В ноябре 2022 года аналитическая группа CloudSEK провела исследование и выяснила: как минимум 1 550 приложений, использующих API Algolia, «сливают» ключи. Для справки: API Algolia — одно из популярных решений для поиска и рекомендаций на сайте, его применяют более чем 11 000 компаний по всему миру.
В 2018 году компания Google объявила об обнаружении уязвимости в социальной сети API Google+. Тогда под угрозой оказались данные 52,5 млн пользователей. Таких историй за последние годы наберется не один десяток.
Для России вопрос утечек через API еще актуальнее. По данным исследования HFLabs, за 2022 год зафиксировали 33 подобных случая (для сравнения: в 2021-м всего 7). Владимир Бенгин, директор департамента обеспечения кибербезопасности Минцифры, считает, что «во всем мире утечки в первую очередь используют с целью монетизации (требование выкупа, продажа персональных данных)».
Мы подготовили 10 рекомендаций, которые помогут избежать утечки личных данных через API.
Используйте официальные API от проверенных поставщиков
Разработчики пытаются сэкономить на использовании лицензионного ПО, поэтому используют услуги компаний, которые не гарантируют безопасности сети.
На рынке есть десятки предложений по внедрению голосовой связи в приложение. Например, платформа Exolve, организованная федеральным оператором МТС. Безопасность Voice API обеспечивают эксперты в области кибербезопасности. Решение платное, но защищенное.
Наймите эксперта по информационной безопасности
По разным данным, российскому рынку требуются более 300 тыс. экспертов по информационной безопасности. Такая востребованность не случайна. Во-первых, в России происходит цифровизация государственных и коммерческих структур. Во-вторых, в 2022 году количество хакерских атак на компании возросло многократно, о чем уже говорилось выше.
В перспективе наем на полную ставку хорошего специалиста по информационной безопасности решит все проблемы и поможет создать механизмы для предотвращения утечек.
Обучите сотрудников
Как подтверждает Минцифры России, в 70% случаев виновниками в утечке личных данных становятся сами сотрудники компании. Только оставшиеся 30% приходятся на хакерские атаки или сбои в системе. Несмотря на активную цифровизацию и автоматизацию, человеческий фактор продолжает влиять на безопасность.
Нужно полноценно обучить сотрудников обращению с API и базами для хранения данных, указать на важность сохранения конфиденциальности. Простые беседы показывают низкую эффективность — нужны именно практические уроки.
Введите систему надзора
Доверяй, но проверяй» — здесь устойчивое выражение как нельзя кстати. Даже при нацеленности на высокую скорость работы следует контролировать все процессы. Сильно упрощают работу автоматизированные системы поиска ошибок — они круглосуточно просматривают журналы, транзакции, аналитику и выискивают аномалии. Но от ручных методов пока отказываться нельзя. Изучайте код, тестируйте безопасность, просматривайте аналитические сводки на предмет соответствия принятым в компании стандартам.
Автоматизируйте
API упрощает работу с программой, но кроме этого расширяет возможности взаимодействия с ней. Например, облачный провайдер 1cloud предоставляет свой API, который позволяет управлять виртуальными серверами, хранилищем и многими другими облачными услугами. Но если какую-то функцию можно автоматизировать без потери в качестве и уровне безопасности, это следует рассмотреть для внедрения.
Автоматизация позволяет целиком исключить человеческий фактор из разработки и обращения с API. Важно и качественное тестирование. Проверьте автоматические функции в разных режимах, чтобы убедиться в правильности работы алгоритма.
Разработайте базу готовых компонентов
Использование готовых «блоков кода» — обязательная практика при разработке приложений и веб-сервисов. Проектировать каждый раз с нуля неэффективно, долго и небезопасно. В этом плане готовые решения сторонних поставщиков софта — разумный выбор. Они уже опробованы, выверены, готовы к работе. Например, использование SMS API избавит от необходимости разрабатывать собственный интерфейс отправки сообщений.
Упростите приложение
Чем проще механизм, тем труднее его вывести из строя. Это утверждение актуально и для IT-сферы. Разрабатывая сервис, проанализируйте потребности аудитории и оставьте им только необходимые функции. Это длительный и планомерный процесс, но инкапсуляция сокращает количество путей утечки персональных данных через API.
Как показывает исследование «Ростелеком-Солар», высокопрофессиональные киберпреступники всё больше тяготеют к веб-приложениям, которые хуже защищены — 45% атак приходятся на них.
Внедрите проверки и ограничения
Во-первых, следует четко разграничить роли пользователей API. В простейшем случае это рядовые посетители и администраторы. Только у администратора должна быть возможность просмотра общего списка пользователей.
Во-вторых, классические хакерские атаки с подбором пароля применяются до сих пор. Введите ограничение на число неудачных попыток при авторизации. Если это количество превышает установленные лимиты, блокируйте IP.
Устраните недостатки управления API
Базовые рекомендации, чтобы предотвратить несанкционированный доступ:
-
ведите списки использующихся API, включая информацию по версии продукта, его назначению и тех, у кого есть разрешения на администрирование;
-
своевременно обновляйте программное обеспечение и удаляйте устаревшее;
-
в открытом для пользователей доступе должны быть только актуальные версии API;
-
не открывайте доступ к API, находящимся в наладке.
Разработчики API, как правило, постоянно поддерживают свой продукт и обновляют протоколы безопасности в зависимости от текущих тенденций.
Придерживайтесь комплексного подхода
Нельзя придерживаться только одной конкретной рекомендации — используйте все сразу. Ведь безопасность структуры определяется самым слабым ее звеном. Экономить на информационной безопасности бессмысленно, поскольку утечка персональных данных способна подорвать репутацию компании. Например, как это случилось с First American в 2019 году, когда «потерялись» более 885 млн клиентских записей.
Заключение
API — крайне полезный инструмент, облегчающий разработку и положительно влияющий на пользовательский опыт. Но одновременно с этим API открывает новые пути для взлома злоумышленниками. Вопрос информационной безопасности здесь играет первоочередную роль. Используйте проверенное ПО от надежного поставщика, обучайте персонал, привлекайте экспертов, автоматизируйте процессы, и вероятность утечек снизится практически до нуля.