Банки проверят открытые API на безопасность
С 2026 г. поэтапно начнется внедрение обязательного использования открытых API. Ранее Центробанк (ЦБ) сообщал, что внедрение должно было начаться в 2025 г. Представитель пресс-службы регулятора объяснил ComNews, что перенос срока связан с необходимыми регуляторными изменениями и мнением участников рынка.
Представитель пресс-службы ЦБ рассказал, что регулятор надеется, что законопроект на эту тему будет внесен в Госдуму в 2024 г. Также в этом году планируется провести пилотные проекты с участниками финансового рынка.
ЦБ пришел к выводу, что при внедрении открытых API лучше использовать гибридный подход - внедрение рекомендательного, а затем и обязательного использования стандартов открытых API по модели открытых финансов и рекомендательного использования по модели открытых данных.
Открытые API - программные интерфейсы, публикуемые организациями в соответствии с требованиями Банка России для обеспечения возможности цифрового обмена данными с поставщиками услуг и клиентами в рамках организации и предоставления финансовых услуг.
Для формирования консолидированных предложений для Банка России по внедрению открытых API в мае 2023 г. создан экспертный совет на площадке Ассоциации развития финансовых технологий. В его состав вошли организации банковского, инвестиционного, страхового, микрофинансового секторов финансового рынка, а также крупнейшие представители нефинансового рынка.
"В части требований к информационной безопасности Банк России актуализирует соответствующие стандарты. Они будут обязательны для применения всеми участниками при передаче по открытым API чувствительной информации, - рассказал представитель пресс-службы ЦБ. - Обмен клиентскими данными с помощью открытых API между участниками информационного взаимодействия возможен только при получении согласия клиента. Банк России совместно с Минцифры России разрабатывает концептуальные подходы к созданию платформы коммерческих согласий на базе портала "Госуслуги".
Представитель пресс-службы Министерства цифрового развития, связи и массовых коммуникаций уточнил, что ведомство совместно с Банком России активно прорабатывают сценарии использования ПКС и подходы к технической реализации.
Один из важнейших вопросов при разговоре об открытых API касается ИБ. Консалтинговая компания "Яков и Партнеры" в 2023 г. сообщала, что открытые API несут риски разглашения и утраты персональных данных клиентов (ПДн), мошенничества со стороны поставщиков услуг и риски несоответствия инфраструктуры участников.
При этом в
Безопасны ли API, будет зависеть от того, какие нормы и правила регулирования будет применять регулятор, считает генеральный директор iTPROTECT Андрей Мишуков.
Компания - разработчик комплексного программного решения BSS уже провела в одном из банков пилотный проект по поддержке открытых API. Об этом директор по развитию продуктов Центра цифровых решений для бизнеса компании BSS Станислав Шилов рассказал ComNews: "Уверенно заявляем, что вопросы безопасности проработаны глубоко. Никаких принципиально новых рисков относительно существующего ландшафта угроз цифровым сервисам банков при полном выполнении требований по безопасности, зафиксированных в документах и стандартах по открытым API, не возникает".
Директор подразделения "Цифровые продукты для бизнеса" банка ДОМ.РФ Олег Комлик рассказал, что банк работает над стандартами по открытым API.
"Использование открытых API обеспечивает скорость и качество предоставляемых организациями сервисов, поэтому участники рынка так или иначе все равно придут к использованию этого инструмента. Банк ДОМ.РФ уже несколько лет активно использует API для взаимодействия с другими организациями, в том числе застройщиками", - рассказал Олег Комлик.
Пока есть неопределенность, связанная с правовым полем применения API, рассказал представитель пресс-службы банка ВТБ. Он объяснил, что перед участниками рынка стоит задача реализовать стандарт ИБ, который пока носит рекомендательный характер. ВТБ также развивает на базе Ассоциации "ФинТех" пилотные проекты, которые помогают определить, какие доработки стандартов требуются. "Уже очевидно, что для полноценного внедрения стандарта информационной безопасности всем участникам процесса предстоит доработать решения, - объяснил представитель пресс-службы банка. - Главное, чтобы требования в части ИБ предусматривали разные сценарии использования API - это позволит упростить их внедрение без снижения уровня надежности. При этом от технологических участников рынка, банков и других требуется делать API "гибкими" для нужд бизнеса".
Начальник отдела разработки прикладного программного обеспечения АО "ИВК" Олег Лекшин считает, что сокрытие алгоритмов работы системы не повышает ее безопасности. "Открытость же привлекает к системе больше пользователей, в том числе специалистов по безопасности. Вокруг нее формируется профессиональное сообщество, что создает ресурс для развития системы в целом и повышения ее безопасности в частности. Другое дело, что инфраструктурой разработки открытых систем нужно грамотно управлять: выстраивать работу с сообществом, оперативно устранять найденные уязвимости, так как они моментально становятся достоянием общественности", - считает Олег Лекшин.
Юристы IP-практики Nordic Star Ольга Нечаева и Вера Зотова объяснили, что ПКС не противоречит закону о ПДн: "Платформа, которая позволит видеть перечень данных согласий и максимально оперативно их отзывать, не противоречит требованиям закона "О персональных данных", а наоборот, отвечает его целям, так как позволяет субъектам быстро прекратить обработку их данных". Юристы добавили, что при авторизации на "Госуслугах" пользователи принимают политику конфиденциальности и пользовательское соглашение, поэтому обработка ПДн в рамках "Госуслуг" законна.
https://www.comnews.ru/content/218823/2022-02-15/2022-w07/otkrytym-api-nuzhno-bolshe-otkrytosti