Статья опубликована в рамках: CLI Международной научно-практической конференции «Научное сообщество студентов XXI столетия. ЭКОНОМИЧЕСКИЕ НАУКИ» (Россия, г. Новосибирск, 03 июля 2025 г.)
Наука: Экономика
Скачать книгу(-и): Сборник статей конференции
дипломов
КИБЕРБЕЗОПАСНОСТЬ OPEN BANKING API: СРАВНИТЕЛЬНЫЙ АНАЛИЗ УЯЗВИМОСТЕЙ В PSD2 И РОССИЙСКИХ АНАЛОГАХ
CYBERSECURITY OF OPEN BANKING APIS: A COMPARATIVE ANALYSIS OF VULNERABILITIES IN PSD2 AND RUSSIAN ALTERNATIVES
Daniil Popov
student, Udmurt State University Branch in Votkinsk,
Russia, Votkinsk
Galina Ardasheva
Ph.D. in Economics, Assoc. Prof., Senior Researcher, Head of the Department of Pedagogy and Socio-Economic Disciplines, Udmurt State University Branch in Votkinsk,
Russia, Votkinsk
АННОТАЦИЯ
В статье проводится сравнительный анализ уязвимостей в системах Open Banking API, реализованных в рамках европейской директивы PSD2 и российских аналогов (СБП, ФАПИ). Исследуются ключевые угрозы кибербезопасности, включая атаки на аутентификацию, инъекции API и утечки данных. Особое внимание уделяется различиям в регуляторных требованиях и технических стандартах между европейской и российской практикой. На основе анализа предлагаются рекомендации по усилению защиты API в условиях российского финансового рынка.
ABSTRACT
This article presents a comparative analysis of vulnerabilities in Open Banking API systems implemented under the European PSD2 directive and their Russian counterparts (SBP, FAPI). The study examines key cybersecurity threats, including authentication attacks, API injections, and data leaks. Special attention is paid to the differences in regulatory requirements and technical standards between European and Russian practices. Based on the analysis, recommendations are provided for strengthening API protection in the context of the Russian financial market.
Ключевые слова: Open Banking, PSD2, API-безопасность, киберугрозы, Strong Customer Authentication (SCA), СБП, ФАПИ.
Keywords: Open Banking, PSD2, API security, cyber threats, Strong Customer Authentication (SCA), SBP, FAPI.
Открытый банкинг (Open Banking) трансформирует финансовую экосистему, предоставляя третьим сторонам доступ к банковским данным через API. Однако этот процесс сопровождается новыми киберугрозами:
В Европе внедрение PSD2 выявило уязвимости в механизмах SCA и OAuth 2.0 [1].
В России развитие СБП и ФАПИ происходит без единого стандарта безопасности API, что создает риски [2].
За 2023 год 37% всех утечек данных в финансовом секторе были связаны с API [3].
Цель исследования. Сравнить архитектурные и регуляторные подходы к безопасности API в PSD2 и российских решениях, выявить критические уязвимости и предложить меры защиты.
Сравнительный анализ стандартов безопасности:
1. Европейская модель PSD2.
Регуляторные требования:
- Обязательная двухфакторная аутентификация (SCA) [4].
- Использование стандартов OAuth 2.0 и OpenID Connect.
- Требования к сертификации TPP (Third Party Providers).
Ключевые уязвимости:
- Атаки на OAuth-токены (например, подмена токенов через phishing).
- Недостатки SCA: обход через MITM-атаки на push-уведомления [5].
- Инъекции в API (SQLi, GraphQL-инъекции).
2. Российские решения (СБП, ФАПИ).
Особенности реализации:
- Отсутствие единого аналога PSD2: СБП (ЦБ РФ) и ФАПИ (Минцифры) используют разные API.
- Аутентификация через ЕСИА/Госуслуги, но без строгих стандартов для TPP [6].
Основные риски:
- Слабая верификация TPP: отсутствие сертификации по аналогии с PSD2.
- Уязвимости в API Fast Payments (например, replay-атаки).
- Недостаточное логирование: сложность отслеживания инцидентов.
Таблица 1.
Сравнительная характеристика критических уязвимостей
|
Тип уязвимости |
PSD2 |
Российские API |
|
Аутентификация TPP |
Сертификация eIDAS |
Нет единого стандарта |
|
Защита токенов |
OAuth 2.0 + JWT-шифрование |
Часто базовый HTTPS |
|
Мониторинг аномалий |
Обязательный (RTS) |
Факультативный |
Исходя из выше изложенного, можно предложить следующие рекомендации по усилению защиты:
1) Для регуляторов:
- Ввести обязательную сертификацию TPP (по аналогии с PSD2).
- Унифицировать стандарты API для СБП/ФАПИ.
2) Для банков:
- Внедрить WAF с защитой от API-инъекций.
- Использовать поведенческую аналитику для обнаружения аномалий.
3) Для разработчиков:
- Реализовать mutual TLS (mTLS) для аутентификации TPP.
- Добавить обязательное шифрование данных в rest/payload.
PSD2 предлагает более строгую модель безопасности, но имеет уязвимости в SCA. Российские API отстают в стандартизации, что увеличивает риски. Ключевые направления улучшений: сертификация TPP, mTLS и логирование.
При реализации предложенных рекомендаций можно предположить следующие перспективы развития и успешного функционирования:
- Разработка российского стандарта Open Banking API.
- Внедрение технологий Zero Trust для TPP.
Список литературы:
- European Banking Authority. PSD2 Security Guidelines. 2022. URL: https://www.eba.europa.eu/guidelines-security-measures-operational-and-security-risks-under-psd2 (дата обращения 22.05.2025)
- ЦБ РФ. Стандарты СБП. URL: https://sbp.nspk.ru/ (дата обращения 22.05.2025)
- Positive Technologies. Киберугрозы финансовой отрасли: 2023 — 2024. URL: https://ptsecurity.com/ru-ru/research/analytics/financial-industry-security-h2-2023-h1-2024/ (дата обращения 22.05.2025)
- Что такое вторая директива о платежных услугах PSD2? URL: https://advapay.eu/ru/chto-takoe-vtoraja-direktiva-o-platezhnih-uslugah-psd2/ (дата обращения 22.05.2025)
- Open Banking или Открытый банкинг – мир открытых возможностей и скрытых рисков. URL: https://advapay.eu/ru/ otkritij-banking-open-banking-vozmozhnosti-riski/ (дата обращения 22.05.2025)
- Основные принципы и этапы внедрения открытых api на финансовом рынке. URL: https://www.cbr.ru/ Content/ Document/File/165674/document_2024-09-02.pdf (дата обращения 22.05.2025)
дипломов
Оставить комментарий