als een TPP gecompromitteerd is, kunnen hackers verzoeken naar de banken sturen die ogenschijnlijk geautoriseerd zijn. En nu zwendel geraffineerder wordt dan ooit, zal het niet lang duren voordat iemand een manier vindt om de toestemming van de klant te vervalsen.

"API's bieden cybercriminelen een andere manier om aan te vallen ... als ik de voordeuren van de banken niet kan aanvallen, kan ik me misschien voordoen als een kleine ontwikkelaar en een alternatieve zijdeur vinden waarmee ik toch op de een of andere manier bij de bank kan komen."  Sumit Agarwal, Shape Security

Hoe worden API's beveiligd?

Ondanks deze bezwaren biedt een goed ontworpen API een veilige verbinding met toepassingen van derden.

Het is belangrijk te onthouden dat het de banken zelf zijn die hun API-endpoints bouwen en testen.

Banken kunnen dus zelf het risico op aanvallen verkleinen door een degelijke architectuur te implementeren die beveiligingseisen en -tools in de API zelf integreert. Uiteindelijk stelt dit banken in staat om proactief te zijn, in plaats van reactief, als het gaat om het beveiligen van API's.

TPP's zijn sterk gereguleerd

Het eerste wat je moet onthouden is dat API's gebaseerd zijn op toestemming. Dus of je nu een consument of een bedrijf bent, je hoeft je gegevens niet te delen met een TPP als je dat niet wilt.

Dit is de kern van API's in Open Banking. Volgens de regels moeten banken toestaan dat uw gegevens worden gedeeld met TPP's, maar ALLEEN als u hen daarvoor toestemming geeft. Dat betekent dat TPP's niet zomaar toegang kunnen krijgen tot rekeningen - zij moeten uw toestemming krijgen, die op elk moment kan worden ingetrokken.

TPP's zijn ook onderworpen aan gegevensbeschermingswetten zoals GDPR, alsook aan de technische reguleringsnormen PSD2, wat betekent dat zij verantwoordelijk zijn voor de bescherming van de persoonsgegevens die zij verwerken.

Wat zijn AISP's en PISP's?

Na de invoering van de EU-betaaldienstenrichtlijn (PSD2) vallen onlinediensten die gebruikmaken van API's om toegang te krijgen tot uw rekeninggegevens of namens u betalingen te verrichten, voortaan onder de regelgeving van de Financiële gedragsautoriteit.

Om via PSD2 volledig gemachtigd te zijn om Open Banking API's te gebruiken, moet een financiële dienstverlener geregistreerd zijn als AISP, PISP of beide.

Een geautoriseerde AISP (Account Information Service Provider) kan toestemming vragen om verbinding te maken met een bankrekening en die rekeninginformatie gebruiken om een dienst te verlenen. AISP's hebben een "read-only"-toegang tot bankrekeninginformatie, zij mogen dus wel kijken, maar niet aankomen.

Bekende voorbeelden van AISP's zijn prijsvergelijkingen, kredietchecks, geldbesparende apps zoals Yolt en boekhoudpakketten zoals Sage en QuickBooks voor bedrijven.

Geautoriseerde betalingsinitiatiedienstaanbieders (PISP's) kunnen toestemming vragen om verbinding te maken met een bankrekening en namens de cliënt betalingen te initiëren vanaf diens bankrekening.

Hoewel de PSD2-regels duidelijk stellen dat PISP's "geen gegevens zullen gebruiken, openen of opslaan voor andere doeleinden dan voor het verlenen van de betalingsinitiatiedienst zoals uitdrukkelijk gevraagd door de betaler".

Bekende voorbeelden van op de consument gebaseerde PISP's zijn onder meer de instant checkout-faciliteiten die vaak door kleinhandels- en e-commercewinkels worden gebruikt en die bedoeld zijn om de klantenervaring van regelmatige shoppers te verbeteren.

Hoe weet u of een TPP is toegestaan?

Het is altijd een goed idee om te controleren op de Register van financiële diensten dat een onderneming die rekeninginformatiediensten of betalingsinitiatiediensten verleent, eerst gemachtigd is.

U kunt controleren of een bedrijf is toegelaten in het FCA-register of het Open Bank Directory.

Geautoriseerde TPP's hebben alleen toegang tot de gegevens die nodig zijn voor de dienst waarvoor u zich heeft aangemeld. Dus als u een geregistreerde TPP hebt gevraagd uw lopende rekening bij de ene bank te bekijken, heeft hij geen zicht op andere diensten die u bij die bank hebt.

En omdat alle TPP's moeten voldoen aan de wetgeving inzake gegevensbescherming, moet de provider u vertellen welke gegevens hij zal gebruiken, hoe lang en wat hij ermee zal doen voordat u zich aanmeldt.

Als u een derde partij gebruikt die niet gereguleerd is, krijgt u niet dezelfde bescherming tegen fraude. Dat betekent dat als u geld verliest met een niet-gereguleerde dienst, de kans bestaat dat uw bank niet uitbetaalt.

API's vs. Screen Scraping

API's zijn over het algemeen veel veiliger dan alternatieve oplossingen. Een voorbeeld hiervan is screen scraping.
Apps die screen scraping gebruiken, vragen u om uw bankinloggegevens te verstrekken en hebben uw toestemming nodig om uw gegevens te verzamelen of te "screen-scrapen".

In wezen doen zij zich voor als u, de klant, wat zeer gevoelige persoonsgegevens kan onthullen en u kwetsbaar kan maken voor fraude. Screen-scraping zal nog gedurende een overgangsperiode worden gebruikt, tot september 2019, wanneer het zal worden verboden omdat wordt gevreesd dat het niet zo veilig is als API's.

Dus, zijn API's veilig genoeg voor het verhandelen van financiële gegevens?

Bij het overwegen van de veiligheid van API's, moet openheid niet worden verward met slechte beveiliging. Door wat onderzoek te doen en de juiste TPP's te kiezen, kunnen bedrijven en consumenten de vruchten plukken van API's om het financieel beheer te vereenvoudigen.

Maar terwijl sommige TPP's ongereguleerd blijven en technieken zoals Screen Scraping nog steeds beschikbaar zijn voor consumenten, is het duidelijk dat de industrie nog een lange weg te gaan heeft om ervoor te zorgen dat API-gebruik zo veilig mogelijk is.