Кібербезпека в Райффайзен Банку: «кіберніндзі» в команді, постійний аналіз ризиків і хмарні рішення

Уже минули часи, коли інформаційна безпека була тільки про вимоги та контроль їх виконання. Умови, у яких вона функціонувала раніше, були дещо іншими. Інший стек технологій – жодних хмар, віртуалізації та контейнеризації застосунків, мікросервісів, жодної віддаленої роботи тощо.

Наприклад, «Райффайзен Банк» трансформував розуміння інформаційної безпеки та зараз працює в зовсім іншому середовищі. Цифрові процеси, регуляторні вимоги, COVID-19 і, нарешті, повномасштабна війна – усе це вимагало змін у банку.

У партнерському тексті з «Райффайзен Банк» начальник управління менеджменту інформаційної безпеки «Райфу» Олексій Скиба розповідає, як банк готувався до ризиків повномасштабної війни, чим займаються кіберпідрозділи та як «кіберніндзі» допомагають убезпечити дані та кошти клієнтів.

Чим займається кіберкоманда «Райфу»

Команда Cyber Resilience складається з більш ніж 50 професіоналів і ділиться на три напрями.

1. Організація процесів Cyber Security. Ця команда вимірює ефективність безпеки – KPI/OKR, відповідає за звітність, реалізацію процесів з Business Continuity (BCM)безперервність бізнесу та конфіденційність. Крім того, у цьому напрямі функціонує SOC, який моніторить інформаційну безпеку, виявляє електронне шахрайство та запобігає йому.
2. IT Security Engineering. Ця команда відповідає за безпеку хмарної та наземної IT-інфраструктури банку, зокрема захист робочих станцій, серверів, корпоративної мережі, й адмініструє практично всі інструменти безпеки: від EDR до систем протидії DDoS-атакам. Також група управляє доступами до інформаційних систем.
3. Product Security – команда, яка проводить пентеститест на проникнення банківських застосунків та ІТ-інфраструктури, встановлює вимоги з безпеки до застосунків, які розробляє або закуповує банк. Крім цього, вона відповідає за реалізацію DevSecOps-функцій – автоматизує процеси, що перевіряють вимоги безпеки під час розробки та розгортання застосунків.

У «Райфі» поділяють ідею, що інформаційна безпека не тільки повинна захищати продукти й сервіси. Вона також має бути комфортною у використанні. А команди, які розробляють або продають продукти й сервіси банку, можуть продуктивно працювати з різних місць. У сфері кібербезпеки це означає створення інструментів, правил і процесів, які враховують інтереси бізнесу та ІТ в обставинах, що постійно змінюються.

У результаті кіберкоманда банку просуває п’ять основних парадигм, які допомагають захищати дані ефективно.

1. Продуктова безпека як сервіс

Підрозділ з ІТ-безпеки надає продуктовим командам банку сервіс безпеки, який дозволяє успішно проходити тестування паралельно з розробкою.

У «Райфі» запровадили інструмент SSDLC, автоматизоване security-тестування в межах CI/CD, завдяки чому вбудували безпеку в ДНК будь-якого продукту чи послуги. Це дозволяє виявити потенційні вразливості і проблеми ще на етапі аналізу і проєктування та зменшити витрати на виправлення помилок, скоротити відрізок Time to Market.

Зазвичай кіберзахисники приєднуються до розробки продукту на етапі, коли майбутній продукт або фіча ще не мають архітектури. Далі розробку супроводжують аналітики безпеки.

Команда продуктової безпеки допомагає розробникам створювати безпечний код і контролює процеси розробки. Це знімає когнітивне навантаження з розробників, оскільки вони можуть покладатися на експертів з безпеки.

Команди розробки рухаються дуже швидко та постійно розвиваються, безпека повинна допомагати їм у цьому замість того, щоб ставати блокером і генератором проблем. Тобто кібербезпека має вийти з ролі контролювальних органів і технічно реалізувати правила.

У «Райфі» вдалося трансформувати її до ролі партнера, який активно співпрацює з розробниками та бізнесом.

2. Інвестуємо у співробітників

Безпека повинна думати й діяти швидко, продовжувати навчатися і вдосконалюватися на рівні з розробниками та девопсами. Функції інформаційної безпеки не відрізняються від ІТ з погляду культури інжинірингу. Вона використовує ті самі інструменти й підходи, що й ІТ.

Завдяки цьому в «Райфі» реалізують складні проєкти за обмежений час. Зараз мета банку – максимально зробити експертів безпеки взаємозамінними, що допоможе усунути вузькі місця і збільшити кількість інженерів до 75%.

Коли в межах інформаційної безпеки є  функція розробки, це дозволяє зрозуміти потреби продуктових команд банку, стати повноцінним власником своїх продуктів і робити їх  якіснішими. Усередині сек’юріті-команди це прокачує інжинірингову культуру та поліпшує співпрацю між її учасниками.

