«Сезам, откройся!» или безопасность открытых интерфейсов

«Сезам, откройся!» или безопасность открытых интерфейсов

18 февраля в ходе второго дня XII Уральского форума «Информационная безопасность финансовой сферы» прошла сессия «Сезам, откройся!», посвященная развитию открытых интерфейсов (OPEN API) на финансовом рынке. В ней приняли участие Игорь Рамазанов, руководитель направления «Открытые API» Ассоциации ФинТех, Дмитрий Барбасура, генеральный директор SaltEDGE (видеосвязь), Павел Супрунюк, технический руководитель департамента аудита и консалтинга Group-IB, главный менеджер отдела информационной безопасности Райффайзенбанка Павел Нагин.

OPEN API – это бренд современного банка

В начале ведущий сессии - начальник управления анализа и регулирования в сфере финансовых технологий Банка России Дмитрий Дубынин отметил, что сегодня тема открытых интерфейсов будет рассмотрена с разных сторон: как с точки зрения регулирования, так и с точки зрения безопасности.

«Очень важный момент в работе с открытыми интерфейсами заключается в том, чтобы понять, как правильно нужно их адаптировать. Потому что в каждой стране есть свои специфические моменты, которые связаны в том числе и с государственным подходом к регулированию. Поэтому важно определиться – какие интерфейсы мы хотим видеть у нас и как их следует использовать», - подчеркнул ведущий сессии.

Ассоциация ФинТех совместно с участниками финансового рынка разработали «Концепцию открытых API». Руководитель направления «Открытые API» Ассоциация ФинТех Игорь Рамазанов рассказал аудитории о сути этой концепции.

«OPEN API – это бренд современного банка и он имеет вполне реальные предпосылки, которые актуальны не только для России, но и для всего финансового мира», - отметил Игорь Рамазанов.

Открытые программные интерфейсы позволяют интегрировать решения разных производителей. Переход на такие API активно обсуждают на Западе, в августе этот вопрос подняли и в России. Именно на OPEN API основывается концепция открытого банкинга, которая позволяет третьим сторонам получить доступ к банковским системам и данным, что способствует улучшению качества обслуживания клиентов и взаимодействия между финансовыми учреждениями.

Важной предпосылкой появления OPEN API стало развитие технологий и проникновение интернета, что, в свою очередь, позволило появиться новым банкам – необанкам. Возросло соответственно количество данных, накопленных в этих организациях, и это позволяет создавать персонализированные предложения клиентам.

Еще одна важная предпосылка для OPEN API – это новое поколение клиентов, которое большую часть своей жизни проводят в онлайн, которое привыкло и услуги получать таким же образом. «Открытые интерфейсы им более привычны, чем классическое обслуживание», - отметил Игорь Рамазанов.

Зачем нужны OPEN API?

Безусловно, возникает вопрос - зачем нужны OPEN API?

«Если смотреть с точки зрения экономики, то, в первую очередь,они необходимы для развития конкуренции. Кроме того, цифровую экономику невозможно представить без свободного обмена данными», - подчеркнул эксперт Ассоциации ФинТех.

«Если спуститься на другой уровень – клиентский, то помимо удобных унифицированных интерфейсов, это прозрачная возможность выбора финансовых услуг», - также добавил Игорь Рамазанов.

Кроме того, OPEN API дают возможность достижения скорости и сокращения затрат на внедрение инноваций в банках.

Функционирование OPEN API требует наличия определенного правового поля. В рамках Ассоциации ФинТех в августе прошлого года была разработана «Концепция открытых API», которая описывает основные принципы развития в России открытого банкинга. И первый шаг, который предпринимается в данном направлении, – это стандартизация, предполагающая как выработку прикладных стандартов, так и работу над созданием стандартов безопасности данных.

«Если говорить о прикладных стандартах, то это все, что связано с информацией о банке, его продуктах, счетах клиентах (как юридических, так и физических лиц), остатках на этих счетах, транзакциях, возможности подключения новых продуктов и т.д. Поскольку площадка Ассоциации позволяет собирать консолидированное мнение участников рынка, то мы вместе с банками подготовили первую версию стандарта. Она сейчас проходит этап согласования с Банком России», - рассказал Игорь Рамазанов.

