Wat is een API? Welke gevaren levert de API-economie op? Hoe bescherm je je kmo tegen de risico’s?

Wat is een API?

Een API is een online, webgebaseerde softwaredienst die wordt aangeboden als application programming interface.

API’s vormen de basisstructuur waarop alle verdere connectiviteit tussen informaticasystemen gebouwd is. API’s maken het mogelijk om op een veilige manier gegevens tussen verschillende programma’s uit te wisselen.

De wetgeving verplicht bepaalde sectoren om diensten open te stellen naar derde partijen. Zo worden banken via de PSD2-wetgeving verplicht om financiële diensten open te stellen.

Deze openheid vraagt dat interne en publieke API ’s beschikbaar worden gesteld in een B2B- en B2C-context, namelijk aan partners, klanten, eindgebruikers en andere afdelingen binnen de organisaties.

Enkele voorbeelden:

• Via een API vloeien contactgegevens die je via een website ophaalt door naar je CRM- en direct mailingsysteem.
• Via een API worden de data van je productiemachines rechtstreeks door bedrijfssoftware opgehaald en aan elkaar gekoppeld.
• Je bent op de hoogte van de levering van een online bestelling dankzij de datakoppelingen tussen webshop, distributeur, koerier en trackingsoftware.
• API’s zorgen ervoor dat de verkopen in je webshop meteen in je kassasysteem en boekhouding belanden. Ook voorraden worden meteen aangepast. En leveranciers worden automatisch gevraagd om te leveren als producten zijn uitgeput.

Waarom leven we in een API-economie?

De term 'API-economie ' verwijst naar de evolutie van steeds meer API 's, de revolutie die dit in vele sectoren veroorzaakt en de kansen die open liggen voor kleine en grote ondernemingen. 

Want API’s zijn een booming trend en creëren opportuniteiten voor kleine spelers om een grote businessimpact te hebben ondanks beperkte middelen. 

De API-evolutie veroorzaakt een uitbreiding van bestaande markten, connecteert bedrijven met aanleunende markten en leidt vaak tot nieuwe disruptieve businessmodellen, duidt cybersecurityspecialist Pieter Philippaerts:

"Denk aan Payconiq. Deze kon als kleine start-up enkel maar zijn nieuwe dienst opzetten omdat de banken verplicht waren om hun diensten open te stellen voor anderen. Vandaag gebeurt het merendeel van de online betalingen (68% in 2020) via Payconiq."

Andere voorbeelden zijn de integraties in de medische sector: dokters die rechtstreeks aan de verslagen en bestanden uit ziekenhuizen kunnen, apothekers die rechtstreeks de voorschriften doorgestuurd krijgen, mutualiteiten die automatisch doktersbezoeken terugbetalen, enzovoort.

Deze evolutie creëert grote kansen voor Vlaamse bedrijven. Vlaanderen kent in dit verband een steile opmars van start-ups en scale-ups die software bouwen en softwarediensten aanbieden voor processen bij heel wat grote bedrijven.

De API-economie dwingt ook bestaande spelers om mee te evolueren. Bedrijven die competitief willen blijven, moeten hun eigen systemen openstellen voor anderen. Deze evolutie is van groot belang voor de hele softwaresector en voor de digitaliserings(r)evolutie.

Zijn er risico’s verbonden aan API’s?

Ja. Risico’s ontstaan van zodra je gegevens verzamelt, opslaat en deelt. De gevaren in deze geconnecteerde wereld zijn groot. Data zijn snel gestolen. Hackers breken in een mum van tijd binnen als de beveiliging niet op punt staat. 

API -security is dus een belangrijke behoefte bij deze ontsluiting.

De implementatie van een API is meestal gebaseerd op bestaande webtechnologie met bekende webspecifieke kwetsbaarheden. Toch wordt een API op een andere manier gebruikt dan een webapplicatie, waardoor er ook specifieke API-kwetsbaarheden geïdentificeerd kunnen worden. De meest voorkomende problemen zijn beschreven in de OWASP API Security Top 10.

Bovendien zijn API’s onderhevig aan een aantal niet-technische bedreigingen. Zo kunnen hackers zelf ook een geldige gebruikersaccount aanmaken, kunnen geldige inloggegevens gestolen worden buiten de API om en kunnen access tokens gelekt worden.

Wie is verantwoordelijk voor de cybersecurity van API’s?

Het omgaan met de risico’s van API ’s is een gedeelde verantwoordelijkheid. De technologische beveiliging van de API ligt volledig in handen van de aanbieder. En elke gebruiker van de API is verantwoordelijk voor het veilig gebruiken ervan.

Het is dus belangrijk dat de API-provider een goed zicht heeft op de risico’s die verbonden zijn met het openstellen van een API en dat hij voldoende beschermende maatregelen treft.

Want misbruik kan dramatische gevolgen hebben voor meerdere partijen: de ontwikkelaar, zijn klanten én hun klanten en leveranciers, waaronder misschien jouw organisatie als gebruiker van de API en eigenaar van gegevens die via API’s uitgewisseld worden.

Hoe beveilig je je kmo?

In het algemeen is er een dringende versnelling nodig in het gebruik van cyberveiligheidsoplossingen door kmo’s. Maar door de complexiteit van de technologieën is dit een grote uitdaging. 

Voor jou als kmo of kleine ondernemer is het vooral belangrijk om op de hoogte te zijn van deze bedreigingen. Informeer je over de gevaren. Spreek er je softwareleverancier en API -ontwikkelaar zeker over aan. 

Kies daarenboven van in het begin voor de meest veilige softwareleveranciers en API’s.
Beveilig vervolgens je systemen met dezelfde maatregelen als deze in het artikel Top-5 maatregelen van Vlaamse bedrijven tegen cybercriminelen.