Открытость без рисков
Как банки защищают интерфейсы обмена даннымиИнтерфейсы обмена данными между банками, платежными системами и сервисами электронной коммерции позволяют создавать решения, где любая задача пользователя от уплаты чаевых до покупки акций или драгметаллов решается за пару кликов. Обратной стороной этого стало появление новых угроз информационной безопасности. «Ведомости&» изучили, как банки борются с этими угрозами.
Связанные одной API
Банковские API (Application Programming Interface) – это интерфейсы, которые позволяют банкам интегрировать свои услуги с различными приложениями и платформами. По оценке Juniper Research, объем глобальных платежных транзакций, осуществляемых с помощью банковских API, превысит $116 млрд в 2026 г. В 2021 г. показатель был чуть менее $4 млрд.
Большая часть – 75% – таких платежей придется на Европу благодаря PSD2 (Payment Services Directive – общеевропейская директива, которая регулирует взаимоотношения банков и клиентов). В документе указано, что банки обязаны предоставлять доступ к своему API любой обратившейся компании, при условии что она сертифицирована Европейским центральным банком.
В США, по данным опроса KPMG, проведенного в 2025 г. среди около 200 топ-менеджеров из банковской сферы, 9% банков уже запустили проекты c использованием API, а 75% респондентов планируют сделать это в течение полугода. Мгновенный обмен банковской информацией и другими финансовыми данными позволяет ускорить движение денег и увеличить их оборот в экономике. Это, по подсчетам McKinsey, позволит к 2030 г. обеспечить рост ВВП различных стран от 1 до 5%.
Обратная сторона технологии
В 2025 г. компания Traceable провела опрос 1500 IT-специалистов по всему миру, работающих в сфере финтеха, здравоохранения и розницы. 57% организаций сообщили по крайней мере об одной утечке данных, вызванной API за последние два года. Причем 75% респондентов столкнулись как минимум с тремя кейсами угроз, связанных с открытыми интерфейсами. Несмотря на это, организации по-прежнему тестируют лишь 38% своих API для выявления уязвимостей. По оценкам компаний, они могут предотвратить только 24% атак, связанных с API.
За первую половину 2025 г. в 4000 исследованных международной технологической группой Thales компаний произошло 40 000 инцидентов безопасности с API. Хотя API-интерфейсы составляют всего 14% от общего числа объектов атаки, они привлекают 44% трафика вредоносных ботов, задействованных в DDoS-атаках. Наибольшая доля – 27% всех атак, нацеленных на API, – в первом полугодии 2025 г. пришлись на финансовые услуги, подсчитали в Thales. В первую очередь на транзакции в режиме реального времени, такие как проверка баланса, переводы и авторизация платежей.
Точка входа для хакера
Летом 2025 г. хакеры через уязвимость в API атаковали индийскую финтехкомпанию Aditya Birla Capital Digital, в результате был получен доступ к аккаунтам более 400 клиентов, занимавшихся цифровой торговлей драгметаллами. Совокупный ущерб составил около $200 000.
Злоумышленники обнаружили устаревшую конечную точку (endpoint в банковских API – URL-адрес, из которого API-интерфейсы могут получить доступ к ресурсам, необходимым для выполнения своих функций. – «Ведомости&»), которая все еще была подключена к внутренним системам проверки платежей Stripe. В конечной точке отсутствовали элементы управления безопасностью современных API Stripe, такие как расширенные алгоритмы ограничения скорости и обнаружения мошенничества.
Хакеры использовали списки украденных карт и ботов, чтобы заполнить API запросами на небольшие транзакции. Каждый запрос предоставлял ценную информацию независимо от того, был он успешным или неуспешным. Успешная транзакция подтверждала действительность карты, помечая ее для мошеннического использования или продажи в даркнете. В результате киберинцидента пострадало как минимум 49 онлайн-ритейлеров.
