В ходе XII Уральского форума «Информационная безопасность финансовой сферы» с успехом прошла сессия «Развитие открытых интерфейсов (Open API) на финансовом рынке». Ее модератором выступил начальник управления анализа и регулирования в сфере финансовых технологий Банка России Дмитрий Дубынин.

На тот момент, когда еще активно проводились массовые мероприятия и не было нынешней нагрузки на финансовую и государственную IT-инфраструктуры, самым интересным в этой сессии казалось выступление Владимира Сычева из «Леруа Мерлен». Он рассказывал банкирам о том, каких бизнес-высот можно достичь в сетевом ретейле, используя API, при отсутствии регуляторной нагрузки Банка России.

Но прошло немного времени, и мы имеем в экономике и медицине то, чего не ожидали. В этом свете заиграла совершенно новыми оттенками презентация руководителя направления «Развитие открытых API» Ассоциации ФИНТЕХ Игоря Рамазанова, особенно часть вопросов и ответов.

Что касается самой презентации, то Ассоциация определилась со стандартом обеспечения информационной безопасности открытых API. В основу стандарта положена модель Financial-grade API (FAPI) — международный свод рекомендаций по безопасному применению общепринятых протоколов и технологий для аутентификации, идентификации и авторизации пользователей и сервисов. Очевидной выгодой такого подхода является возможность встраивания ГОСТ-криптографии в протоколы.

Второй интересный момент заключался в том, что, по словам участников дискуссии, в ходе проекта Ассоциации по подключению в пилотном режиме банков и страховых компаний к платформе «Цифровой профиль гражданина» только одна организация использовала не API-подключение.

Интересен и такой факт. Ассоциация в конце 2019 года провела опрос своих участников на предмет оценки нагрузки на банки при организации взаимодействия с госорганами вообще. Результаты исследования Игорь Рамазанов не озвучил, но высказался в том духе, что тогда коммерческого интереса у участников Ассоциации к продолжению темы не было. Вывод однозначный: хоть заработать на новых технологиях в этом вопросе не получится, потенциал снижения издержек банков и государства здесь значителен. Основное препятствие для движения вперед — отсутствие стандартизации Open API со стороны госорганов. Да и зачем? Есть же Система межведомственного электронного взаимодействия (СМЭВ)!

В ходе проекта Ассоциации ФИНТЕХ по подключению в пилотном режиме банков и страховых компаний к платформе «Цифровой профиль гражданина» только одна организация использовала не API-подключение

И вот в конце марта 2020 года доходы и резервы государственного бюджета тают на глазах. В воздухе витает предчувствие оптимизации и даже секвестирования бюджетов. В такой ситуации обычно вспоминают про потенциал снижения издержек.

Игорь Рамазанов и Дмитрий Дубынин при обмене мнениями тогда сошлись в том, что Open API и СМЭВ до сих пор развивались параллельными курсами, и пересечься им не давали нерешенные вопросы ИБ, стандартизации, а также недостаточность лучших мировых практик.

И вот запрос на оптимизацию государственной инфраструктуры, похоже, появился, международный стандарт ИБ на пути к принятию вместе с кейсами в странах, где он уже работает. Поэтому встает любопытный даже для кризисных времен вопрос: а не отодвинут ли в сторонку Open API СМЭВ при организации обмена информацией банков с государством?