Кибербезопасность в Райффайзен Банке: «киберниндзи» в команде, постоянный анализ рисков и облачные решения

Уже прошло время, когда информационная безопасность была только о требованиях и контроле их выполнения. Условия, в которых она функционировала раньше, были несколько другими. Другой стек технологий – никакого облака, виртуализации и контейнеризации приложений, микросервисов, никакой удаленной работы.

Например, «Райффайзен Банк» трансформировал понимание информационной безопасности и сейчас работает в совсем другой среде. Цифровые процессы, регуляторные требования, COVID-19 и, наконец, полномасштабная война – все это требовало изменений в банке.

В партнерском тексте с «Райффайзен Банком» начальник управления менеджмента информационной безопасности «Райфа» Алексей Скиба рассказывает, как банк готовился к рискам полномасштабной войны, чем занимаются киберподразделения и как «киберниндзи» помогают обезопасить данные и средства клиентов.

Чем занимается киберкоманда «Райфа»

Команда Cyber Resilience состоит из более чем 50 профессионалов и делится на три направления.

1. Организация действий Cyber Security. Эта команда измеряет эффективность безопасности – KPI/OKR, отвечает за отчетность, реализацию процессов с Business Continuity (BCM)непрерывность бизнеса и конфиденциальность. Кроме того, в этом направлении функционирует SOC, который мониторит информационную безопасность, выявляет электронное мошенничество и предотвращает его.
2. IT Security Engineering. Эта команда отвечает за безопасность облачной и наземной IT-инфраструктуры банка, в том числе защиту рабочих станций, серверов, корпоративной сети и администрирует практически все инструменты безопасности: от EDR до систем противодействия DDoS-атакам. Также группа управляет доступом к информационным системам.
3. Product Security – команда, которая проводит пентестытест на проникновение банковских приложений и IT-инфраструктуры, устанавливает требования по безопасности к приложениям, которые банк разрабатывает или закупает. Кроме того, она отвечает за реализацию DevSecOps-функций – автоматизирует процессы, которые проверяют требования безопасности при разработке и разворачивании приложений.

В «Райфе» разделяют идею, что информационная безопасность не только должна защищать продукты и сервисы. Она также должна быть удобной в использовании. А команды, которые разрабатывают или продают продукты и сервисы банка, могут продуктивно работать из разных мест. В сфере кибербезопасности это означает создание инструментов, правил и процессов, которые учитывают интересы бизнеса и IT в постоянно меняющихся обстоятельствах.

В результате киберкоманда банка продвигает пять основных парадигм, которые помогают защищать данные эффективно.

1. Продуктовая безопасность как сервис

Подразделение по IT-безопасности предоставляет продуктовым командам банка сервис безопасности, который позволяет успешно проходить тестирование параллельно с разработкой.

В «Райфе» ввели инструмент SSDLC, автоматизированное security-тестирование в пределах CI/CD, благодаря чему встроили безопасность в ДНК любого продукта или услуги. Это позволяет выявить потенциальные уязвимости и проблемы еще на этапе анализа и проектирования и уменьшить затраты на устранение ошибок, сократить отрезок Time to Market.

Обычно киберзащитники присоединяются к разработке продукта на этапе, когда у будущего продукта или фичи еще нет архитектуры. Дальше разработку сопровождают аналитики безопасности.

Команда продуктовой безопасности помогает разработчикам создавать безопасный код и контролирует процессы разработки. Это снимает когнитивную нагрузку с разработчиков, так как они могут полагаться на экспертов по безопасности.

Команды разработки двигаются очень быстро и постоянно развиваются, безопасность должна помогать им в этом, вместо того чтобы становиться блокером и генератором проблем. То есть кибербезопасность должна выйти из роли контролирующих органов и технически реализовать правила.

В «Райфе» удалось трансформировать ее в роль партнера, который активно сотрудничает с разработчиками и бизнесом.

2. Инвестируем в сотрудников

Безопасность должна думать и действовать быстро, продолжать обучаться и совершенствоваться наравне с разработчиками и девопсами. Функции информационной безопасности не отличаются от IT с точки зрения культуры инжиниринга. Она использует те же инструменты и подходы, что и IT.

Благодаря этому в «Райфе» реализуют сложные проекты за ограниченное время. Сейчас цель банка – максимально сделать экспертов безопасности взаимозаменяемыми, что поможет устранить узкие места и увеличить количество инженеров до 75%.

Когда в рамках информационной безопасности есть функция разработки, это позволяет понять потребности продуктовых команд банка, стать полноценным владельцем своих продуктов и делать их более качественными. Внутри секьюрити-команды это прокачивает инжиниринговую культуру и улучшает сотрудничество между ее участниками.

