De trend van open banking, waarin banken informatie met derden uitwisselen en integreren, krijgt steeds meer vorm. In september 2019 zal een belangrijk onderdeel van de Europese herziene betaalrichtlijn (PSD2) in werking treden. Hierdoor moeten alle betaalbanken in Europa via api’s de informatie van klanten beschikbaar stellen aan derde partijen voor betaalinitiatiediensten en rekening-informatiediensten. De vraag is hoe banken en andere dienstverleners gaan zorgen voor een adequate beveiliging.

Uiteraard mag deze data alleen beschikbaar worden gesteld als er expliciet toestemming is gegeven door de klant zelf aan deze derde partijen. De hoop van de Europese regelgevers is dat dit voor nieuwe innovatie en meer concurrentie in de betaalindustrie zal zorgen en dat de consument meer controle zal krijgen over zijn eigen bankdata.

Tegelijkertijd zijn er ook zorgen over de veiligheid en bescherming van deze toegang door derde partijen die de nieuwe diensten gaan introduceren. De banken enerzijds en de informatie- en betaaldiensten anderzijds moeten zorgdragen voor adequate beveiliging van de api’s en de beschikbaar gestelde informatie en functionaliteit.

Hoewel meer concurrentie en innovatie positieve uitkomsten zijn, leidt open banking ook tot meer fragmentatie in het betaalecosysteem. Daardoor wordt het onduidelijker voor aanbieders en consumenten welke partijen te vertrouwen zijn met hun data en wanneer een betaling veilig is. Dit kunnen partijen individueel niet oplossen, omdat ze niet over alle informatie en/of de middelen beschikken. Om de betaalindustrie in het PSD2-tijdperk veilig te houden, is samenwerking noodzakelijk.

Hoewel het duidelijk is waarom meer transparantie en samenwerking belangrijk zijn voor het vertrouwen in een steeds gefragmenteerder betaalecosysteem, is de oplossing complexer. In dit artikel worden zes suggesties gedaan die de betaalindus-trie als collectief kan adopteren om het vertrouwen in het nieuwe betaalecosysteem te behouden dan wel te vergroten.

1. Delen contextuele risico-informatie in betaalberichten via standaardisatie api’s

Het (realtime) beoordelen van het risico op fraude van een transactie is een integraal onderdeel van de verwerking van betalingen. Alle banken en financiële instellingen doen dit en gebruiken een breed scala aan transactie-informatie (attributen) om de transactie te beoordelen en een gezond evenwicht tussen risico en betaalgemak te bieden.

Door de toetreding van nieuwe aanbieders die het gedeelte van de interactie en transactie-initiatie op zich nemen, heeft geen enkele partij een volledig beeld om het risico goed te beoordelen. Dit zal tot gevolg hebben dat aanbieders ofwel altijd sterke authenticatie van de gebruiker eisen (afname betaalgemak), ofwel een toename van fraude zullen zien (afname veiligheid).

“Digitale keurmerken en zegels kunnen vertrouwen bieden”

Een manier om met dit dilemma om te gaan is het delen van risico-informatie, zodat elke aanbieder in de keten effectief risicobeoordelingen kan uitvoeren. Dit betekent dat informatie moet worden gedeeld die verder gaat dan de minimale vereisten voor het leveren en consumeren van diensten. Aanbieders die klantinteractie beheren, moeten applicatierisico-indicatoren, zoals geolocatie of IP-adres, delen met banken.

De banken moeten op hun beurt accountrisico-indicatoren delen (risicoprofiel, recente wijzigingen, gedrag, et cetera) zodat elke dienstverlener een risicobeoordeling kan uitvoeren op basis van een vollediger beeld van de context. Dit vereist standaardisatie van risico-indicatoren en de uitwisseling hiervan. Dit zou bijvoorbeeld onderdeel kunnen zijn van nieuwe industriestandaarden voor PSD2-api’s zoals die van de Berlin Group (EU) en de Open Banking Implementation Entity (UK).

2. Delen informatie betaalindustriespecifieke cybersecurity

Het delen van technische en niet-technische informatie over cyberdreigingen is van groot belang om de veiligheid van het betaalsysteem te kunnen waarborgen. Hiervoor zijn verschillende typen informatie van belang. Delen van dergelijke informatie over gedrag van hackergroepen (Modus Operandi), kwetsbaarheden in software (Common Vulnerabilities and Exposures) en malwarepatronen (Indicators of Compromise) kunnen relevant zijn in het verbeteren van de cybersecurity op industrieniveau.

Goede stappen zijn hiervoor gezet door bijvoorbeeld het TIBER-EU-programma vanuit DNB, de Europese samenwerking van nationale CSIRT’s (Computer Security Incident Response Teams, red.) en het nieuwe mandaat van ENISA (Europees Agentschap voor netwerk- en informatiebeveiliging, red.). De volgende stap is om hierop voort te bouwen en effectief relevante informatie over cybersecuritydreiging te delen tussen aanbieders van betaaldiensten in Europa.

3. Gedistribueerde cybersecurityverdediging

Informatie delen is een eerste stap, maar mogelijk nog niet voldoende. Hier kan gedistribueerde detectie, waar meerdere partijen actief bijdragen door het leveren van informatie en de interpretatie ervan, een oplossing bieden. Dit betekent dat naast het delen van dreigings- en risico-informatie, deelnemers actiever moeten samenwerken. Door een gecoördineerde aanpak worden de inspanning voor cyberbeveiliging door de hele waardeketen verdeeld.

