Az API-k világa a bankok mindennapjainak részévé vált – ám a biztonságuk új szintű kihívások elé állítja az ágazatot. A BankTechShow-n Riba István, az Intalion szakmai vezetője arról beszélt, hogyan formálják át az AI és a kvantumszámítógépek a kiberbiztonságot, milyen veszélyekkel kell szembenézni, és miként segíthet maga a mesterséges intelligencia a védekezésben. Az előadásból kiderült: az API nem pusztán technikai interfész, hanem stratégiai kockázati pont, és egyben a jövő biztonsági stratégiáinak egyik sarokköve.

Fotón: Riba István, az Intalion technológiai igazgatója az idei BankTechShow-n. Fotót készítette: Kovács Dávid

Ahol milliárd hívás találkozik: az API világ mérete és a “láthatatlanság” kockázata

Az API-k ma már minden digitális banki szolgáltatás láthatatlan motorjai. A mobilbanki alkalmazás, a netbank, a fizetési megoldások, a kereskedői integrációk – mind API-kon keresztül kommunikálnak.

„A Google Mapsen 200 milliárd hívás történik naponta, a Booking.com oldalon pedig 73 API hívás történik, csak a főoldalon”

– világított rá Riba István arra, milyen elképesztő mennyiségű API-forgalomról beszélünk a mai digitális világban.

Egyetlen tranzakció mögött akár több tucat API-hívás is állhat a háttérben és éppen ez a „láthatatlanság” rejti a legnagyobb veszélyt.

„Egy e-mailt az ember lát, még ha spam mappába is kerül, az API-n keresztüli támadások viszont sokszor észrevétlenek maradnak. Ezért kell rájuk külön felkészülni”

– hangsúlyozta az Intalion szakmai vezetője.

Az információk és szolgáltatások egy hatalmas, összefonódott API-hálózaton keresztül áramlanak, ahol minden egyes kapcsolat potenciális támadási felületet jelenthet.

Riba István kiemelte, azáltal, hogy az API-k révén szolgáltatott információk jellemzően nem egy rendszerből érkeznek, sokkal inkább több, egymással összekapcsolt alrendszer adataiból épülnek fel – egy adott API valódi biztonsági szintjét ezen rendszerek összessége határozza meg.

Az előadásban elhangzott példák világosan mutatták, mennyire sebezhetőek a nagyvállalatok és a pénzügyi szereplők. Az amerikai First American biztosítónál például 800 millió digitalizált dokumentumhoz lehetett hozzáférni egy védtelen API-n keresztül. Egy ausztrál szolgáltatónál pedig egyetlen tesztvégpont éles környezetben hagyása több tízmillió ügyféladat kiszivárgásához vezetett.

AI: támadó és védelmező egyszerre

A mesterséges intelligencia új szintre emeli a kiberbiztonsági kockázatokat. Korábban a támadásokhoz komoly szakértelem, manuális munka és statikus módszerek kellettek. Ma azonban az AI képes automatizált döntéshozatalra, emberi viselkedés szimulálására, és gyakorlatilag végtelen számú kombináció kipróbálására. Ahogy Riba István rámutatott:

„Manapság már nem csak statikus kódinjekciókról beszélünk. Az AI képes döntéseket hozni, kombinálni a válaszokat, és emberi viselkedést szimulálni a támadások során.”

Ez az új támadási forma párhuzamba állítható az email phishing evolúciójával. Míg öt évvel ezelőtt még általános, könnyen felismerhető támadó leveleket kaptunk, ma már személyre szabott, tökéletesen megfogalmazott, ismerősöktől érkezőnek látszó levelekkel találkozunk.

Ugyanez történt az API-támadásokkal is: az AI segítségével sokkal kifinomultabbá és automatizálhatóbbá váltak, így a klasszikus védelmi mechanizmusok – például az egyszerű lekérdezés-limitációk – már nem nyújtanak valódi védelmet. Egy AI könnyedén meg tudja kerülni a percenként engedélyezett hívások korlátait, és képes a valós felhasználói viselkedést imitálni.

Ugyanakkor a mesterséges intelligencia a védelem oldalán is új lehetőségeket kínál.

Paradoxonnak tűnhet, de az AI-alapú támadások ellen AI-alapú védelemmel lehet hatékonyan fellépni.

A hagyományos szabályalapú rendszerek már nem elegendőek, dinamikus, intelligens válaszokra van szükség a folyamatosan változó és fejlődő fenyegetések kezelésére.

Fotón: Riba István, az Intalion technológiai igazgatója az idei BankTechShow-n. Fotót készítette: Kovács Dávid

Három védelmi szint a jövő bankjainak

A védelem többrétegű megközelítést igényel:

• Első szint: a tűzfal, ami megakadályozza a külső, alacsony szintű hozzáféréseket.
• Második szint: az API Gateway, amely már képes az API-hívások értelmezésére, autentikációjára és autorizációjára.
• Harmadik és talán legfontosabb szint: az AI-alapú monitorozás és beavatkozás. Ez a réteg valós időben elemzi a forgalmat, összeveti a mintákat, és szükség esetén automatikusan megszakítja a gyanús hívásokat.

Az Intalion szakmai vezetője bemutatta az IBM és az Akamai partnerségén alapuló Noname nevű megoldást, amely a meglévő védelmi vonalakat kiegészítve, azokat intelligensebbé teszi. Azon túl, hogy feltérképezi a meglévő API-kat – ami önmagában is fontos, hiszen sok szervezetben nincsen naprakész API katalógus -, szintetikus tesztelést is végez a paraméterek alapján.

Valós időben monitorozza és elemzi az API-forgalmat. Továbbá folyamatosan riportokat készít a hívások számáról és típusáról, és amikor szabálysértő vagy az eddigiekhez képest teljesen eltérő tevékenységet észlel, azonnal beavatkozik – képes levágni a káros kapcsolatokat és azonnali riasztást küldeni.

A rendszer különösen értékes abban, hogy képes felismerni azokat a támadási mintákat, amelyek a hagyományos védelmi rendszerek számára láthatatlanok maradnának.

Ez, olyan kritikus infrastruktúrával bíró környezetben, mint a bankszektor kiemelten fontos, hiszen minden egyes szolgáltatás kiesés komoly következményekkel járhat.

Az előadás rávilágított arra, hogy az API biztonság már nem pusztán technikai részletkérdés, hanem stratégiai fontosságú terület a védelmen belül.

Az Agentic AI várható felfutása és a kvantumszámítógépek megjelenése együttesen olyan kihívásokat hoz, amelyekre a hagyományos biztonsági megoldások már nem adnak választ.

Az AI kettős természete – egyszerre eszköz és fenyegetés – új paradigmát teremt, ahol a proaktív, intelligens védekezés válik a kulcsfontosságú tényezővé.