Открытые API. Новый подход к информационной безопасности в финансовом секторе

Открытые API. Новый подход к информационной безопасности в финансовом секторе

В 2024 году в России было зафиксировано около 765 тысяч киберпреступлений в финансовом секторе, общий ущерб от которых превысил 200 млрд рублей. Об этом на форуме «Кибербезопасность в финансах» сообщил заместитель главы МВД Андрей Храпов [1]. Почти половина этих атак была реализована через мобильные устройства и приложения, что свидетельствует о растущем уровне технической оснащенности злоумышленников.

В ответ на усложнение киберугроз государственные ведомства и частные финансовые организации активно инвестируют в совершенствование средств защиты и методов противодействия преступлениям подобного рода.

К началу текущего года Банк России утвердил стратегические направления и сроки внедрения технологии обмена чувствительной информацией на основе Открытых API в финансовом секторе. Эта инициатива направлена на повышение качества цифровых услуг и улучшение взаимодействия между всеми участниками рынка, включая бизнес-клиентов финансовых организаций и рядовых пользователей банковских услуг.

Однако рост числа технологических взаимодействий требует усиления мер информационной безопасности. С увеличением точек соединения между системами возрастают риски компрометации данных, поэтому обязательным условием успешного развития инфраструктуры финансового сообщения являются высокие стандарты мониторинга, строгий контроль доступа и надежные механизмы аутентификации запросов, передаваемых через Открытые API.

Основные вызовы, риски и угрозы

Согласно исследованию Ассоциации ФинТех [2], возможные ключевые риски, связанные широким применением Открытых API:

• Утечки данных (88%). При недостаточном контроле и защищенности инфраструктуры Открытых API может создаться угроза раскрытия конфиденциальной информации как клиентов, так и самих организаций. В 2024 году, по данным экспертно-аналитического центра InfoWatch [3], в сети было зафиксировано свыше 1,5 млрд утечек персональных данных, что на 30 % больше аналогичного показателя 2023 года.
• Несанкционированный доступ (85%). К распространенным сценариям несанкционированного доступа относятся атаки на учетные записи, перехват пользовательских сеансов и эксплуатация уязвимостей API. Для предотвращения подобных инцидентов Банк России установил строгие стандарты безопасности, включающие применение российских криптографических алгоритмов и многоуровневый контроль доступа. Для минимизации возможных рисков регулятор также намерен контролировать участников открытого обмена данными и проводить технические проверки на соответствие требованиям стандартов ФАПИ.СЕК-1.6-2024 и ФАПИ.ПАОК-1.0-2024.
• Репутационные риски. Инциденты, связанные с нарушением информационной безопасности, влекут за собой не только санкции со стороны регулятора, но и негативно сказываются на репутации компаний. Это может вылиться в падении доверия со стороны клиентов и негативном освещении в СМИ.

Чтобы минимизировать перечисленные риски, участникам рынка придется инвестировать в развитие инфраструктуры API, повышать компетенции сотрудников и внедрять современные технологии защиты программных интерфейсов.

Тем не менее затраченные усилия оправдаются: широкое внедрение Открытых API открывает перед финансовыми организациями и их клиентами новые перспективы быстрого «бесшовного» информационного взаимодействия. Стандартизированный и защищенный обмен данными ускорит срок разработки цифровых продуктов, снимет ограничения для новых технологичных вендоров, работа которых ляжет в основе создания более персонализированных сервисов для клиентов финансовых организацией. В итоге бизнес создаст новые конкурентные преимущества, а его клиенты — получат удобные инструменты для управления своими финансами.

Платформа согласий: уверенность клиентов в защите собственных данных

Минцифры России совместно с Банком России инициировали создание Платформы коммерческих согласий (ПКС). Сервис будет реализован на базе портала «Госуслуги». На Платформе коммерческих согласий клиенты получат возможность получать информацию обо всех выданных согласиях для передачи данных по Открытым API и инициировать отзыв такого согласия для прекращения обмена его данными, что усилит прозрачность в вопросах обмена клиентскими данными, снизит риск несанкционированного доступа и утечек, минимизирует зависимость клиентов от отдельных финансовых организаций.

Пилотный запуск ПКС состоится в течение лета 2025 года. В ходе проекта ряд крупных участников рынка, в том числе несколько системообразующих банков, отработают основные функциональные возможности и интеграцию ПКС со своими системами. В будущем платформа может быть расширена на другие отрасли — телекоммуникации, здравоохранение, страхование, что обеспечит универсальный инструмент управления пользовательскими согласиями.

Роль Ассоциации ФинТех в стандартизации подходов к безопасности Открытых API

Ассоциация ФинТех, оператор среды открытого банкинга, располагает специализированной автоматизированной системой для разработки, сопровождения и публикации стандартов Открытых API, а также тестовой площадкой для апробации изменений и признанной экспертизой в области обеспечения их безопасности.