В России по итогам 2024 г. доля инцидентов, связанных с API, выросла более чем в 4 раза по сравнению с 2023 г. – с 9 млн до 39 млн событий, подсчитали аналитики «Солара». Под ударом были организации, представляющие госсектор, IT, почтовые сервисы, ритейл, банки, промышленность, телеком и др. «Один из популярных инструментов – это боты и скрипты, специально нацеленные на поиск и эксплуатацию уязвимостей в API. Все это позволяет наращивать атаки на API год к году», – поясняет руководитель отдела операционной поддержки платформы для комплексной безопасности приложений Solar appScreener Антон Прокофьев.
Рост угроз и попыток атак на API во многом объясняется тем, что API лежит в основе практически всех цифровых продуктов – от мобильных приложений и веб-кабинетов до партнерских интеграций и микросервисов, рассуждает руководитель управления анализа защищенности Bi.Zone Михаил Сидорук. Именно поэтому API представляет собой масштабную и удобную поверхность атаки. Попытки компрометации через API проще и прибыльнее, в то время как атаки на инфраструктуру технически сложнее.
Вопрос жизнеспособности для банка
Рост количества атак на API связан с расширением использования API в финансовых продуктах и решениях. Соответственно, интерес к ним со стороны злоумышленников возрастает. Новые инструменты, техники, уязвимости появляются ежедневно – достаточно посмотреть на стремительное развитие применения ИИ, говорит директор по развитию цифровых каналов Альфа-банка Дамир Баттулин.
«В этом контексте безопасность API перестала быть очередной технической задачей ИБ – теперь это один из ключевых вопросов обеспечения жизнеспособности и устойчивости бизнеса», – уверен Баттулин.
По его словам, каждый API заносится в инвентарь системы, проводится автоматизированное исследование, специалисты безопасности приложений проводят тестирование на проникновение с использованием современных подходов. Для обеспечения безопасности API активно применяются протоколы TLS, OAuth (это протокол авторизации, позволяющий приложению получать доступ к ресурсам пользователя без передачи его логина и пароля), OIDC (позволяет безопасно входить в систему, используя один набор учетных данных во многих приложениях и сервисах), JWT (открытый стандарт для создания токенов доступа) и др., добавляет Баттулин. Количество и периодичность проверок зависят от критичности актива.
«Защита API требует комплексного подхода, включающего как технические решения, так и организационные меры. В частности, необходимо минимизировать привилегии, проводить регулярные обновления ПО, дополнительно обучать сотрудников, а также повышать осведомленность пользователей о новых потенциальных угрозах», – рассуждает Баттулин.
Самый частый тип атак – это брутфорс (brute-force, атака перебором). Их цель – создание повышенной нагрузки на канал, чтобы настоящие запросы не могли пройти к системе. Любая такая атака сказывается на работоспособности систем бизнеса, так как большой объем запросов может привести к кратковременной недоступности сервисов для пользователей или клиентов, объясняет лидер платформы API ВТБ Игорь Бессчастный. «Мы пока не фиксируем специальных видов угроз, которые были бы специфичны для открытого банкинга и открытых API. При этом мы понимаем, что сама модель доступа к данным и счетам одного пользователя в разных банках через единый интерфейс потенциально очень привлекательна для злоумышленников», – говорит он. При разработке интерфейсов и API ВТБ делает ставку на превентивные меры, в первую очередь на инструменты форматно-логического контроля. Это дополнительные фильтры, которые проверяют данные на соответствие заданным параметрам.
Бот-атаки – еще одна из самых быстрорастущих категорий, говорит руководитель управления реагирования на инциденты информационной безопасности Т-банка Игорь Кубышко. Такие атаки не выглядят как классический DDoS или грубый взлом. Это корректные запросы, в правильном формате, но либо в масштабном объеме, либо с очень точной логикой: перебор объектов, попытки достать данные, «прощупывание» бизнес-функций, фрод-сценарии. И если система смотрит только на то, валиден ли токен, она этого просто не замечает.