Второй стандарт – это стандарт информационной безопасности, который был разработан на основе зарубежного опыта. В частности, был проведен глубокий анализ опыта Сингапура, Великобритании, США, европейских стран. Эксперты пришли к выводу, что нашей стране ближе всего концепция Великобритании. Стандарт ИБ описывает, как правильно и безопасно использовать все те технологии, которыми банки оперируют в своей ежедневной работе.

На текущий момент подготовлен первый драфт этого стандарта. Ассоциация совместно с регулятором и техническим комитетом по стандартизации ТК 26 обсуждают, каким образом будут применяться российские криптографические алгоритмы. Игорь Рамазанов выразил надежду, что стандарт в ближайшее время будет вынесен на публичное обсуждение.

После разработки стандартов их необходимо протестировать путем проведения пилотных проектов, что и делает Ассоциация ФинТех совместно с участниками рынка. Ожидается, что первые результаты будут получены к августу-сентябрю текущего года.

Что касается обязательности применения стандартов, о которых идет речь, то в течение 2020 года и первой половины 2021 года будут проведены пилотные проекты, результаты которых Ассоциация предоставит на рассмотрение в Банк России и затем регулятор примет соответствующее решение.

Средства защиты должны соответствовать оценке рисков

Технический руководитель департамента аудита и консалтинга Group-IB Павел Супрунюк в своем выступлении остановился на нескольких кейсах, посвященных теме безопасности открытых интерфейсов, отметил позитивные и негативные моменты в тестировании и защите открытых интерфейсов. Он подчеркнул, что зачастую проблемы возникают на этапе разработки: «Проблема в процессах и менять нужно процессы. Для начала повышать квалификацию разработчиков, объяснять им, что помимо разработки (в чистом виде) существует безопасная разработка и открытые стандарты. Разработчикам необходимо взаимодействие с практическими безопасниками, процесс разработки требует изменения».

В плане средств защиты информации Павел Супрунюк отметил полезность внешней помощи – консалтинговых фирм, специализирующихся на данном вопросе.

Эксперт Group-IB также ответил на вопрос ведущего сессии, который был сформулирован следующим образам: наряду со стандартом, который разрабатывают коллеги, и привлечением практиков в области ИБ, что еще нужно для успешной защиты? Возможно, должно быть еще какое-то руководство, которое объясняет, как надо писать программные продукты?

По мнению Павла Супрунюка, безопасность всегда бывает разноаспектной, она существует в разных вариациях и опирается на различные методы, которые применимы в той или иной ситуации на основе анализа рисков, на основе анализа фрод-мошенничества и т.д. Поэтому средства защиты должны применяться соответственно оценке рисков.

Защита API на основе Machine learning

Главный менеджер отдела информационной безопасности АО «Райффайзенбанк» Павел Нагин рассказал о своем опыте защита API на основе Machine learning. Свое выступление он начал с описания угроз, которые возникают при использовании OPEN API. Понятно, что OPEN API отличается от классического приложения. И базовое отличие заключается в том, что обработка запроса происходит на стороне клиента. Из-за этого возникают особенности, которые влияют на безопасность OPEN API: приложение открыто, видно, что в нем происходит, его можно изучать. Соответственно меняется аутентификация. «С одной стороны, это преимущество, а с другой стороны – это отдельный момент, на который надо обратить внимание», - подчеркнул эксперт.

Павел Нагин рассказал о необходимости защиты API и о выборе того или иного средства для этих целей, об опыте использования машинного обучения при защите и о результатах, которые банк ожидает получить.

Возникает вопрос: почему именно машинное обучение?

«Одна из задач, которую хорошо выполняет нейронная сеть – это поиск аномалий, - отметил Павел Нагин. - Можно попробовать на раннем этапе обнаружить атаки за счет того, что они будут выглядеть как аномалия для нейросети». Второй позитивный момент – это возможность постоянного автоматического обучения. Наконец, если вся работа максимально автоматизирована, то удобно встраиваться в различные циклы разработки.

В группе Райффайзен существует большая программа, которая предусматривает поиск перспективных проектов в данной сфере. И один из перспектинвых проектов, который был отобран – это как решение по защитеAPI на основе машинного обучения.