3. Нульова толерантність до онлайн-шахрайства

За статистикою, кожен другий українець – користувач електронних фінансових послуг хоча б раз у житті стикався з онлайн-шахрайством. З початком широкомасштабної війни кількість таких випадків зросла в десятки разів. Наприклад, 2023 року кібербезпека «Райфу» заблокувала понад 300 фішингових сайтів. 2022 року ця цифра складала 200, 2021-го – усього 15.

Великі банки щорічно інвестують мільйони у свою безпеку та постійно удосконалюють методи захисту, що робить малоймовірним стороннє проникнення в їхні системи. Тому шахраї зазвичай  вибирають як об’єкти нападу користувачів або їхні пристрої.

До 2022 року ефективним методом шахраїв був дзвінок клієнту від імені банкувідділ безпеки, фінмоніторингу, розслідувань тощо для того, щоб за вигаданим приводом змусити клієнта надати паролі, номер картки, CVV. З початком широкомасштабної війни з’явився тренд спекулювання на темі переселенців та отримання фінансової допомоги.

Коли шахраю стають відомі всі дані для здійснення транзакції, кібербезпеці «Райфу» вдається попередити більш ніж 90% спроб крадіжок в онлайн-банкінгу. Команда робить це навіть у випадках, коли клієнт самостійно під впливом шахраїв переводить злочинцям гроші зі свого рахунку. Усе завдяки тому, що кіберспеціалісти перевіряють електронні транзакції та інші операції за допомогою моделей статистичного аналізу. Вони засновані на тому, що банк знає звичайну поведінку клієнта й аналізує відхилення від неї – аномалії вказують на ймовірну спробу шахрайства.

Жодний онлайн-продукт або сервіс – від відкриття рахунків, картки або кредитів до онлайн-транзакції, зміни лімітів – не виходить без детального аналізу ризиків і під’єднання до системи моніторингу і протидії шахрайству.

4. Інтегрували інформаційну безпеку в культуру банку

Команда з кібербезпеки не просто проводить традиційні навчання для персоналу, але й поширює культуру безпеки в банку.

Для цього в «Райфі» запровадили спеціальну програму – Raiffeisen Awareness Security ProgramRASP, яка підвищує обізнаність працівників щодо інформаційної безпеки. До кожного працівника підхід індивідуальний.

Програма має сучасний портал і гейміфікацію з можливістю пройти шлях від «кіберсуслика» до «кібертигра», отримати крутий мерч і подарунки. У програмі команда  проводить security-кампанії, у межах яких працівники виконують практичні завдання. Наприклад, виявляють ознаки дезінформації в новинах або знаходять місця/процеси, де персональні дані можуть оброблятися з порушенням. Уся інформація подається простою та доступною мовою. Більш того, наразі «Райф» масштабує програму RASP, щоб вона вийшла за межі банку.

Уже зараз на YouTube-каналі «Райфу» доступні перший випуск «У фокусі шахраїв – хто зазвичай стає жертвою та які схеми працюють» і другий «Чим ми ризикуємо, не турбуючись про свою безпеку онлайн». Тут розповідають, чому шахраї «зламують» людей замість компаній, хто може стати жертвою шахраїв, які дані варто тримати в таємниці, та не тільки.

Найближчим часом усе більше зʼявлятимемось у соціальних мережах – від YouTube до TikTok і Reels.

До речі, у банку є спільнота «кіберніндзь». Це проактивні представники різних підрозділів банку, які тестують і поліпшують контент програми обізнаності RASP і поширюють культуру безпеки в усьому банку.

5. Фокус на безперервність бізнесу та кіберстійкість

У «Райфі» навчилися очікувати несподіваного. Неможливо достеменно передбачити, яким буде наступне переривання бізнес-процесів. Але команда з безпеки знає, що банк має бути готовим до різних криз і швидко реагувати на них.

Навіть до 2022 року в «Райфі» вже розглядали сценарії воєнного вторгнення та готувалися до цього. Тут встановили чіткі пріоритети – безпека життя понад усе, захист клієнтів та їхніх коштів, захист цінностей банку. Банк має плани реагування на блекаути, втрати офісних приміщень, кіберзагрози, злам інфраструктури, недоступність ІТ-сервісів тощо. Сек’юріті-команда готує, тренує та навчає персонал. Це дозволяє завчасно зреагувати на загрози та не допускати інциденти, пов’язані з настанням всякого роду криз.

У цьому контексті треба розказати про хмарні технології. На початку війни ІТ-команда власними силами перенесла основні системи банку до хмари за три місяці та не зупинила жодного бізнес-процесу. Враховуючи масштаби ІТ-інфраструктури «Райфу», це як міняти шини на автомобілі, що їде зі швидкістю 200 км на годину.

Зараз «Райф» активно використовує хмарні рішення безпеки – 100% бізнес-процесів і сервісів банку зараз працюють через хмару.

На сайт «Райффайзен Банку»