Ook ontstaan hierdoor mogelijk nieuwe bedrijfsmodellen voor diverse risico- en ‘security as a service’-diensten. Deze aanbieders leveren diensten aan verschillende partijen en hebben daarom een ​​completer beeld van bedreigingen en risico’s. Een gedistribueerd systeem waarbinnen partijen elkaar actief helpen is sterker door meer zicht en slagkracht.

4. Digitale identiteit onderdeel van ‘zachte’ infrastructuur

Hoewel de digitalisering een revolutie heeft teweeggebracht in ons persoonlijke en zakelijke leven, is de toepassing van een digitale identiteit nog steeds complex en versnipperd. Eenvoudig vaststellen met wie je communiceert of een transactie doet, is de basis voor vertrouwen. En daarom ook de basis voor succesvolle (digitale) transacties en bedrijvigheid.

De eIDAS-verordening (electronic IDentification, Authentication and trust Services, red.), ‘betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt’, werd in september 2018 ingevoerd waardoor individuen en bedrijven met hun nationale inlogmiddel bij Europese organisaties in de publieke sector kunnen inloggen. Dit is een goede stap, maar tot op heden ontbreekt een brede Europese implementatie in de private sector en is deze markt nog steeds erg versnipperd.

Een mogelijke oplossing hiervoor is een zachte infrastructuur in zowel de publieke als private sector om gegevens met elkaar uit te wisselen. In dit kader is de zachte infrastructuur een set van juridische, financiële, functionele en technische afspraken hoe gegevens veilig uitgewisseld kunnen worden tussen partijen.

5. Onafhankelijke, transparante beoordeling betrouwbaarheid en cyberveiligheid

Om herkenbaarheid en snelle beoordeling van participanten mogelijk te maken moet de betaalindustrie standaarden ontwikkelen voor de beoordeling van individuen en bedrijven. Voor particulieren hebben platformen hier vaak al mechanismen voor via gebruikerratings. Deze ratings geven echter alleen inzicht in de handelsactiviteiten op dat specifieke platform. Een combinatie van deze individuele beoordelingen op verschillende platformen geeft een completer beeld en zou het vertrouwen kunnen verbeteren.

Daarbij kan deze data ook dienen als nieuw inkomstenmodel voor de platformen die deze informatie verzamelen. Voor bedrijven in een ecosysteem moet men daarnaast weten hoe robuust de interne processen met betrekking tot beveiliging en dataprivacy zijn. Daar kunnen ratingbureaus een rol spelen. Waar traditionele ratingbureaus, zoals S&P en Moody’s, zich voorheen concentreerden op het beoordelen van de financiële positie van een bedrijf, is cybersecurity een nieuw domein waar organisaties op beoordeeld worden.

In het nieuwe financiële ecosysteem verwachten we een meer gediversifieerd landschap van ratingbureaus. Met de versnippering van het betalingslandschap is dit een belangrijke stap naar meer transparantie, op voorwaarde dat de ratingmethodiek duidelijk is en er een robuust proces is voor wederhoor.

6. Digitale keurmerken en digitale zegels

In het nieuwe ecosysteem wordt het voor eindklanten steeds lastiger om te vertrouwen op merken en logo’s van aanbieders van betaaldiensten. Omdat er veel nieuwe serviceproviders zijn is het niet langer haalbaar voor een eindklant om alle bedrijven te herkennen en te weten wie ze kunnen vertrouwen.

Wat hier kan helpen zijn digitale keurmerken of digitale zegels, een mechanisme dat in een aantal delen van het internet al wordt gebruikt. De diversiteit van digitale keurmerken is groot. Zo zijn er de SSL-certificaten voor een veilige connectie, Google Customer Reviews voor klantervaringen bij online winkels, en ArtTrust voor het vaststellen van de authenticiteit van kunstwerken. Allemaal zijn het vertrouwenssystemen die zegels hebben om de betrouwbaarheid van een specifieke dienst of service te signaleren.

“In het nieuwe ecosysteem wordt het steeds lastiger te vertrouwen op merken en logo’s”

In de context van de open-banking- en de betalingsdienstrichtlijn moeten de zegels aangeven of de nieuwe aanbieder gereguleerd en betrouwbaar is. Daarnaast kan een zegel aangeven hoe een aanbieder omgaat met persoonsgegevens. Een digitaal PS2-keurmerk kan dan alleen beschikbaar worden gesteld als een aanbieder aan beide criteria voldoet, zodat de consument met vertrouwen toegang tot zijn of haar rekening en klantdata kan geven. In het traditionele ecosysteem boden de merken van de grote banken dit vertrouwen, maar nu is een nieuw systeem nodig. Digitale keurmerken en zegels kunnen deze functie vervullen.

Meer samenwerking en transparantie zal noodzakelijk zijn voor een verbeterde veiligheid van het betaalsysteem als geheel. Het vraagt om een radicaal nieuwe manier in het denken over veiligheid en vertrouwen, voorbij de muren van de eigen organisatie. Met het in werking treden van de PSD2 RTS in september 2019 bestaat ook de urgentie om dit snel op te pakken. Hierin zit overigens ook een kans voor de Nederlandse banken. Gegeven de historie van succesvolle samenwerkingen (denk hierbij bijvoorbeeld aan iDEAL) kunnen Nederlandse banken een voortrekkersrol spelen in Europa.

REAGEREN

Plaats je reactie
Je naam