<p>Mais de 3/4 dos desenvolvedores de software dizem que participar da economia de API é ou será uma prioridade de negócios para sua organização*. “No entanto, nos serviços financeiros esse número é ainda maior, passando dos 80% e superando todas as outras indústrias”, comenta Daniela Costa, diretora de vendas para a América Latina da Salt Security, empresa criou em 2016 o mercado de segurança de API e entrega hoje a única solução patenteada para prevenir a próxima geração de ataques de API.</p>
<p>Aproveitando as APIs, as organizações de serviços financeiros podem inovar e trazer rapidamente ao mercado experiências e serviços exclusivos para os clientes. No entanto, o rápido crescimento das APIs também expandiu a superfície de ataque e introduziu novos riscos à segurança. As instituições financeiras sempre foram um dos principais alvos, porque ataques bem-sucedidos são extremamente lucrativos neste setor.</p>
<p>“No cenário dos serviços financeiros digitalizados, o risco nunca foi tão grande e é possível identificar quatro grandes fatores que estão impulsionando a urgência de uma melhor segurança das APIs”, analisa Daniela Costa. São eles:</p>
<p><strong>O uso da API aumentará ainda mais</strong></p>
<p>Nos serviços financeiros, a trajetória de alto crescimento das APIs continuará. Elas fornecem a conexão de dados necessária para suportar os aplicativos financeiros móveis atuais e os sistemas de pagamento peer-to-peer. As APIs estão no centro do open banking, permitindo que as empresas de serviços financeiros padronizem a forma como se conectam e trocam dados. Isso viabiliza que as informações financeiras dos consumidores sejam compartilhadas instantaneamente entre organizações e provedores de serviços de terceiros. Com diferentes parceiros e fornecedores de tecnologia, as conexões de API estão sendo continuamente adicionadas ao ecossistema financeiro.</p>
<p>Além disso, o crescimento do open banking apenas começou. De acordo com Simon Torrance e Bain Capital, os novos mercados de finanças embarcadas habilitados pelo open banking atingirão <a href=”https://www.simon-torrance.com/blog/EmbeddedFinance1″>US$ 3,6 trilhões de participação de mercado até 2030</a>, somente nos Estados Unidos. Para os serviços financeiros, isso significa ainda mais APIs e uma superfície de ataque em crescimento contínuo que deve ser adequadamente protegida.</p>
<p><strong>Ataques de API ameaçam as principais iniciativas empresariais</strong></p>
<p>O open banking dá aos consumidores mais opções e conveniência para atender às suas necessidades financeiras. Ele também aumenta a concorrência em todo o setor de serviços financeiros e gera novas receitas, oferecendo às instituições financeiras mais tradicionais a oportunidade de competir com a agilidade das fintechs.</p>
<p>“A digitalização tornou-se uma iniciativa crítica de negócios e é cada vez mais importante em serviços financeiros. No entanto, sem a capacidade de proteger os dados que estão sendo usados dentro desses serviços, as organizações financeiras perdem essa oportunidade inteiramente. Aproveitar essas oportunidades de negócios exige a proteção das APIs e apenas um ataque bem-sucedido tem o potencial de eliminar todos os ganhos obtidos com a transformação digital de uma organização”, analisa Daniela.</p>
<p><strong>Incidentes de segurança da API minam a confiança do consumidor</strong></p>
<p>Uma vez que se perde a confiança é muito difícil recuperá-la e nos serviços financeiros os custos podem ser bastante elevados. O Salt Labs, braço de pesquisa da Salt Security, em <a href=”https://salt.security/blog/api-threat-research-server-side-request-forgery-on-fintech-platform-enabled-administrative-account-takeover”>seu relatório mais recente,</a> descobriu uma vulnerabilidade em uma grande plataforma fintech que fornece uma ampla gama de serviços de banco digital para centenas de bancos e milhões de clientes.</p>
<p>A vulnerabilidade tinha o potencial de comprometer cada conta de usuário e dados de transação atendidos por seus bancos de clientes, chegando a permitir transferências de fundos não autorizados para as contas bancárias dos invasores. Esse pesadelo não ocorreu porque o problema foi identificado antes que os criminosos o fizessem. Não é difícil imaginar os prejuízos financeiros e à imagem da organização. A natureza dos aplicativos de serviços financeiros é trocar dados sensíveis, tornando as APIs um ativo de alto risco que exige proteção.</p>
<p><strong>Soluções tradicionais não oferecem proteção adequada à API</strong></p>
<p>A maioria das empresas de serviços financeiros tem pilhas de segurança de tempo de execução sofisticadas com várias camadas de ferramentas de segurança, como mitigação de bots, WAFs e gateways de API. Essas ferramentas tradicionais fornecem recursos de segurança fundamentais e proteção para as aplicações tradicionais; no entanto, elas não têm o contexto necessário para identificar e parar ataques que visam a lógica única de cada API.</p>
<p>“A segurança da API requer big data para capturar todo o tráfego de API e inteligência artificial (IA) e machine learning (ML) para analisar continuamente os grandes volumes de tráfego. Sem a análise contínua do tráfego, não é possível entender o comportamento normal para cada API e obter o contexto necessário para identificar os atacantes”, alerta Daniela.</p>
<p>Além disso, enquanto o open banking define padrões em torno de como as APIs devem ser estruturadas para permitir integrações e comunicações previsíveis, o open banking não fornece nenhum padrão para atender ao principal dos requisitos de segurança da API. Os controles básicos, como autenticação, autorização e criptografia, não conseguem enfrentar os desafios de segurança das APIs.</p>
<p><strong>A segurança da API deve estar na vanguarda dos serviços financeiros</strong></p>
<p>Violações de dados financeiros custam ao negócio em termos de conformidade com a legislação e multas regulatórias, gerando perda de receita e causando danos irreparáveis à imagem de uma organização. Reputação é tudo no altamente competitivo mercado de serviços financeiros.</p>
<p>“As organizações que atuam nesse mercado devem priorizar a segurança das APIs para proteger essa crescente superfície de ataque. Para isso, é necessária uma ferramenta de segurança capaz de cobrir todo o ciclo de vida da API, fornecendo visibilidade contínua da superfície de ataque, prevenção antecipada das ações criminosas e insights automatizados para melhoria contínua da API”, destaca Daniela Costa.</p>
<p>[1]<a href=”https://stateofapis.com/”> Postman 2021 State of APIs</a></p>
