

В 2024 году в России было зафиксировано около 765 тысяч киберпреступлений в финансовом секторе, общий ущерб от которых превысил 200 млрд рублей. Об этом на форуме «Кибербезопасность в финансах» сообщил заместитель главы МВД Андрей Храпов [1]. Почти половина этих атак была реализована через мобильные устройства и приложения, что свидетельствует о растущем уровне технической оснащенности злоумышленников.
В ответ на усложнение киберугроз государственные ведомства и частные финансовые организации активно инвестируют в совершенствование средств защиты и методов противодействия преступлениям подобного рода.
К началу текущего года Банк России утвердил стратегические направления и сроки внедрения технологии обмена чувствительной информацией на основе Открытых API в финансовом секторе. Эта инициатива направлена на повышение качества цифровых услуг и улучшение взаимодействия между всеми участниками рынка, включая бизнес-клиентов финансовых организаций и рядовых пользователей банковских услуг.
Однако рост числа технологических взаимодействий требует усиления мер информационной безопасности. С увеличением точек соединения между системами возрастают риски компрометации данных, поэтому обязательным условием успешного развития инфраструктуры финансового сообщения являются высокие стандарты мониторинга, строгий контроль доступа и надежные механизмы аутентификации запросов, передаваемых через Открытые API.
Основные вызовы, риски и угрозы
Согласно исследованию Ассоциации ФинТех [2], возможные ключевые риски, связанные широким применением Открытых API:
Чтобы минимизировать перечисленные риски, участникам рынка придется инвестировать в развитие инфраструктуры API, повышать компетенции сотрудников и внедрять современные технологии защиты программных интерфейсов.
Тем не менее затраченные усилия оправдаются: широкое внедрение Открытых API открывает перед финансовыми организациями и их клиентами новые перспективы быстрого «бесшовного» информационного взаимодействия. Стандартизированный и защищенный обмен данными ускорит срок разработки цифровых продуктов, снимет ограничения для новых технологичных вендоров, работа которых ляжет в основе создания более персонализированных сервисов для клиентов финансовых организацией. В итоге бизнес создаст новые конкурентные преимущества, а его клиенты — получат удобные инструменты для управления своими финансами.
Платформа согласий: уверенность клиентов в защите собственных данных
Минцифры России совместно с Банком России инициировали создание Платформы коммерческих согласий (ПКС). Сервис будет реализован на базе портала «Госуслуги». На Платформе коммерческих согласий клиенты получат возможность получать информацию обо всех выданных согласиях для передачи данных по Открытым API и инициировать отзыв такого согласия для прекращения обмена его данными, что усилит прозрачность в вопросах обмена клиентскими данными, снизит риск несанкционированного доступа и утечек, минимизирует зависимость клиентов от отдельных финансовых организаций.
Пилотный запуск ПКС состоится в течение лета 2025 года. В ходе проекта ряд крупных участников рынка, в том числе несколько системообразующих банков, отработают основные функциональные возможности и интеграцию ПКС со своими системами. В будущем платформа может быть расширена на другие отрасли — телекоммуникации, здравоохранение, страхование, что обеспечит универсальный инструмент управления пользовательскими согласиями.
Роль Ассоциации ФинТех в стандартизации подходов к безопасности Открытых API
Ассоциация ФинТех, оператор среды открытого банкинга, располагает специализированной автоматизированной системой для разработки, сопровождения и публикации стандартов Открытых API, а также тестовой площадкой для апробации изменений и признанной экспертизой в области обеспечения их безопасности.
Ассоциация играет ведущую роль в развитии направления Открытых API и в настоящее время проводит следующие инициативы:
АФТ задает стандарты для развития открытых API. Ключевые инициативы на текущий момент:
Предоставление типового (коробочного) решения для подключения участников среды Открытых API. Предполагается, что использование «коробочного решения» позволит сократить временные и материальные затраты участников рынка на создание информационных систем и организацию информационного обмена по Открытым API в соответствии с требованиями стандартов Банка России, в том числе в части информационной безопасности.
Готовность широкого запуска Открытых API в 2026 году
Концепция Банка России предполагает трехэтапный процесс широкого развертывания среды Открытых API в российской сфере финансовых услуг. Опрос регулятора показывает, что 62% участников рынка (банки, НКО и страховые компании) одобряют поэтапный запуск безопасного информационного обмена, при котором рекомендательные стандарты и меры внедрения постепенно будут заменяться обязательными [6].
На крупнейших участниках рынка сосредоточено от 75% до 90% клиентов в каждом из трех ключевых секторов, что позволяет уже на первом этапе обеспечить основную массу конечных пользователей новыми цифровыми услугами. Поэтому такой поэтапный подход способствует усилению конкуренции между ведущими игроками, предотвращая отток клиентов из небольших организаций. Кроме того, он помогает избежать регуляторного арбитража и потенциального дисбаланса в пользу нефинансовых компаний, обеспечивая справедливый доступ к данным финансовых учреждений.
Баланс между инновациями и безопасностью
Внедрение Открытых API трансформирует архитектуру финансового рынка: данные начинают активно передаваться не только внутри отдельных организаций, но и между различными участниками экосистемы. Это повышает требования к безопасности не только конечных точек API, но и всех промежуточных компонентов — брокеров данных, систем аутентификации, механизмов управления токенами, платформ согласий и клиентских интерфейсов.
Переход к единой модели обмена и стандартизации требований в области информационной безопасности позволяет системно подходить к управлению рисками, возникающими на стыке различных решений и технологий. Унификация технических подходов, внедрение обязательных стандартов и последовательное развитие инициатив Банка России создают благоприятные условия для повышения устойчивости отрасли к новым и возникающим угрозам.
Хотя полностью исключить риск появления новых атак невозможно, преимущества использования Открытых API очевидны:
Сегодня регулятор, Ассоциация ФинТех и ведущие участники рынка формируют единую экосистему, в которой безопасность закладывается в архитектуру с самого начала, а не добавляется постфактум. В такой модели Открытые API становятся не только технологическим драйвером инноваций, но и основой для формирования киберустойчивой финансовой инфраструктуры будущего.
Особое внимание при этом уделяется защите конечных точек, находящихся в зоне ответственности конкретных организаций. Подключение к доверенной среде Открытых API предполагает соблюдение единых требований безопасности всеми участниками, включая реализацию мер по защите интерфейсов, надлежащую аутентификацию, управление доступом и постоянный мониторинг рисков. Совместная работа и ответственность всех сторон обеспечит высокий уровень доверия к новому типу обмена данными и устойчивости всей системы.
[1] «Ущерб от IT-преступлений в 2024 году вырос почти на 40%» — https://tass.ru/obschestvo/23183001
[2] «Открытые API. Мировой опыт и практики на российском рынке» — https://www.fintechru.org/press-center/
[3] «Отчет. Утечки информации в России» — https://www.infowatch.ru/analytics/analitika/
[4] https://cbr.ru/Crosscut/LawActs/File/9908
[5] https://cbr.ru/Crosscut/LawActs/File/9907
[6] «Основные принципы и этапы внедрения Открытых API» — https://cbr.ru/Crosscut/LawActs/File/9908
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных