Open banking API-rajapintojen tietoturvariskit

Abstract

Avoimen tiedon saatavuudesta on tullut tavoiteltava arvo kaikilla aloilla. Tämä pätee myös rahoitusalaan, jossa EU on ennakoinut tämän suhteen ja asettanut rajat toiminnalle toisen maksupalveludirektiivin muodossa (PSD2). Tämä direktiivi edellyttää pankkeja avaamaan heidän API-rajapintansa kolmansien osapuolien maksupalveluiden tarjoajille, jotka voivat tämän avulla tuoda parannettuja palveluita markkinoille käyttäen pankin asiakkaiden pankkitietoja heidän luvallansa. Tämä direktiivi lisää läpinäkyvyyttä ja kilpailua pankkisektorilla. API (Application programming interface) on teknologia, jonka avulla kaksi eri ohjelmaa voi keskustella keskenään ja lähettää tietoa käyttäen yhteistä kieltä. Tämä rajapinta on direktiivissä mainittu suositeltavana teknologiana. API-rajapintojen yleisempiä tietoturvariskejä on tutkittu laajasti ja ne kuvataan myös tässä tutkielmassa. Toisen maksupalveludirektiivin myötä on myös syntynyt Open banking -käsite (OB), joka kuvaa tätä PSD2 mukaista toimintamallia universaalimpana käsitteenä. Tämä toimintamalli herättää luontaisesti huolta käyttäjien kallisarvoisten pankkitietojen turvallisuudesta, kun kolmansille osapuolille annetaan mahdollisuus käyttää asiakkaiden tilitietoja palveluiden tuottamisessa. Tässä tutkielmassa tunnistettiin kirjallisuuskatsauksen muodossa näitä mahdollisia riskejä API-rajapinnan teknisellä ja organisatorisella käyttöönottoon liittyvällä tasolla keräämällä tietoa olemassa olevasta tutkimustiedosta aiheesta. Aihetta ei ole entuudestaan tutkittu vielä riittävästi, johtuen koko ilmiön tuoreudesta. Tämä tutkielma auttaa tunnistamaan olemassa olevia riskejä OB API-rajapintojen kehittämiseen ja ylläpitoon liittyen.

Open access to information has become value to be pursued in every industry. This also applies to financial industry, where EU has anticipated this by set-ting the boundaries for operating in the form of a second payment directive (PSD2). This directive requires banks to open their APIs to third-party pay-ment service providers, who can then offer enhanced products to marketplace by using the customers’ account information with their consent. This directive increases transparency and competition in the banking sector. API (Applica-tion programming interface) is a technology, that allows two programs to communicate with each other and transfer data by using a common language. This interface technology is being recommended in the directive. APIs most common information security risks has been studied broadly and they are also discussed in this study. With the concept of PSD2 there has also arisen the concept of Open banking (OB), which represents the PSD2 way of working in a much universal concept. This model naturally raises worries for the security of the valuable customers banking information, when the third parties are given the chance to use customers account information in providing services. In this study these possible risks were recognized on the technical level and on the organizational implementation related level by gathering information from already existing research data in the form of a literature review. This subject has not been yet studied enough, due to the novelty of this phenome-non. This study helps to recognize existing risks in OB API development and management.