3. Нулевая толерантность к онлайн-мошенничеству

По статистике, каждый второй украинец – пользователь электронных финансовых услуг хотя бы раз в жизни сталкивался с онлайн-мошенничеством. С началом широкомасштабной войны количество таких случаев возросло в десятки раз. К примеру, в 2023 году кибербезопасность «Райфа» заблокировала более 300 фишинговых сайтов. В 2022 году эта цифра составляла 200, в 2021-м – всего 15.

Крупные банки ежегодно инвестируют миллионы в свою безопасность и постоянно усовершенствуют методы защиты, что делает маловероятным постороннее проникновение в их системы. Поэтому мошенники обычно выбирают в качестве объектов нападения пользователей или их устройства.

До 2022 года эффективным методом мошенников был звонок клиенту от имени банкаотдел безопасности, финмониторинга, расследований и так далее для того, чтобы по придуманному поводу заставить клиента предоставить пароли, номер карты, CVV. С началом широкомасштабной войны появился тренд спекулирования на теме переселенцев и получения финансовой помощи.

Когда мошеннику становятся известны все данные для совершения транзакции, кибербезопасности «Райфа» удается предупредить более 90% попыток краж в онлайн-банкинге. Команда делает это даже в тех случаях, когда клиент самостоятельно под влиянием мошенников переводит преступникам деньги со своего счета. Все благодаря тому, что киберспециалисты проверяют электронные транзакции и другие операции с помощью моделей статистического анализа. Они основаны на том, что банк знает обычное поведение клиента и анализирует отклонения от него – аномалии указывают на вероятную попытку мошенничества.

Никакой онлайн-продукт или сервис – от открытия счетов, карты или кредитов до онлайн-транзакции, смены лимитов – не проходит без детального анализа рисков и подключения к системе мониторинга и противодействия мошенничеству.

4. Интегрировали информационную безопасность в культуру банка

Команда по кибербезопасности не просто проводит традиционные учения для персонала, но и распространяет культуру безопасности в банке.

Для этого в «Райфе» была введена специальная программа – Raiffeisen Awareness Security ProgramRASP, которая повышает осведомленность работников об информационной безопасности. К каждому работнику подход индивидуальный.

У программы есть современный портал и геймификация с возможностью пройти путь от «киберсуслика» до «кибертигра», получить крутой мерч и подарки. В программе команда проводит security-кампании, в рамках которых работники выполняют практические задания. Например, выявляют признаки дезинформации в новостях или находят места/процессы, где персональные данные могут обрабатываться с нарушением. Вся информация подается простым и доступным языком. Более того, сейчас «Райф» масштабирует программу RASP, чтобы она вышла за пределы банка.

Уже сейчас на YouTube-канале «Райфа» доступны первый выпуск «В фокусе мошенников – кто обычно становится жертвой и какие схемы работают» и второй «Чем мы рискуем, не беспокоясь о своей безопасности онлайн». Здесь рассказывают, почему мошенники «взламывают» людей вместо компаний, кто может стать жертвой мошенников, какие данные следует держать в тайне и не только.

В ближайшее время все больше будем появляться в социальных сетях – от YouTube до TikTok и Reels.

Кстати, у банка есть сообщество «киберниндзь». Это проактивные представители разных подразделений банка, которые тестируют и улучшают контент программы осведомленности RASP и распространяют культуру безопасности во всем банке.

5. Фокус на непрерывность бизнеса и киберустойчивость

В «Райфе» научились ожидать неожиданное. Невозможно точно предсказать, каким будет следующее прерывание бизнес-процессов. Но команда по безопасности знает, что банк должен быть готов к разным кризисам и быстро реагировать на них.

Даже до 2022 года в «Райфе» уже рассматривали сценарии военного вторжения и готовились к этому. Здесь установили четкие приоритеты – безопасность жизни, защита клиентов и их средств, защита ценностей банка. У банка есть планы реагирования на блэкауты, потери офисных помещений, киберугрозы, взлом инфраструктуры, недоступность IT-сервисов и так далее. Секьюрити-команда готовит, тренирует и обучает персонал. Это позволяет заранее отреагировать на угрозы и не допускать инциденты, связанные с наступлением всякого рода кризисов.

В этом контексте следует рассказать об облачных технологиях. В начале войны IT-команда собственными силами перенесла основные системы банка в облако за три месяца и не остановила ни одного бизнес-процесса. Учитывая масштабы IT-инфраструктуры «Райфа», это как менять шины на автомобиле, который едет со скоростью 200 км в час.

Сейчас «Райф» активно использует облачные решения безопасности – 100% бизнес-процессов и сервисов банка сейчас работают через облако.

На сайт «Райффайзен Банку»