國內金融業者「開放」大門未敞開 Open API 創新金融服務與安全將是主要推手

金融服務業在新技術的採用上一直展現領先的地位，不論是數位化轉型的速度、多雲策略布局，當全球吹起一股開放銀行(open banking)風潮，台灣最近也搭上了列車，今年財金公司的開放API 平台第二階段已經在10月展開試辦模式，台灣的金融產業進階到以個人金融資訊以及低風險金融申請服務，將邁入「跨界、跨域」的新里程。

在F5 Networks每年執行的SOAS應用交付服務報告中，首次特別分析出2020年SOAS－金融服務版報告指出，在全球488位財務金融專業人士受訪者中，實施開放銀行業務的銀行中有68％都在開發及部署API來交付各項創新服務；為了增強客戶參與度並實現數位化信任的承諾，81％的組織部署WAF以抵禦不斷升高的資安威脅。

Open API的提出即在打破網銀間的藩籬，在用戶權限允許下，串連組合各金融業者的各種網銀服務功能，期望激盪出更便利、更創新、更切合需求的金融服務，從而發展出新的金融服務商機，使金融產業以差異化競爭、合作造餅的良性方向發展，而非齊頭式、分餅式惡性競爭。

在F5，我們榮幸地與客戶、用戶和合作夥伴就開放銀行的機會進行了多次討論。為了進一步了解台灣開放銀行業務的發展階段，我們與《網路資訊》媒體合作進行了這項台灣開放銀行研究，期望瞭解金融業者對Open API市場推動的挑戰與布局。

調查與訪問摘要

在2020年9月7日至24日調查期間，針對國內與外商共37家銀行在開放銀行與Open API階段執行支持度，以下為銀行認為最重要的基準評估 :

創新：推動創新金融服務以提供客戶新的需求的開放式銀行API。

• 客戶需求的商品與多元服務。
• 改善客戶體驗，更快的產品服務上市時間。
• 開創新客戶，提升客戶黏著度。

安全：對於新的營運模式使金融機構可以利用第三方和專家的生態系統，安全部署、資安與發歸遵循成為導入Open API最大的關注。

這次訪問的國內銀行中，除了三家業者已經將Open API用於企業內部與外部的業務串接，其他銀行上採取內部使用或觀望評估的階段，因此 API 資訊交換的安全風險成為整體資安防衛的優先考量，也是開放銀行營運的風險之一，必須達到完善且全面的安全管理，才能提升金融產品營運效率與消費者信心。

API 安全為什麼重要? 在IDC 彙整的成功實施 API 戰略的關鍵建議中提及最重要的要務之一，就是「在任何時候，任何地方確保 API 安全」。安全需作為 API 建設的第一重要考慮要素。企業應確保通過有效機制保護 API，這包含基於架構、功能並結合可觀測、監控等多種手段。

API 安全應該具備的要素

1. 高安全性資料傳輸方式（HTTPS / TLS 1.2 以上）
   這是用於透過 Internet 傳輸金融與消費者數據的加密協議。 較舊版本的 TLS 與 SSL 的版本不再安全，應避免或謹慎調校使用。
2. 反向代理服務 ( Reverse Proxy )
   反向代理服務可以提供負載平衡並進行單點故障轉移，提供並創建對銀行 API 的單點訪問，並最大程度地減少潛在的異常使用 API 或中斷風險，例如 DDoS 攻擊。反向代理服務還提供深層的可視性和控制，以確保客戶端和伺服器之間能夠提供平穩的安全交易行為。
3. 客戶憑證
   客戶憑證使消費者不可能在沒有客戶憑證的情況下向 API 伺服器提交請求。 這是通過執行一連串標準的規範來實現的，在該標準中，所有請求都必須與客戶憑證一起發送，確認交易的真實性。
4. 進階身份驗證模型，例如 OAuth 2.0
   應提供 OAuth 2.0等進階身份驗證模式。從以往的紀錄來看，API 使用基本的身份驗證，要求用戶為每個請求提供該用戶 ID 與密碼。用戶 ID 與密碼未加密或分散式存放。 如果該用戶 ID 與密碼被盜，則會帶來風險。OAuth 2.0 提供了更好的解決方案，因為它包含了驗證與識別過期的請求。
5. 惡意機器人 API 請求的辨識
   基於多種機器人的防護與辨識機制，透過自動化程式特徵碼資料庫，快速驗證與識別惡意機器人存取與暴力攻擊的消耗，對於在整個API請求的過程中，更具備進階 JS Challenge 挑戰機制與圖形驗證碼，確保惡意機器人程式無法繞過檢測，使得API伺服器不被機器人存取與攻擊，造成資安與效能上的影響。

新科技的變革總是超乎我們的想像，相信未來銀行服務其創新思維，將帶給我們從未經歷的無摩擦用戶體驗，我們相信未來將有大量新的金融科技參與者利用現有銀行的核心銀行平台，為所有人提供創新服務。我們有幸正處於這場Open Banking革命翻轉的年代，未來也期望在最佳安全實踐上，看到金融業利用新興的敏捷性和創造力來應對整個市場需求，創造新的利基機會。