Bảo mật hệ sinh thái ngân hàng số với giải pháp quản trị API
An toàn thông tin - Ngày đăng : 10:08, 23/10/2022
Vai trò của API trong hệ sinh thái ngân hàng số
Trong bối cảnh công nghệ số phát triển mạnh mẽ, nhu cầu của người dùng cũng thay đổi khi thói quen mua sắm và giao dịch trực tuyến ngày càng tăng, và sự ra đời của các ngân hàng số, ngân hàng mở là xu thế tất yếu.
Với sự phát triển đó, ngày nay, chúng ta hoàn toàn có thể sử dụng các ứng dụng trên điện thoại, trên trình duyệt web để thực hiện các giao dịch liên quan đến tài chính một cách dễ dàng.
Nhằm đáp ứng nhu cầu thực tế, hiện nay các ngân hàng không chỉ cung cấp các dịch vụ cốt lõi thông thường truyền thống như trước đây như các dịch vụ liên quan tới quản lý tài khoản cá nhân, tài khoản doanh nghiệp (DN), thế chấp tài sản. Nhờ sự phát triển của API, các ngân hàng đã phát triển và mở rộng thêm những dịch vụ phi tài chính tạo ra nhiều cơ hội cho ngân hàng mở rộng các giá trị gia tăng như những dịch vụ tài chính về sức khỏe, dịch vụ bảo hiểm y tế, hay những dịch vụ liên quan đến hỗ trợ DN thanh toán, làm thương mại điện tử, dịch vụ thanh toán hóa đơn điện tử, hóa đơn điện, nước…
Với sự phát triển của công nghệ và nhu cầu của khách hàng ngày càng gia tăng mạnh mẽ, đây chính là cơ hội để các ngân hàng tạo ra lợi thế cạnh tranh của mình. Và cho đến nay, các ngân hàng số đang chiếm ưu thế lớn trong việc mở rộng các dịch vụ gia tăng đó.
Với kiến trúc kiểu mẫu của ngân hàng số hiện nay, API đóng vai trò quan trọng trong việc mở rộng dữ liệu của ngân hàng ra bên ngoài và cho phép kết nối từ các đối tác và người dùng.
Cụ thể, công nghệ mã nguồn mở API (Application Programming Interface - ứng dụng giao diện lập trình) cho phép các bên thứ ba truy cập vào dữ liệu mở hay truy cập bảo mật đến các dữ liệu đóng của một tổ chức khi được sự đồng ý của chủ sở hữu dữ liệu.
Khi ứng dụng API, quy trình thực hiện các thanh toán của khách hàng sẽ trở nên đơn giản hơn rất nhiều, chúng cho phép bỏ qua các dịch vụ thanh toán với bên thứ 3 mà vẫn đảm bảo sự an toàn, minh bạch. Khách hàng có thể thanh toán đa dạng các dịch vụ như: tiền điện nước, đặt vé tàu xe…
Hiện nay, có khoảng 4 loại hình API phổ biến đang được sử dụng đó là: soap API, rest API, gRPC API, GraphQL API. Trong đó, soap API có tỷ lệ sử dụng thấp, còn rest API lại là loại chiếm tỷ lệ tương đối lớn với khoảng hơn 75% thị phần API, và GraphQL cũng đang có xu hướng gia tăng về các dịch vụ.
Chia sẻ tại hội thảo chuyên đề "Xu thế và giải pháp công nghệ mới về dữ liệu và nền tảng số trong tiến trình chuyển đổi số ngân hàng", ông Trần Viết Tâm, Chuyên gia tư vấn giải pháp an ninh mạng Fortinet Việt Nam cho biết, rest API là loại API được sử dụng khá phổ biến hiện nay, chính vì thế cũng mở ra rất nhiều nguy cơ và thách thức khi nó cho phép truy cập và kết nối từ bên ngoài.
Theo báo cáo của Gartner, năm 2021, 90% ứng dụng web được khai thác dựa trên API để thực hiện tấn công chứ không phải khai thác dựa trên giao diện của người dùng, tăng 40% từ năm 2019.
Năm 2022, API được dự báo có thể được sử dụng thường xuyên hơn để làm véc tơ tấn công và khai thác các lỗ hổng ở bên trong.
Trong khi đó, báo cáo Global Threat Landscape của Fortinet cũng cho biết hiện nay những ứng dụng web của API được khai thác và sử dụng rất nhiều. Các tác nhân đe dọa đang tích cực tìm cách khai thác các ứng dụng web có lỗ hổng và dễ bị tấn công.