По словам Кубышко, один из важных трендов – использование злоумышленниками ИИ-агентов. Агент может очень быстро подключиться к API, изучить схему, проверить гипотезы: где система отдает лишнее, где не хватает проверок, где можно аккуратно расширить доступ. И дальше он просто масштабирует найденный сценарий. Причем делает это тихо: без всплесков трафика, без грубых ошибок, полностью в рамках корректных запросов. В этом и основная опасность. «Атаки становятся в разы быстрее. Они выглядят как нормальное использование API, но с другой скоростью, другой последовательностью и другой целью. Поэтому классическая защита, рассчитанная на «плохие запросы», здесь не работает», – рассуждает эксперт.
По мнению Кубышко, антибот-защита и поведенческий анализ становятся критичными. Необходимо уметь отличать полезную автоматизацию – например, финансового помощника – от автоматизации, которая ищет слабые места и масштабирует атаки. «В мире агентов скорость становится главным фактором риска, и защита должна быть не менее адаптивной, чем сами атаки», – резюмирует он. В перспективе основными потребителями API будут не люди, а программные агенты. И выигрывать будут те компании, которые научатся безопасно работать с автоматизацией, а не просто пытаться от нее закрыться, уверен он.
Знать свою инфраструктуру
Злоумышленники активнее применяют уязвимости и недостатки API для похищения конфиденциальных и учетных данных, используют программные интерфейсы для получения несанкционированного доступа в инфраструктуру жертвы и развития атак на партнеров по методу цепочки поставок, рассуждает аналитик исследовательской группы Positive Technologies Роман Резников. Кроме того, DDoS-атаки на API могут приводить к недоступности сервисов, а значит, и к сбоям в предоставлении услуг клиентам. А это критично для организаций финансовой отрасли.
Защита API должна начинаться со знания и понимания собственной инфраструктуры. Без постоянного обнаружения и учета ее активных элементов будут появляться «теневые API». Каждый неучтенный, а значит, незащищенный интерфейс добавляет уязвимое место в периметре компании, рассуждает Резников.
Использование надежных механизмов аутентификации – один из базовых шагов, считает эксперт. Для защиты от атак с инъекцией кода необходимо проверять все входящие данные на соответствие ожидаемому типу и формату. Выходящие данные, в свою очередь, необходимо шифровать для исключения возможной утечки конфиденциальной информации. Для защиты от автоматизированных атак рекомендуется внедрять ограничения скорости трафика.
Среди ключевых трендов – формирование API Security как отдельного направления: классификация API, контроль теневых и неучтенных конечных точек веб-сервисов, регулярный анализ их защищенности. Эволюционируют и защитные решения класса WAF (средство защиты, которое фильтрует и анализирует HTTP/HTTPS-трафик между сайтом и интернетом) и WAAP (Web Application and API Protection – комплекс технологий для защиты веб-приложений и API от различных угроз). Они все чаще опираются не только на сигнатуры, но и на поведенческий анализ, выявление аномалий, бот-менеджмент и защиту от злоупотреблений, рассказывает Сидорук.
«Из последних новинок можно выделить отдельный класс средств защиты для API, осуществляющих инвентаризацию методов в API, защиту от атак, описанных OWASP Top-10 (список 10 самых критических рисков безопасности веб-приложений. – «Ведомости&»), и проверку запросов к API. По сути, всем привычный web application firewall (WAF) с прикрученной автоматизацией и дополнительной сверкой со спецификациями, созданными разработчиками. Но это не серебряная пуля. Для эффективной защиты помогают выстроенные процессы создания безопасного ПО и его тестирования перед выпуском в продакшн», – считает Вячеслав Касимов, CISO «Точка банка».
К 2026 г. все лидеры отечественного рынка в сегменте WAF запланировали добавление функционала для защиты API, добавляет эксперт по информационной безопасности «Инфосистемы джет» Павел Кузнецов. «Возможно, со временем разница в функциональности между системами защиты веб-приложений и специализированными решениями будет сокращаться. Для конечных пользователей значительно удобнее, когда функционал защиты API, WAF и антибот-защиты доступен из одного решения», – рассуждает он.