Ассоциация играет ведущую роль в развитии направления Открытых API и в настоящее время проводит следующие инициативы:

АФТ задает стандарты для развития открытых API. Ключевые инициативы на текущий момент:

• Стандарты безопасности. АФТ совместно с «ИнфоТеКС» и при участии экспертов Банка России разработала два нормативных документа: СТО БР ФАПИ.СЕК-1.6-2024 [4] «Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID Connect» и СТО БР ФАПИ.ПАОК-1.0-2024 [5] «Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициировании клиентом OpenID Connect-потока аутентификации по отдельному каналу».
• Сертификационный стенд. Создана площадка для тестирования банковских открытых API и ПО финтех-компаний. Здесь проверяется ПО участников пилотов на соответствие стандартам безопасности и отдельным версиям прикладных стандартов Открытых API. Задача стенда — удостовериться, что программные продукты отвечают требованиям и регуляторным стандартам Банка России.
• Пилотные проекты, в рамках которых тестируются Стандарты Открытых API, разработанные специалистами Ассоциации ФинТех совместно с участниками пилотов. В интеграционных пилотных проектах этого года задействованы банки, страховые компании, операторы финансовых платформ и медицинские организации. Накапливаемый ими опыт изучается и трансформируется в проекты будущих стандартов безопасного обмена и технических спецификаций.
• Проектирование инфраструктуры оператора среды Открытых API, который будет выполнять сервисные функции для участников среды — упрощать информационный обмен между ними. Оператор будет контролировать выполнение положений стандартов Открытых API, помогать участникам среды их реализовывать, а также следить за соблюдением SLA поставщиками данных.

Предоставление типового (коробочного) решения для подключения участников среды Открытых API. Предполагается, что использование «коробочного решения» позволит сократить временные и материальные затраты участников рынка на создание информационных систем и организацию информационного обмена по Открытым API в соответствии с требованиями стандартов Банка России, в том числе в части информационной безопасности.

Готовность широкого запуска Открытых API в 2026 году

Концепция Банка России предполагает трехэтапный процесс широкого развертывания среды Открытых API в российской сфере финансовых услуг. Опрос регулятора показывает, что 62% участников рынка (банки, НКО и страховые компании) одобряют поэтапный запуск безопасного информационного обмена, при котором рекомендательные стандарты и меры внедрения постепенно будут заменяться обязательными [6].

На крупнейших участниках рынка сосредоточено от 75% до 90% клиентов в каждом из трех ключевых секторов, что позволяет уже на первом этапе обеспечить основную массу конечных пользователей новыми цифровыми услугами. Поэтому такой поэтапный подход способствует усилению конкуренции между ведущими игроками, предотвращая отток клиентов из небольших организаций. Кроме того, он помогает избежать регуляторного арбитража и потенциального дисбаланса в пользу нефинансовых компаний, обеспечивая справедливый доступ к данным финансовых учреждений.

Баланс между инновациями и безопасностью

Внедрение Открытых API трансформирует архитектуру финансового рынка: данные начинают активно передаваться не только внутри отдельных организаций, но и между различными участниками экосистемы. Это повышает требования к безопасности не только конечных точек API, но и всех промежуточных компонентов — брокеров данных, систем аутентификации, механизмов управления токенами, платформ согласий и клиентских интерфейсов.

Переход к единой модели обмена и стандартизации требований в области информационной безопасности позволяет системно подходить к управлению рисками, возникающими на стыке различных решений и технологий. Унификация технических подходов, внедрение обязательных стандартов и последовательное развитие инициатив Банка России создают благоприятные условия для повышения устойчивости отрасли к новым и возникающим угрозам.

Хотя полностью исключить риск появления новых атак невозможно, преимущества использования Открытых API очевидны:

• ускоряется разработка и запуск на рынок новых финансовых сервисов (time-to-market),
• повышается уровень защиты персональных данных,
• растет доверие пользователей благодаря прозрачному механизму управления своими данными,
• улучшается клиентский опыт.

Сегодня регулятор, Ассоциация ФинТех и ведущие участники рынка формируют единую экосистему, в которой безопасность закладывается в архитектуру с самого начала, а не добавляется постфактум. В такой модели Открытые API становятся не только технологическим драйвером инноваций, но и основой для формирования киберустойчивой финансовой инфраструктуры будущего.

Особое внимание при этом уделяется защите конечных точек, находящихся в зоне ответственности конкретных организаций. Подключение к доверенной среде Открытых API предполагает соблюдение единых требований безопасности всеми участниками, включая реализацию мер по защите интерфейсов, надлежащую аутентификацию, управление доступом и постоянный мониторинг рисков. Совместная работа и ответственность всех сторон обеспечит высокий уровень доверия к новому типу обмена данными и устойчивости всей системы.

[1] «Ущерб от IT-преступлений в 2024 году вырос почти на 40%» — https://tass.ru/obschestvo/23183001

[2] «Открытые API. Мировой опыт и практики на российском рынке» — https://www.fintechru.org/press-center/

[3] «Отчет. Утечки информации в России» — https://www.infowatch.ru/analytics/analitika/

[4] https://cbr.ru/Crosscut/LawActs/File/9908

[5] https://cbr.ru/Crosscut/LawActs/File/9907

[6] «Основные принципы и этапы внедрения Открытых API» — https://cbr.ru/Crosscut/LawActs/File/9908