На Уральском форуме «Кибербезопасность в финансах» эксперты обсудили ряд проблем, которые могут возникнуть при внедрении открытого банкинга. Среди них – необходимость обеспечить единый уровень безопасности для всех участников, определить функции оператора системы открытых API и провести информационную кампанию для пользователей.
"Важнейшая задача – разработка единого стандарта безопасности для открытых программных интерфейсов (API), обеспечивающего безопасный обмен данными клиентов с их согласия. Стандарт должен распространяться на всю инфраструктуру участников," – отметил Сергей Безбогов, заместитель руководителя технологического блока - старший вице-президент ВТБ, на сессии «Открытые API: совместимость без уязвимости», посвященной безопасности открытого банкинга.
Открытый банкинг позволит финансовым организациям создавать новые продукты и сервисы, а пользователям – получить к ним доступ через единый интерфейс, контролируя распространение своих данных.
Однако уровень затрат на информационную безопасность у различных участников рынка неодинаков. Стандарты крупных банков сложнодостижимы для меньших организаций, что несет риски. "Открытость" может спровоцировать рост уязвимостей.
Еще одна проблема – создание и работа единого оператора системы открытого банкинга. Оператор возьмет на себя ряд технических и юридических функций, включая идентификацию пользователей и разработку договоров для обмена данными.
"Необходимо обеспечить независимость оператора и четко прописать его полномочия," – подчеркнул Безбогов.
Предваряя форум, было проведено исследование «Открытый банкинг: безопасные API для всех» с анализом более ста российских и зарубежных источников. Опыт показал ключевую роль регуляторов и операторов систем открытых API. Открытый банкинг рассматривается как перспективная платежная система.
Исследование показало, что открытый банкинг создает как потенциал для мошенничества, так и механизмы противодействия ему, позволяя отслеживать подозрительные операции. Однако масштабных информационных кампаний по безопасности пока нет. Рекомендации сводятся к общим правилам цифровой гигиены.