אבטחה פשוטה במציאות פיננסית מורכבת

מאת: דרור אריה, ארכיטקט ענן בכיר ב-גלובלדוטס

במציאות פיננסית שרק הולכת ונהיית יותר ויותר מסובכת, אחת המשימות המורכבות ביותר היא לשמור על אבטחת המידע של משתמשים, תוך שמירה על חווית לקוח מהשורה הראשונה. זו בדיוק הסיבה שכמה מהשחקניות הגדולות ביותר בעולם הפינטק החליטו לבטוח בגלובלדוטס (GlobalDots), ולרתום את החברה כדי לספק ללקוחות את המוצר הטוב ביותר בסביבה מורכבת. בסביבה כזו, שניים מהאתגרים המשמעותיים ביותר הם התמודדות עם בוטים, ועבודה בסביבת API.

בוטים

בכל יום ברחבי העולם מתבצעים למעלה מ-10 מיליארד נסיונות כניסה למערכות שונות בעזרת בוטים. לצד שימושים לגיטימיים, חלק לא מבוטל מבוטים אלו מתחזים לבוטים "טובים", במטרה לגנוב מידע, להשבית את האתר (התקפות DDoS), או לנצל פרצות שונות כדי לתקוף באמצעות וירוסים.

בעיה זו חמורה במיוחד בתחום הפיננסי, שבו, לפי הערכות שונות, כמעט 50% מהטראפיק מבוצע על ידי בוטים "רעים",. מה שהופך את תעשיית הפינטק לתעשייה שנפגעת בצורה הקשה ביותר מבוטים.

כפי שצוין לאחרונה בדו"ח של אימפרבה (Imperva), הדבר אולי לא מפתיע, שכן תעשיית הפינטק נחשבת לאחת מהתעשיות הגדולות ביותר בעולם. בנוסף, הדו"ח מציין כי "מרבית מתקפות הבוטים על תעשיית הפינטק מבוצעת על ידי בוטים ברמת תחכום גבוהה עד בינונית – כאלו שקשה יותר לאתר ולהתגונן מפניהן".

חברות פינטק מתמודדות מדי יום עם בוטים, המנסים לפרוץ לחשבונות בנק, לגנוב מידע מכרטיסי אשראי ואף להשפיע לרעה על פלטפורמות מקוונות להשקעה בשוק ההון. למשל, אחת המתקפות הנפוצות ביותר בתחום הפינטק היא Carding, שבמסגרתה מופעלים בוטים במטרה לאפשר לתוקפים להשתמש בפרטי אשראי גנובים. אתגר זה לבדו משפיע על דירוג האבטחה של עסקים רבים, ומייצר עלויות Customer Service משמעותיות והחזרים כספיים, המייצרים הפסדים לחברות שונות. בנוסף, בוטים עלולים לגרום למלאי מוגבל, לייצר free accounts מרובים ולמנוע הכנסה משמעוית, או לקחת את המידע של הארגון ולמכור אותו למתחרים, מה שעלול לפגוע באמון המשתמשים או הלקוחות.

API Security

לצד ההתמודדות עם בוטים, אתגר משמעותי נוסף נוגע לתחום ה-API Security. לצד פתרונות בנקאות מסורתיים, תעשיית הפינטק מביאה איתה בשורה של חדשנות דיגיטלית, אך היכולת שלה להמשיך לצמוח תלויה במידה רבה ביכולת שלה ליצור סביבה בטוחה לנכסים פיננסיים ולמידע רגיש.

השימוש ב-API הוא קריטי לחברות פינטק, בכך שהוא מאפשר להן לצמוח במהירות ולפתח פיצ'רים ומוצרים חדשניים, תוך שמירה על חוויית משתמש איכותית.

האתגר המרכזי של שימוש ב-API הוא התגברות על בעיות אבטחה ייחודיות, מתוחכמות ומשתנות במהירות, שקשה לפתור באמצעים מסורתיים. מסקר שנערך בקרב משתמשים של Salt Security נמצא למשל שכ-10% מהמשתמשים השונים בכלל לא יודעים לזהות תקיפות המתמקדות ב-API.

בעוד שחברות רבות משתמשות באמצעי זיהוי בסיסיים, קיימים, על מנת לאבטח ולאפשר שימוש ב-API שלהן, הדבר עלול להוביל לפרצות אבטחה רבות. מנגד, שיטות אבטחה סבוכות ומסורבלות, עשויות לתרום להגנה על המידע הרגיש בפינטק, אך לייצר חוויית משתמש גרועה, שאינה עומדת בסטנדרט הנדרש על מנת להוכיח את היתרונות של שירותים ומוצרים פיננסיים חדשניים, אל מול הפתרונות המסורתיים והמוכרים.

רק לאחרונה, באחת מפלטפורמות ה-FinTech הפופולריות ביותר בעולם, זוהתה בעיה מורכבת במיוחד.

לצד המשתמשים הרגילים, החלו להופיע תנועה ערה וכמויות חריגות של הרשמות של משתמשים חדשים. החשד היה שלא מדובר במשתמשים לגיטימיים, אלא בבוטים שמטרתם ליצור מניפולציות ותרמיות בשירות של החברה, ולגרוף רווחים על חשבון לקוחות אחרים של השירות.

לאחר שבשלב ראשון צוות מומחי אבטחה של גלובלדוטס ביצעו ניתוח גרנולרי ומעמיק של הטראפיק, אובחנו תבניות חדשות ומתוחכמות של תנועה באתר. תוך למידה של המקרה הספציפי, הצוות עדכן את מנגנוני ההגנה השונים, כדי שאלו יוכלו ליצור הבחנה טובה יותר בין משתמשים אמיתיים ובוטים, לאור הממצאים בשלב הניתוח. לצד שיפור האבטחה, הצוות גם עדכן את מנגנוני הניטור השונים והתאים אותם להתנהגות הגולשים, כך שלא יפגמו בחווית הלקוח.

באמצעות הפעולות האלו, הצליחה הפלטפורמה להעמיד מנגנוני אבטחה חזקים ומתוחכמים יותר מחד, ואף להשיג שיפור בחווית הלקוח מאידך.

מזה 20 שנה, גלובלדוטס היא מובילה עולמית בחדשנות בעולמות הענן וה-web, מתמחה באיתור וחיבור של טכנולוגיות חדשניות ליותר מ-1,000 עסקים גלובליים, ביניהם פייפאל, לופטהנזה, פיוניר, פאגאיה, איטורו, Nuvei ובנק דיסקונט. גלובלדוטס מתמקדת בחיפוש מתמיד של פתרונות חדשים ואפקטיביים לבעיות חדשות, והטמעתם בארגונים, כדי לאפשר להם לצמוח ולפצח מהר ובטוח.