从网点、App到API,银行的服务模式从线下扩展到线上,从客户端场景辐射到全线上场景。银行可以通过API模式服务线上全生态场景的用户。

        对于API金融服务来说,数据、场景是不得不提的关键点。

一、金融API:一边是数据,一边是场景

        金融API的快速发展,除了与技术发展息息相关,也是金融机构应对竞争,转型数字化、生态化的内在驱动。

        随着技术发展,我们已经渐渐进入了数据时代,大数据已经成为最关键的生产资料,“数字化重造物理世界”、“数字孪生”、“万物智联”等讨论引发关注。金融行业同样如此,对于金融行业来说,API是连接、打通不同来来源数据,打破数字鸿沟的重要手段。

        《商业银行应用程序接口安全管理规范》对API的定义是“一组预先定义好的功能,开发者可通过该功能(或功能的组合)便捷地访问相关服务,而无需关注服务的设计与实现”。可以说,通过API技术,数据、服务调用更加方便,前端界面与后端服务器的数据交互更加便捷。

        从用户的角度来看,金融服务数字化的本质是通过数字化手段,在线上实现用户触达,“借助API技术打通不同场景”是更加具体的触客途径。

        可以说,借助API技术,银行的线上触客范围更加广,但是,API金融背后的安全挑战也更加复杂。

二、金融API背后的安全挑战

        同样先看数据和场景两个方面。

        从数据角度看,随着API调用数量增多,其涉及的数据安全与个人信息也增多、数据类型多样(涉及个人金融数据和业务数据);同时,数据调用可能涉及多个主体,数据泄露和欺诈风险点增多,任何一方服务接口出现问题,都会造成数据保护薄弱环节。这样的情况下,数据保护面临更加复杂的挑战。

        从场景和生态方面来看,随着API技术、开放银行的发展,在用户旅程的各个阶段,网络边界逐渐模糊,银行原有的防护边界和防护手段无法满足面向全旅程互联互通的安全需求,服务接口易可能被恶意调用,遭致网络攻击。比如,API恶意合作方用无效的认证请求可导致业务服务质量下降或中断。

        根据今年2月底Akamai的数据,在针对金融服务业发起的撞库攻击中,高达75%的攻击直接以API为目标。

        数据开放、生态开放带来的影响不止于此。生态、数据开放意味着交易行为、业务模式以及风险类型的多样性,相应地,新型欺诈方式、黑灰产威胁手段也随之改变,欺诈手段将呈现出专业化、产业化、隐蔽化、场景化等特征。这些都对金融业务安全构成了新的挑战。

        另外,开放往往意味着多方参与。银行与合作方在品牌、渠道等方面的合作可能面对多种风险环境,比如违规操作、外部攻击、交易欺诈等;同时,各方面临的监管环境、技术基础设施都有所区别,在合作中如何达成一致,避免系统性风险也值得关注。

        总的来说,API金融对银行的线上展业具有积极意义,但是也面临更加复杂的安全挑战,特别是数据泄露风险。

        那么,银行业要如何应对这样的安全挑战。

        就此,光大银行认为,可以通过构建针对API的资产智能识别、身份认证与授权、异常行为监测预警、数据脱敏与追溯的安全防护体系,为业务发展保驾护航。