O crescimento dos dispositivos conectados culminou no aumento da demanda de iniciativas digitais para que as empresas pudessem acompanhar as tendências e atender aos consumidores por meio das interfaces de aplicações, conhecidas como APIs.
Definido como Application Programming Interface, o termo em inglês significa Interface de Programação de Aplicativos em português, e tem a função de conectar softwares, sistemas e aplicativos de forma simples para facilitar a integração e o manuseio tanto dos usuários internos quanto externos das organizações.
Por serem baseadas na web (na maior parte dos casos) e trafegar alta quantidade de dados, essas aplicações passaram a ser utilizadas pelos agentes mal-intencionados como porta de entrada às organizações.
“Até 2022, os abusos de API passarão de um vetor de ataque infrequente para o mais frequente, resultando em violações de dados para aplicativos da web corporativos.” (Gartner)
O que é provado por um relatório da Salt Labs o qual indica que 95% das empresas registraram incidentes e o tráfego de API malicioso aumentou 681% no período de um ano (fevereiro de 2021 a fevereiro de 2022). Além disso, 34% delas assumiram que não contam com planos de segurança cibernética.
Neste cenário, um dos setores mais impactados é o financeiro, principalmente com a chegada do open banking, que integra dados de clientes entre instituições bancárias.
Segundo dados do Simon Torrance e Bain Capital, até 2030 os setores de open banking chegarão a US$ 3,6 trilhões de participação apenas nos Estados Unidos, ou seja, a segurança das APIs precisa ser redobrada para evitar prejuízos bilionários.
O que é open banking?
Open banking se refere ao Sistema Financeiro Aberto, no qual os dados de clientes são padronizados e compartilhados para que serviços e produtos bancários possam ser oferecidos de maneira personalizada. O conjunto de regras tecnológica é organizada para que o usuário — pessoa física ou jurídica — escolha qual instituição pode acessar os seus dados.
No Brasil, o Banco Central (BC) aprovou ferramenta com o nome de open finance. A primeira fase de implantação foi iniciada em fevereiro de 2021 e os usuários começaram a ter acesso aos serviços há um ano, em 15 de julho de 2021.
O BC afirma que o processo é feito em um ambiente seguro e que o usuário pode cancelar autorizações sempre que quiser. A Instrução Normativa BCB Nº 95 exige políticas de segurança da informação para as instituições financeiras participantes do programa.
Sendo assim, devem seguir as normas de informação e proteção de dados, como a Lei do Sigilo Bancário e a Lei Geral de Proteção de Dados (LGPD). Além de incluir assinaturas digitais, criptografias e protocolos de autenticação e autorização nas APIs.
Leia mais na NetSafe Corp: 5 principais equívocos de cibersegurança
APIs como caminho para ciberataques
O setor financeiro está na Transformação Digital e a tendência dos usuários de realizar as transações online abre espaço para a ação de cibercriminosos. As plataformas ficam mais simples para o usuário, mas ao mesmo tempo mais vulneráveis.
Um estudo da E&Y aponta que 48% das conversas mundiais acerca do open banking e das APIs têm tom negativo e enfatizam a proteção de dados e cibersegurança, uma vez que os consumidores ainda estão preocupados com os possíveis vazamentos de dados.
Atualmente, o setor financeiro conta principalmente com ferramentas de segurança, como WAFs, mitigação de bots e gateways de API. Porém, esses métodos podem ser ultrapassados quando o ataque visa especificamente os diferentes tipos de APIs.
Para uma proteção mais completa, recomenda-se adicionar ferramentas de Big Data capturando todo o tráfego, além de Inteligência Artificial (IA) e Machine Learning para analisar continuamente os volumes de informação e os códigos.
Apostar em uma estrutura com segurança é uma camada extra de proteção tanto para a instituição quanto para os seus clientes. Além de evitar que enormes prejuízos sejam causados às organizações financeiras.