Австралийские банки и кредитные союзы проведут тайное тестирование своих транзакционных систем на проникновение, чтобы выявить недостатки и остановить мошенничество и злоупотребление институциональной инфраструктурой, подключенной к Новой платежной платформе после двух поисковых атак PayID.
АЭС в понедельник подтвердила, что быстро предпринимает собственные шаги по поиску дыр в безопасности среди участников, что подкрепляется надвигающимся обозначением конкретных параметров безопасности, таких как ограничения адресных запросов PayID, в соответствии с правилами ее схемы.
Обозначения, которые будут представлены совету директоров АЭС в течение двух недель, могут привлечь штрафы в размере 500 000 долларов за несоответствие требованиям учреждений.
Значительно усиливается и централизованный контроль со стороны НПП учреждений. Этот сдвиг позволит АЭС быстрее выявлять злоупотребления и вмешиваться до того, как они станут снежным комом.
Шаги по независимой проверке параметров безопасности банков-участников АЭС последовали за двумя нарушениями данных, связанными с автоматизированными атаками поиска адресов, которые поразили Westpac, а затем Cuscal из-за недостаточного или дефектного мониторинга запросов, которые должны были быть активированы учреждениями.
Хотя эти атаки не приводили к прямым финансовым потерям или мошенничеству клиентов, они позволяли собирать персональные данные клиентов, вызывая неловкие уведомления о нарушениях.
Поисковая система PayID, которая, по сути, выполняет запрос базы данных к адресной книге, связывающей воедино имена, номера мобильных и банковских счетов, является ключевой функцией NPP, к которой банкам разрешен доступ, чтобы средства и данные могли быть переданы получателю платежей.
Предполагается, что эта функция будет защищена на институциональном уровне путем мониторинга транзакций в режиме реального времени и отключения автоматических комбайнов, которые за короткое время обрушивают на банки тысячи запросов.
Отчасти проблема заключалась в том, что системы безопасности банков и умонастроения их хранителей по большей части были направлены на выявление и пресечение несанкционированных попыток снятия средств, а не на то, чтобы вклады направлялись на банковский счет.
По сути, даже несмотря на то, что банки заявили, что у них есть основные настройки безопасности, ключевые средства защиты либо не были включены, либо должным образом подключены.
В то время как потенциал для злоупотребления поиском был признан во время строительства АЭС, банки, подписывающиеся на платформу, которая заменяет архаичную систему идентификации BSB [bank-state-branch], должны иметь механизмы мониторинга и ограничения Pay ID, когда они выходят в эфир.
Решительная реакция АЭС на одностороннее усиление собственного мониторинга и защиты происходит на фоне разочарования в регулятивном покровителе АЭС-Резервном банке Австралии, а также сопротивления некоторых крупных учреждений в сочетании с эскалацией мошенничества с кредитными картами в Интернете.
В то время как банки в настоящее время в совокупности теряют около 480 миллионов долларов в год из-за онлайн-мошенничества, получившего название карточного мошенничества, они перекладывают основную часть мошенничества с онлайн-платежами обратно на продавцов, которые вынуждены нести убытки из-за системных недостатков.
В то же время австралийские розничные банки получают около 2 миллиардов долларов от обменных сборов (без учета процентов и годовых сборов по картам) от платежей, которые идут по рельсам американских гигантов кредитных карт, таких как Mastercard и Visa.
Если это не является существенным, то потери от онлайн-мошенничества отдельных учреждений не разделяются. Разбивка между онлайн-мошенничеством с кредитными и дебетовыми транзакциями также держится в секрете, а это означает, что наличные деньги, похищенные со сберегательных счетов, связанных с картами схемы, также скрыты от посторонних глаз.
РБА в течение последнего десятилетия стремился ускорить, снизить стоимость и расширить функциональность платежей в австралийской экономике, регулируя обменные сборы и поддерживая новую платежную инфраструктуру, такую как АЭС, которая использует сервис быстрых расчетов РБА.
Введение платежей в режиме реального времени также свело на нет унаследованную практику банков, сидящих на депозитах в течение двух дней до пакетного клиринга (T 2), практику, известную как «сидение на плаву», которая означала, что торговцы часто ждали пять дней, прежде чем получить карточные средства в течение длинных выходных.
Для некоторых банков внедрение АЭС и платежей в режиме реального времени создало значительное давление.
Помимо необходимости обновления инфраструктуры для повышения качества услуг и безопасности, некоторым учреждениям придется отказаться от того, что до сих пор было весьма прибыльной унаследованной инфраструктурой.
Переход нового поставщика платежной инфраструктуры к независимому стресс-тесту на наличие недостатков у участников указывает на то, что давление не ослабнет.
Переход нового поставщика платежной инфраструктуры к независимому стресс-тесту на наличие недостатков у участников указывает на то, что давление не ослабнет.
