Уже прошло время, когда информационная безопасность была только о требованиях и контроле их выполнения. Условия, в которых она функционировала раньше, были несколько другими. Другой стек технологий – никакого облака, виртуализации и контейнеризации приложений, микросервисов, никакой удаленной работы.
Например, «Райффайзен Банк» трансформировал понимание информационной безопасности и сейчас работает в совсем другой среде. Цифровые процессы, регуляторные требования, COVID-19 и, наконец, полномасштабная война – все это требовало изменений в банке.
В партнерском тексте с «Райффайзен Банком» начальник управления менеджмента информационной безопасности «Райфа» Алексей Скиба рассказывает, как банк готовился к рискам полномасштабной войны, чем занимаются киберподразделения и как «киберниндзи» помогают обезопасить данные и средства клиентов.
Чем занимается киберкоманда «Райфа»
Команда Cyber Resilience состоит из более чем 50 профессионалов и делится на три направления.
- Организация действий Cyber Security. Эта команда измеряет эффективность безопасности – KPI/OKR, отвечает за отчетность, реализацию процессов с Business Continuity (BCM)непрерывность бизнеса и конфиденциальность. Кроме того, в этом направлении функционирует SOC, который мониторит информационную безопасность, выявляет электронное мошенничество и предотвращает его.
- IT Security Engineering. Эта команда отвечает за безопасность облачной и наземной IT-инфраструктуры банка, в том числе защиту рабочих станций, серверов, корпоративной сети и администрирует практически все инструменты безопасности: от EDR до систем противодействия DDoS-атакам. Также группа управляет доступом к информационным системам.
- Product Security – команда, которая проводит пентестытест на проникновение банковских приложений и IT-инфраструктуры, устанавливает требования по безопасности к приложениям, которые банк разрабатывает или закупает. Кроме того, она отвечает за реализацию DevSecOps-функций – автоматизирует процессы, которые проверяют требования безопасности при разработке и разворачивании приложений.
В «Райфе» разделяют идею, что информационная безопасность не только должна защищать продукты и сервисы. Она также должна быть удобной в использовании. А команды, которые разрабатывают или продают продукты и сервисы банка, могут продуктивно работать из разных мест. В сфере кибербезопасности это означает создание инструментов, правил и процессов, которые учитывают интересы бизнеса и IT в постоянно меняющихся обстоятельствах.
В результате киберкоманда банка продвигает пять основных парадигм, которые помогают защищать данные эффективно.
- Продуктовая безопасность как сервис
Подразделение по IT-безопасности предоставляет продуктовым командам банка сервис безопасности, который позволяет успешно проходить тестирование параллельно с разработкой.
В «Райфе» ввели инструмент SSDLC, автоматизированное security-тестирование в пределах CI/CD, благодаря чему встроили безопасность в ДНК любого продукта или услуги. Это позволяет выявить потенциальные уязвимости и проблемы еще на этапе анализа и проектирования и уменьшить затраты на устранение ошибок, сократить отрезок Time to Market.
Обычно киберзащитники присоединяются к разработке продукта на этапе, когда у будущего продукта или фичи еще нет архитектуры. Дальше разработку сопровождают аналитики безопасности.
Команда продуктовой безопасности помогает разработчикам создавать безопасный код и контролирует процессы разработки. Это снимает когнитивную нагрузку с разработчиков, так как они могут полагаться на экспертов по безопасности.
Команды разработки двигаются очень быстро и постоянно развиваются, безопасность должна помогать им в этом, вместо того чтобы становиться блокером и генератором проблем. То есть кибербезопасность должна выйти из роли контролирующих органов и технически реализовать правила.
В «Райфе» удалось трансформировать ее в роль партнера, который активно сотрудничает с разработчиками и бизнесом.
- Инвестируем в сотрудников
Безопасность должна думать и действовать быстро, продолжать обучаться и совершенствоваться наравне с разработчиками и девопсами. Функции информационной безопасности не отличаются от IT с точки зрения культуры инжиниринга. Она использует те же инструменты и подходы, что и IT.
Благодаря этому в «Райфе» реализуют сложные проекты за ограниченное время. Сейчас цель банка – максимально сделать экспертов безопасности взаимозаменяемыми, что поможет устранить узкие места и увеличить количество инженеров до 75%.
Когда в рамках информационной безопасности есть функция разработки, это позволяет понять потребности продуктовых команд банка, стать полноценным владельцем своих продуктов и делать их более качественными. Внутри секьюрити-команды это прокачивает инжиниринговую культуру и улучшает сотрудничество между ее участниками.
