14 мая 2021

Open API: почему важна информационная безопасность

Открытый банкинг – это сложная экосистема, состоящая из банков, финтехов и конечных потребителей. В основе ее существования – данные пользователей, такие как персональные данные (имя, адрес проживания, телефон), состояние счета, история транзакций, информация о приобретенных банковских продуктах и многое другое. Безопасность и конфиденциальность этих данных однозначно является приоритетом номер один.

Однако тема информационной безопасности, как показывает практика, очень сложная – особенно в финансовой сфере. Обеспечить безопасность непросто, это многоплановая проблема и требует серьезного подхода. Если применять упрощенный подход, то тему информационной безопасности можно разделить на две части: человеческий фактор и кибербезопасность.

Человеческий фактор очень часто становится причиной утечек информации или же ее неправомерного использования. Речь идет или о подкупе конкретных сотрудников финансовых организаций, о личной жажде наживы или же об обмане и манипуляции со стороны мошенников. Большинство из нас встречались со звонками «службы безопасности банка», а точнее мошенниками, которые легко покупают слитые базы данных финансовых организаций и применяют их в своих отлаженных схемах «социальной инженерии».

«Социальная инженерия» — это манипуляция действиями человека, заключающаяся в использовании психологии в целях незаконного получения личной информации (учетных или банковских данных) или несанкционированного доступа к устройствам пользователя.

Согласно данным Банка России, доля социальной инженерии в общем объеме несанкционированных операций по итогам 2020 года составила 61,8%. Общий объем хищений составил почти 9,8 млрд рублей. Согласно статистике, объем операций без согласия клиентов в общем объеме операций составляет чуть больше 1 копейки на каждую 1000 рублей. В относительных величинах это не выглядит большой проблемой, однако это приносит реальный ущерб тысячам наших граждан, исчисляемый от десятков тысяч до миллионов рублей.

Решение проблем человеческого фактора в информационной безопасности – это обучение персонала финансовых учреждений, а также повышение финансовой грамотности конечных потребителей.

Вторая сторона информационной безопасности – кибербезопасность – играет не менее важную роль для банков и финтехов. Речь идет именно о создании взломоустойчивых информационных систем. В случае с Открытым банкингом проблема более чем актуальная. Информация, передаваемая через API, зачастую является банковской тайной. Законодательство предъявляет серьезные требования к сохранности данных финансовых организаций, что зачастую усложняет взаимодействие банков и финтехов – многие виды данных нельзя выводить в «облака», а, значит, сервис финтеха обязательно должен быть встроен в «контур» банка. Поэтому зачастую инновационная лаборатория финансовой организации не может внедрить новый финтех-сервис, так как встречает сопротивление службы информационной безопасности банка.

Очевидно, что для финтех-рынка назревает потребность в доверенной среде обмена данными – такой, в которой обеспечивается сертификация участников, есть понятная и прозрачная юридическая конструкция, система разрешения диспутов и споров, а также четко прописанные требования к информационной безопасности участников. Мировая практика показывает, что такие доверенные среды существуют и действуют в интересах их участников – банков, финтехов и конечных потребителей.

Одним из лидеров в области Open Banking считается Великобритания. Управлению по финансовому регулированию и надзору (Financial Conduct Authority, FCA) удалось создать модель открытых API, ставшей образцовой для регуляторов других стран. В Великобритании создан общий стандарт API, обязательный для крупнейших банков страны. В том числе разработаны стандарты информационной безопасности и система мониторинга доступности API. Также отлажен процесс сертификации финтехов в среде открытого банкинга. Это означает, что распоряжаться данными пользователей через API могут только сертифицированные стартапы, прошедшие непростую и дорогостоящую проверку со стороны регулятора. На практике это может лишать небольшие финтехи (у которых скромные бюджеты) доступа к открытым API, но за счет этого можно гарантировать, что сертифицированные стартапы (а их уже более 200) точно отвечают всем требованиям информационной безопасности. Еще одно ноу-хау британского Open Banking – это страхование ответственности. Стартапы должны покупать специальную страховку, которая покрывает риски утечек данных. Страховка видится как дополнительная финансовая нагрузка для финтехов, однако она становится еще одним инструментом обеспечения интересов всех участников информационного обмена. В итоге, в Великобритании создана сложная и многоступенчатая, но надежная система обеспечения информационной безопасности Открытых API.

Открытый банкинг развивается в том числе и в России – Центральным Банком Российской Федерации и Ассоциацией ФинТех. В прошлом году были разработаны стандарты открытых API, в том числе стандарт информационной безопасности. Настоящий стандарт (он же ФАПИ.СЕК) предоставляет требования и рекомендации для обеспечения безопасного доступа к финансовым данным в финансовых сервисах реального времени с использованием модели обмена данными REST/JSON, защищенной технологией OAuth, включая профилирующий ее протокол OpenID Connect. Разработанные стандарты написаны в соответствии со всеми международными тенденциями в области информационной безопасности и прошли через Технический комитет №122, возглавляемый первым зампредом ЦБ Ольгой Скоробогатовой.

Qplatform – это российская API-платформа, один из ключевых игроков рынка Open Banking. Платформа зарекомендовала себя как надежного партнера российских банков и финтехов.

Qplatform соответствует всем требованиям международных стандартов безопасности:

  • OWASP Top 10;
  • ISO/IEC 27033;
  • PCI DSS;
  • NIST 800-xx;
  • IETF’s RFC 8446: TLS 1.3 protocol.

А также отвечает отечественным отраслевым стандартам, в том числе:

  • СТО БР ИББС;
  • ГОСТ Р 57580.1-2017;
  • ГОСТ Р 57580.2-2018.

Также платформой разработана комплексная система мониторинга, которая анализирует используемые сервисы в режиме реального времени, что позволяет осуществлять контроль над всеми процессами 24/7.

Гибкость и функциональность Qplatform можно протестировать в режиме реального времени на нашем Маркетплейсе.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Связаться с нами
Связаться с нами
420500, Республика Татарстан, Верхнеуслонский р-н, г. Иннополис, ул. Университетская, д. 7
109012, Москва, Малый Черкасский переулок, д.2
QIWI Platform LLC. All rights reserved. 2021
Наш сотрудник свяжется с вами в течение 24 часов.