"בנקאות פתוחה דורשת חשיבה מחודשת על הגנת ממשקי העברת מידע"
רגולצייה חדשה מטעם בנק ישראל רוצה לדחוף בנקאות פתוחה, וטומנת בחובה סיכונים בממשקי העברת מידע (API) בין הבנק לצד ג'. "צריך להגן על כל ממשק כזה בצורה ייעודית", אומר דורון שמע, מייסד שותף ומנכ"ל חברת L7
עמי רוחקס דומבה
| 17/12/2019
מייסדי חברת L7 - תמונה באדיבות החברה
הפרסום של בנק ישראל בדבר קידום בנקאות פתוחה חושף את הצורך בפתרונות הגנה של API. ובכן, ראשית, עולה השאלה מהו API? "בהפשטה, זו כל נקודה לוגית בשרת האפליקציה או האתר שיכולה להגיב לבקשה כלשהי מבחוץ", מסביר דורון שמע, מייסד שותף ומנכ"ל חברת L7 המספקת פתרונות הגנה לממשקי API. "נקודה כזו יכולה להיות זו שתחזיר קבצים כתגובה לבקשה, תזרים שירים, תבצע העברת כסף באפליקציה ועוד. למעשה, כל פעולה שהמשתמש מבצע באתר או אפליקציה כוללת לרוב מספר רב של APIים שנכנסים לפעולה מאחורי הקלעים."
המטרה: גישה לנתוני לקוח בבנק
אם נחזור לבנקאות פתוחה, נראה כי בנק ישראל רוצה אפשר לחברות צד ג', כאלו מעולם הפינטק, לגשת לנתוני לקוח בבנקים. "פתיחת חשבון הלקוח לגישה של צדדי ג' תהיה בשלבים, כאשר בשלב הראשון תינתן גישה למידע על היתרות והתנועות בחשבון העו"ש של הלקוח וזאת תוך שנה מיום פרסום הוראה זו. בשלב השני תינתן גישה למידע על התנועות בכרטיסי חיוב, בנקאיים או חוץ בנקאיים וכן תינתן גישה לייזום תשלום בחשבון הבנק של הלקוח, וזאת תוך שנה וחצי מיום פרסום הוראה זו. השלב השלישי יכלול גישה למידע נוסף של הלקוח: מידע על האשראי וההלוואות שנטל הלקוח מהבנק, מידע על הפיקדונות והחסכונות של הלקוח בבנק ומידע על תיק ני"ע של הלקוח וזאת תוך שנתיים מיום פרסום הוראה זו", נכתב בפרסום.
חדי העין יבחינו כי מדובר ברגולציה שהיישום שלה מבוסס כולו על חשיפת מידע בין הבנק לצד ג' באמצעות ממשקי API. "ההבדל בין העבר להווה בהיבט של הגנה על מידע בעולם פתוח הוא הצורך להגן על כל API בנפרד. זאת, לעומת רוב הפתרונות הקיימים שמגינים על ממוצע המאפיינים של כל הAPI באפליקציה או באתר", מסביר שמע. "הדור החדש של פתרונות ההגנה האפליקטיבים צריך להתאים את המדיניות לכל API לפי המאפיינים הייעודים שלו. אם זמן תגובה של API מסוים הוא 200 מילישניות, מדיניות שתקבע זמן תגובה ממוצע של 500 מילישניות לא תעזור. וזה המצב היום בחלק מהפתרונות."
המציאות אותה מתאר שמע חדשה יחסית. הדרישה לפתרונות שיתנו מענה לכל API בודד התחילה להתפתח בקיץ האחרון, והיא נמצאת עדיין בחיתוליה. "ארגונים מתחומי הפיננסים, תעופה, מסחר ועוד מתחילים להבין שמדיניות הגנה ממוצעת משאירה אותם חשופים. המשמעות היא שהAPI שעומדים בסף הממוצע שמוגדר במדיניות ההגנה יהיו מוגנים, וכל היתר לא", אומר שמע. "המערכת שלנו יודעת לאתר את כל הAPIים, כל נקודות התגובה בדף האתר או האפליקציה, להתאים להן מדיניות אישית, ולאכוף את המדיניות באמצעות ריברס פרוקסי. הכל בצורה אוטומטית ואוטונומית."
תרומה לרווח
לצד אבטחת מידע, לקוחות רואים בהגנת API גם ערך עסקי. כל יוזר או סשן שנופלים ולא מגיעים לאתר הם הפסד כספי לבעל האתר או האפליקציה (תוצאה חיובית שגויה). מצד שני, כל יוזר או סשן זדוניים שמגיעים לאתר יכולים לגרום נזק כלכלי (תוצאה שלילית שגויה).
"יש כיום מגמה של מחזור APIים בעולם התוכנה. זה אומר שיש APIים עצמאיים שמשמשים הרבה אפליקציות וזו נקודת תורפה לכל אתר או אפליקציה. ולכן, הפתרונות שמגינים באופן ממוצע על APIים לא יעילים. נדרש מעבר להגנה אישית על כל נקודת ממשק כזו עם העולם החיצון", מסביר שמע. "המשחק הוא על כמות הטעויות במערכת. בעל האתר לא רוצה לאבד הכנסות מהתראות שווא שמונעות כניסה של יוזרים, ומאידך , הוא רוצה את מאובטח. כך בבנקאות, במסחר וגם ברשתות דור 5 שעתידות לקום בקרוב ברחבי העולם ובישראל."