- Нулевая толерантность к онлайн-мошенничеству
По статистике, каждый второй украинец – пользователь электронных финансовых услуг хотя бы раз в жизни сталкивался с онлайн-мошенничеством. С началом широкомасштабной войны количество таких случаев возросло в десятки раз. К примеру, в 2023 году кибербезопасность «Райфа» заблокировала более 300 фишинговых сайтов. В 2022 году эта цифра составляла 200, в 2021-м – всего 15.
Крупные банки ежегодно инвестируют миллионы в свою безопасность и постоянно усовершенствуют методы защиты, что делает маловероятным постороннее проникновение в их системы. Поэтому мошенники обычно выбирают в качестве объектов нападения пользователей или их устройства.
До 2022 года эффективным методом мошенников был звонок клиенту от имени банкаотдел безопасности, финмониторинга, расследований и так далее для того, чтобы по придуманному поводу заставить клиента предоставить пароли, номер карты, CVV. С началом широкомасштабной войны появился тренд спекулирования на теме переселенцев и получения финансовой помощи.
Когда мошеннику становятся известны все данные для совершения транзакции, кибербезопасности «Райфа» удается предупредить более 90% попыток краж в онлайн-банкинге. Команда делает это даже в тех случаях, когда клиент самостоятельно под влиянием мошенников переводит преступникам деньги со своего счета. Все благодаря тому, что киберспециалисты проверяют электронные транзакции и другие операции с помощью моделей статистического анализа. Они основаны на том, что банк знает обычное поведение клиента и анализирует отклонения от него – аномалии указывают на вероятную попытку мошенничества.
Никакой онлайн-продукт или сервис – от открытия счетов, карты или кредитов до онлайн-транзакции, смены лимитов – не проходит без детального анализа рисков и подключения к системе мониторинга и противодействия мошенничеству.
- Интегрировали информационную безопасность в культуру банка
Команда по кибербезопасности не просто проводит традиционные учения для персонала, но и распространяет культуру безопасности в банке.
Для этого в «Райфе» была введена специальная программа – Raiffeisen Awareness Security ProgramRASP, которая повышает осведомленность работников об информационной безопасности. К каждому работнику подход индивидуальный.
У программы есть современный портал и геймификация с возможностью пройти путь от «киберсуслика» до «кибертигра», получить крутой мерч и подарки. В программе команда проводит security-кампании, в рамках которых работники выполняют практические задания. Например, выявляют признаки дезинформации в новостях или находят места/процессы, где персональные данные могут обрабатываться с нарушением. Вся информация подается простым и доступным языком. Более того, сейчас «Райф» масштабирует программу RASP, чтобы она вышла за пределы банка.
Уже сейчас на YouTube-канале «Райфа» доступны первый выпуск «В фокусе мошенников – кто обычно становится жертвой и какие схемы работают» и второй «Чем мы рискуем, не беспокоясь о своей безопасности онлайн». Здесь рассказывают, почему мошенники «взламывают» людей вместо компаний, кто может стать жертвой мошенников, какие данные следует держать в тайне и не только.
В ближайшее время все больше будем появляться в социальных сетях – от YouTube до TikTok и Reels.
Кстати, у банка есть сообщество «киберниндзь». Это проактивные представители разных подразделений банка, которые тестируют и улучшают контент программы осведомленности RASP и распространяют культуру безопасности во всем банке.
- Фокус на непрерывность бизнеса и киберустойчивость
В «Райфе» научились ожидать неожиданное. Невозможно точно предсказать, каким будет следующее прерывание бизнес-процессов. Но команда по безопасности знает, что банк должен быть готов к разным кризисам и быстро реагировать на них.
Даже до 2022 года в «Райфе» уже рассматривали сценарии военного вторжения и готовились к этому. Здесь установили четкие приоритеты – безопасность жизни, защита клиентов и их средств, защита ценностей банка. У банка есть планы реагирования на блэкауты, потери офисных помещений, киберугрозы, взлом инфраструктуры, недоступность IT-сервисов и так далее. Секьюрити-команда готовит, тренирует и обучает персонал. Это позволяет заранее отреагировать на угрозы и не допускать инциденты, связанные с наступлением всякого рода кризисов.
В этом контексте следует рассказать об облачных технологиях. В начале войны IT-команда собственными силами перенесла основные системы банка в облако за три месяца и не остановила ни одного бизнес-процесса. Учитывая масштабы IT-инфраструктуры «Райфа», это как менять шины на автомобиле, который едет со скоростью 200 км в час.
Сейчас «Райф» активно использует облачные решения безопасности – 100% бизнес-процессов и сервисов банка сейчас работают через облако.