Компания «Спикател» совместно с партнерами провела исследование защищенности API в российском финансовом секторе. Данные получены на основе мониторинга, опросов руководителей ИБ-подразделений и анализа инцидентов. Опрос охватывал период последних 12 месяцев — с июня 2025 по май 2026 включительно. Об этом CNews сообщили представители «Спикател».
По данным опроса, 98% финансовых организаций зафиксировали как минимум один инцидент, связанный с безопасностью API, за последние 12 месяцев. Это соответствует международной статистике — по данным Akamai, аналогичный показатель в мире составляет 96%. Под инцидентами безопасности мы понимаем случаи, когда злоумышленники использовали API (программный интерфейс) для атаки на инфраструктуру финансовой организации: веб-атаки, нацеленные на конечные точки API, проникновение программ-вымогателей через API эксплуатация «неинвентаризованных» API, «тихие» атаки на бизнес-логику, атаки через незащищенные тестовые контуры мобильных банков.
«Глобальная цифра в 96% выглядит устрашающе, но российская специфика диктует почти стопроцентную гарантию инцидента. Ключевой фактор — скорость. В стремлении быстрее вывести на рынок отечественные аналоги ушедших вендоров, безопасность API на этапе разработки зачастую приносится в жертву функциональности», — сказал ведущий аналитик центра мониторинга киберугроз «Спикатела» Алексей Козлов.
На финансовый сектор пришлось 85% всех веб-атак на российские организации и 90% атак, направленных на конечные точки API. Вероятно, это связано с тем, что в РФ ускоренными темпами формируется экосистема открытых API (в рамках инициатив ЦБ РФ по Open Banking), и злоумышленники активно изучают уязвимости новых, зачастую «сырых», микросервисных архитектур.
За последние 12 месяцев 85% опрошенных финансовых организаций столкнулись с атаками программ-вымогателей и попытками шифрования данных. Также зафиксирован рост векторов проникновения через API мобильных приложений и партнерских интеграций.
Злоумышленники все чаще используют API как точку входа в инфраструктуру, минуя классические периметры защиты. Фиксировались случаи, когда вымогатели проникали через незащищенные тестовые контуры мобильных банков.
При этом уровень внедрения передовых средств защиты (WAF нового поколения, API Security Gateways) в российском финтехе оценивается лишь в 35–40%. Многие организации до сих пор полагаются на устаревшие модели безопасности периметра, не справляясь с «тихими» атаками логического уровня.
«Спикател» прогнозирует рост числа инцидентов, связанных с эксплуатацией неинвентаризованных API, на 40% к концу 2026 г. Факторы роста: расширение числа интеграций по модели Open Banking и увеличение количества публикуемых API.
Поделиться