רגולצייה חדשה מטעם בנק ישראל רוצה לדחוף בנקאות פתוחה, וטומנת בחובה סיכונים בממשקי העברת מידע (API) בין הבנק לצד ג'. "צריך להגן על כל ממשק כזה בצורה ייעודית", אומר דורון שמע, מייסד שותף ומנכ"ל חברת L7
מייסדי חברת L7 - תמונה באדיבות החברה
הפרסום של בנק ישראל בדבר קידום בנקאות פתוחה חושף את הצורך בפתרונות הגנה של API. ובכן, ראשית, עולה השאלה מהו API? "בהפשטה, זו כל נקודה לוגית בשרת האפליקציה או האתר שיכולה להגיב לבקשה כלשהי מבחוץ", מסביר דורון שמע, מייסד שותף ומנכ"ל חברת L7 המספקת פתרונות הגנה לממשקי API. "נקודה כזו יכולה להיות זו שתחזיר קבצים כתגובה לבקשה, תזרים שירים, תבצע העברת כסף באפליקציה ועוד. למעשה, כל פעולה שהמשתמש מבצע באתר או אפליקציה כוללת לרוב מספר רב של APIים שנכנסים לפעולה מאחורי הקלעים."
המטרה: גישה לנתוני לקוח בבנק
אם נחזור לבנקאות פתוחה, נראה כי בנק ישראל רוצה אפשר לחברות צד ג', כאלו מעולם הפינטק, לגשת לנתוני לקוח בבנקים. "פתיחת חשבון הלקוח לגישה של צדדי ג' תהיה בשלבים, כאשר בשלב הראשון תינתן גישה למידע על היתרות והתנועות בחשבון העו"ש של הלקוח וזאת תוך שנה מיום פרסום הוראה זו. בשלב השני תינתן גישה למידע על התנועות בכרטיסי חיוב, בנקאיים או חוץ בנקאיים וכן תינתן גישה לייזום תשלום בחשבון הבנק של הלקוח, וזאת תוך שנה וחצי מיום פרסום הוראה זו. השלב השלישי יכלול גישה למידע נוסף של הלקוח: מידע על האשראי וההלוואות שנטל הלקוח מהבנק, מידע על הפיקדונות והחסכונות של הלקוח בבנק ומידע על תיק ני"ע של הלקוח וזאת תוך שנתיים מיום פרסום הוראה זו", נכתב בפרסום.
חדי העין יבחינו כי מדובר ברגולציה שהיישום שלה מבוסס כולו על חשיפת מידע בין הבנק לצד ג' באמצעות ממשקי API. "ההבדל בין העבר להווה בהיבט של הגנה על מידע בעולם פתוח הוא הצורך להגן על כל API בנפרד. זאת, לעומת רוב הפתרונות הקיימים שמגינים על ממוצע המאפיינים של כל הAPI באפליקציה או באתר", מסביר שמע. "הדור החדש של פתרונות ההגנה האפליקטיבים צריך להתאים את המדיניות לכל API לפי המאפיינים הייעודים שלו. אם זמן תגובה של API מסוים הוא 200 מילישניות, מדיניות שתקבע זמן תגובה ממוצע של 500 מילישניות לא תעזור. וזה המצב היום בחלק מהפתרונות."
המציאות אותה מתאר שמע חדשה יחסית. הדרישה לפתרונות שיתנו מענה לכל API בודד התחילה להתפתח בקיץ האחרון, והיא נמצאת עדיין בחיתוליה. "ארגונים מתחומי הפיננסים, תעופה, מסחר ועוד מתחילים להבין שמדיניות הגנה ממוצעת משאירה אותם חשופים. המשמעות היא שהAPI שעומדים בסף הממוצע שמוגדר במדיניות ההגנה יהיו מוגנים, וכל היתר לא", אומר שמע. "המערכת שלנו יודעת לאתר את כל הAPIים, כל נקודות התגובה בדף האתר או האפליקציה, להתאים להן מדיניות אישית, ולאכוף את המדיניות באמצעות ריברס פרוקסי. הכל בצורה אוטומטית ואוטונומית."
תרומה לרווח
לצד אבטחת מידע, לקוחות רואים בהגנת API גם ערך עסקי. כל יוזר או סשן שנופלים ולא מגיעים לאתר הם הפסד כספי לבעל האתר או האפליקציה (תוצאה חיובית שגויה). מצד שני, כל יוזר או סשן זדוניים שמגיעים לאתר יכולים לגרום נזק כלכלי (תוצאה שלילית שגויה).
"יש כיום מגמה של מחזור APIים בעולם התוכנה. זה אומר שיש APIים עצמאיים שמשמשים הרבה אפליקציות וזו נקודת תורפה לכל אתר או אפליקציה. ולכן, הפתרונות שמגינים באופן ממוצע על APIים לא יעילים. נדרש מעבר להגנה אישית על כל נקודת ממשק כזו עם העולם החיצון", מסביר שמע. "המשחק הוא על כמות הטעויות במערכת. בעל האתר לא רוצה לאבד הכנסות מהתראות שווא שמונעות כניסה של יוזרים, ומאידך , הוא רוצה את מאובטח. כך בבנקאות, במסחר וגם ברשתות דור 5 שעתידות לקום בקרוב ברחבי העולם ובישראל."
