За последние 12 месяцев — с июня 2025 по май 2016 — 98% финансовых организаций зафиксировали как минимум один инцидент, связанный с безопасностью API. Таковы результаты исследования, проведенного Спикателом совместно с партнерами. Данные получены на основе мониторинга, опросов руководителей ИБ-подразделений и анализа инцидентов. В международной практике этот показатель находится на уровне около 96%.

Под инцидентами безопасности мы понимаем случаи, когда злоумышленники использовали API (программный интерфейс) для атаки на инфраструктуру финансовой организации: веб-атаки, нацеленные на конечные точки API, проникновение программ-вымогателей через API эксплуатация «неинвентаризованных» API, «тихие» атаки на бизнес-логику, атаки через незащищенные тестовые контуры мобильных банков.

«Российская специфика диктует почти стопроцентную гарантию инцидента. В стремлении быстрее вывести на рынок отечественные аналоги ушедших вендоров, безопасность API на этапе разработки зачастую приносится в жертву функциональности», — комментирует ведущий аналитик центра мониторинга киберугроз Спикатела Алексей Козлов.

Ещё немного цифр:

• 85% опрошенных финансовых организаций столкнулись с атаками программ-вымогателей и попытками шифрования данных
• 35−40% организаций российского финтеха используют передовые средств защиты (WAF нового поколения, API Security Gateways)
• на 40% к концу 2026 года, по нашим оценкам, вырастет число инцидентов, связанных с эксплуатацией неинвентаризованных API.

Источник: Инфобезопасность