מהפכת "הבנקאות הפתוחה" המתרחשת בשנים האחרונות במגזר הפיננסי העולמי משנה את עולם הבנקאות מקצה לקצה הגיע בשנה האחרונה גם בישראל, באדיבות בנק ישראל. השינוי הנדרש כולל את העמדת מידע לקוח עדכני, השמור במערכות המידע של הבנקים, לשימושן של חברות פינטק (צד ג') לטובת הצרכן הסופי, בכפוף כמובן לעמידה של האחרונים בדרישות הרגולטוריות שקבע בנק ישראל.
מדוע זו מהפכה?
רפורמת "הבנקאות הפתוחה" או בשמה הרשמי PSD2 , אותה מוביל האיחוד האירופאי, מחייבת את הבנקים להחצין נתוני לקוח באמצעות ממשקי API לכל גורם שיבחר על ידו, כמו גם לתמוך בטרנזקציות כספיות דרך ממשקים אלו. במהלך זה נחשף המידע הפיננסי של הלקוח מהבנקים וחברות האשראי, כולל מידע אודות חסכונות, הלוואות, השקעות שוק ההון, וכו'. בפועל, מודל זה מאפשר כיום את התפתחותה המהירה של תעשיית הפינטק העולמית, ולפיכך בעל משמעות רבה גם בשכלול התחרות והשירות הפיננסי ללקוח בשוק המקומי.
"מהפכת ה "API
נכון לעכשיו, מידע לקוח הינו עדיין הסוד השמור ביותר של הבנקים בישראל. במהלך הדיגיטציה שהבנקים עברו בעשורים האחרונים הם הקפידו לשמר את מודל 'הגן הסגור'. אמנם פותחו ממשקי תכנה (API) לצורך העברת וקבלת נתונים ולטפל בתהליכי העברות כספים. אך הללו בד"כ בוצעו מול מספר מצומצם של חברות שטופחו "בחצר האחורית" של הבנק וכן גופים מוסדיים שונים בעיקר כתמיכה בתהליכי סליקה או שיתוף מידע בין-בנקאי מוגבל, כמחוייב רגולטורית ולא היו בעצם חשופים לציבור הרחב, או לחברות פינטק חדשניות.
עם השנים חדרו גם יכולות עסקיות חדשות למערכות הבנקאיות בעולם, דרך שימוש ב API פתוחים מהזן החדש, כך גם בישראל. לדוגמא, כיום כל לקוח בנקאי בישראל משתמש בAPI לצורך צפיה במדדי מטבעות, כאשר המידע מגיע מיישומים של בנק ישראל או משרד האוצר. התקשורת עם היישום של הבנק נעשית באמצעות API. לפיכך באופן טבעי הרפורמה מבוססת על יכולות קיימות אלו ומרחיבה אותן לפעילות שותפת מול חברות הפינטק.
הסיכונים שבדרך
שימוש בממשקי API חושף את הבנק ואת המשתמשים גם לסוג חדש של מתקפות סייבר, כאלו היכולות לנצל את הממשק לגניבת נתונים או כסף ע"י מציאת פרצות בלוגיקת המימוש שלו וניצולן. "אבטחת APIs היא בהנחיה של הרגולטור, אך באחריותו של המוסד הפיננסי", מסביר תומר נורי, מנכ"ל חברת The Cyber Edge ."חברת הפינטק פונה בשם הלקוח לבנק, ומקבלת ממנו את הנתונים הנדרשים, תחת מנגנוני הזדהות אותם מפעיל הבנק. הבנק המפעיל את ה- API ואחראי לפיכך לישום תקן האבטחה של הבנקאות הפתוחה. עם זאת, התקנים אינם אחראים על מימוש ההגנה בפועל, אל מול הבעיות הצצות חדשות לבקרים בעולם אבטחת הAPI בין השאר בגלל חוסר נסיון מספק עדיין בנושא" אומר נורי. "לדוגמא, מוסדות הפיננסיים נדרשים כיום ליישם רכיב רשת בשם API Gateway . זהו רכיב חשוב, אך אינו כולל אבטחת מידע ברמה מספקת."
"API מהווים נקודה רגישה מאד בשל אופי הנתונים העוברים בהם, יצירתיות התוקפים גבוהה בזיהוי חולשות לוגיקה עסקית ולפיכך נדרשת יכולת הגנה משודרגת לנושא, תחום הנמצא יחסית בשלבים ראשוניים בתעשיית הגנת הסייבר. בהקשר זה, פתרון האבטחה של חברת L7 Defense נחשב לייחודי בנוף. הפתרון מבוסס על מנוע מבוסס בינה מלאכותית מהדור החדש, המזהה מצד אחד סימני תקיפה ומוודא את נכונותם בתהליך מקביל ובלתי תלוי של זיהוי התנהגות חריגה באותה תעבורה, וכל זאת בתעבורה המגיעה ברמת ה API הבודד. מנוע הבינה המלאכותית מאתר סימנים בכל מסלול הבקשה-תשובה, מקבלת הבקשה לעיתים ממש עד לרגע שחרור המענה ללקוח, כאשר כל שלב מנותח בתהליך למידה עצמאי המשולב בהמשך עם שאר השלבים. המודל אמין מאד, ומאפשר זיהוי תקיפות בטווח רחב מאד של סוגים ומורכבויות ברמת API בודד".
"הפתרון של L7 Defense קל ומהיר מאד להתקנה, פעיל מיידית מרגע התקנתו ומשתלב בקלות במערך ההגנה הקיים של הארגון. תכונות אלו חוסכות לבנקים הרבה מאד כאבי ראש בתהליך ההטמעה.." המוצר מטפל בצורה ייעודית באבטחת API ועובד מדוייק מאד במודל INLINE . נתון מרכזי המייחד אותו מאד בנוף מוצרי ההגנה כיום הפועלים ברובם כמוצרי ניטור בלבד, ללא שימוש אמיתי בחסימה אקטיבית של סיכונים", מוסיף נורי.
"אין לי ספק כי הרפורמה עתידה לשפר את התחרות בעולם הבנקאות, ולספק לכל אחד מאיתנו מידע שלם ועדכני אודות כלל הפעילות הפיננסית שלו. עם זאת, היא מגיעה עם תמרור אזהרה – שימוש גובר בממשקי API.מסכם נורי, "בנק ישראל דחה אמנם למרץ 2021 את החובה לתמוך בתצוגה ועד אוקטובר 2021 את התמיכה בהעברת מידע (טרנזקציות). כלומר, כל בנק או גוף פיננסי בישראל כבר צריכים להיות בתהליך הטמעה".