Rõ ràng, việc ứng dụng API mở ra nhiều tiện ích cho khách hàng và cơ hội phát triển cho các ngân hàng, nhưng trên thực tế sử dụng API là việc mở dữ liệu để cho bên ngoài khai thác thông tin dữ liệu của ngân hàng, đồng thời có thể sử dụng không giới hạn lưu lượng yêu cầu qua hình thức API đó, do đó bài toán đặt ra là làm thế nào để có thể quản trị và bảo mật API một cách hiệu quả?
Ông Tâm cho biết, đứng dưới góc độ bảo mật thì API là một giao diện cho phép các đối tượng bên ngoài như đối tác, khách hàng có thể truy cập vào hệ thống, truy cập vào dữ liệu của DN. Vì vậy, chúng ta cần phải giám sát API một cách toàn diện dựa trên 3 khía cạnh của bảo mật. Cụ thể:
Bảo mật thông tin (information security): Các tổ chức tài chính, ngân hàng cần đảm bảo thông tin phải được tạo ra và lưu trữ an toàn, di chuyển trên mạng và thậm chí là tiêu hủy một cách an toàn.
Bảo mật ứng dụng (application security): Các tổ chức, DN cần đảm bảo khi xây dựng các ứng dụng web, ứng dụng di động phải có định hướng về bảo mật ngay từ ban đầu trong quá trình thiết kế để đảm bảo ứng dụng có thể chống lại được các hình thức tấn công cơ bản nhất.
Bảo mật hệ thống (network security): Các ngân hàng phải bảo vệ được dữ liệu và di chuyển trên mạng một cách an toàn; đồng thời ngăn chặn việc truy cập trái phép vào chính mạng đó.
Do đó, để sử dụng API hiệu quả, các ngân hàng, các DN cần phải xây dựng nền tảng quản trị API một cách phù hợp.
Khuyến nghị quản trị API hiệu quả
Để quản trị API hiệu quả, ông Tâm cho biết bên cạnh việc cần có một nền tảng quản trị API đảm bảo các chức năng chính cơ bản thì nó cũng cần phải đáp ứng được những yêu cầu nhất định.
Theo đó, đầu tiên là phải đảm bảo quá trình mã hóa. Mã hóa cần đảm bảo an toàn khi được lưu trữ trên cơ sở dữ liệu và được lưu trữ khi di chuyển trên mạng. Mã hóa để ngăn không cho dữ liệu bị đánh cắp hoặc sửa đổi khi chuyển tiếp hoặc ở trạng thái nghỉ.
Thứ hai, phải đảm bảo quá trình giới hạn lưu lượng yêu cầu đối với mỗi ứng dụng API công khai ra bên ngoài cho đối tác như thế nào, và cho khách hàng ra sao. Giới hạn tốc độ và từ chối yêu cầu khi API bị quá tải.
Thứ ba là phải đảm bảo tính xác thực, xác thực đúng người sử dụng, đúng đối tượng được phép truy cập vào hệ thống API.
Bên cạnh đó, hệ thống API cũng cần có biện pháp Audit Log, liên kết kiểm tra tất cả những lần đăng nhập, hoạt động của người dùng liên quan đến API, có nhật ký đánh giá ghi lại ai đã làm gì và khi nào.
Cuối cùng là kiểm soát truy cập để đảm bảo người dùng sau khi xác thực xong phải sử dụng đúng quyền hạn được phép của người dùng đó khi truy cập vào sâu bên trong nền tảng API. Chức năng này sẽ quyết định xem một yêu cầu được cho phép hay bị từ chối.
Chia sẻ tại hội thảo, ông Tâm cho biết Fortinet cũng cung cấp rất nhiều dịch vụ hỗ trợ khách hàng trong việc quản trị API một cách hiệu quả.
Đối với giải pháp đặc thù riêng cho API, hiện nay Fortinet có giải pháp về web application, và API security hỗ trợ khách hàng trong việc bảo vệ API mở ra bên ngoài, bảo vệ ứng dụng web, bảo vệ các Bot (chặn toàn bộ các hoạt động độc hại của bot, như nội dung, từ chối dịch vụ, thu thập dữ liệu, gian lận giao dịch), hỗ trợ DN đảm bảo khách hàng tuân thủ các chính sách và quy định riêng cho ngành tài chính ngân hàng./.