Около 70% компаний не имеют точного представления о количестве API

68% компаний не имеют полного представления о количество API в своей инфраструктуре по итогам I квартала 2026 года. Это на 15 п.п. больше, чем за аналогичный период 2025 года. API (application programming interface) — это набор правил, протоклов и инструментов, позволяющих ПО взаимодействовать друг с другом, передавать данные и использовать функционал. Эксперты “Кросстеха” указывают, что на эту ситуацию влияют развитие микросервисов, увеличение числа подрядчиков, партнеров и облачных сервисов.

Основная доля API, которые оказываются скрыты от внимания ИТ и ИБ-департаментов компаний, — это старые версии, которые временно не отключали, а потом забыли, тестовые API, которые остались в проде, автоматически созданные API микросервисов, а также те, которые остались после закрытия проектов.

Специалисты интегратора также выделяют другую важную проблему — API теневого ИТ, когда отдельные команды подключают SaaS, создают собственные интеграции, разворачивают облачные сервисы. В этом случае появляется параллельно существующая и неподконтрольная ИБ-команде инфраструктура, которая связана с основной, и API здесь могут стать потенциальной точкой входа.

“Контроль над API сегодня становится все более важной задачей, злоумышленники все чаще используют их для атак на инфраструктуру, эксфильтрации данных и так далее. При этом контролировать их становится сложнее, в крупных компаниях количество API за год может увеличиться в десятки и сотни раз. Обнаружение неподконтрольных связок и «теневых» API, их инвентаризация, своевременное отключение неиспользуемых интерфейсов и регулярная проверка безопасности становятся необходимыми мерами для снижения рисков,”, — говорит Анастасия Мельникова, руководитель департамента оценки защищенности “Кросстеха”.

Чаще всего с отсутствием полной картины API сталкиваются компании, у которых много цифровых сервисов, большое количество интеграций, развитые мобильные приложения. К ним относятся финансовый сектор, маркетплейсы и e-commerce, телеком, медицина, подчеркивают специалисты “Кросстеха”.

Для преодоления этой проблемы компаниям необходимо: провести инвентаризацию API, составить их полную карту, а также выстроить процесс ее регулярной актуализации. Для первых двух задач эффективным инструментами будет внешний и внутренний анализ защищенности, анализ кода и изучением существующей документации. Регулярная актуализация — более сложный процесс, который требует внедрения постоянного мониторинга, назначения ответственных за каждый API, строгую фиксацию новых и отключение ненужных в обозначенные сроки. Ключевая задача здесь, отмечают эксперты “Кросстеха”, обучить сотрудников работать по новым правилам и продемонстрировать важность внимательной работы с API.