Сбербанк: экосистема — новые возможности, новые вызовы кибербезопасности

С каждым днём мы все больше узнаём о новых проектах в области информационных технологий. Это в определенной мере свидетельствует о наступлении цифровой экономики или «Четвёртой промышленной революции».

Основным ключевым фактором производства становится обработка и использование данных в цифровом виде. Изменились и условия ведения бизнеса — современные компании работают в условиях, когда приспособиться к изменениям становится всё сложнее. Предугадать и, тем более, спланировать развитие еще сложнее, так как бизнес-процессы сильно взаимосвязаны и меняются очень быстро.

Чтобы выжить, компаниям необходимо научиться реагировать на изменения, адаптироваться и всегда быть готовыми к неожиданностям. Современный мир развивается настолько быстро, что сегодня невозможно уследить за всеми инновациями самостоятельно. Компании вынуждены обращаться к «общему разуму», чтобы получить быстрый результат. Решение сложных проблем стимулирует сотрудничество.

Почему экосистема?

Существует два варианта цифровой трансформации. Первый — привлекать для запуска новых решений или сервисов собственные компетенции и инвестиции. Второй — пойти по «экосистемному» пути: развивать партнёрство в экосистеме. Исторический опыт показал, что выжить, используя только собственные компетенции, практически невозможно. Таким образом, каждой компании необходимо будет сделать выбор: сформировать собственную экосистему, присоединиться к существующей либо свернуть бизнес.

Экосистемное развитие подразумевает под собой систему взаимодействия компаний – провайдеров услуг, регуляторов и потребителей, которая включает в себя как конкуренцию, так и сотрудничество, для того чтобы предоставить пользователю тот или иной сервис. Цель создания экосистемы — удобный сервис для клиентов, который сможет удовлетворить их потребности в самых различных сферах: транспорт, развлечения, работа, дом и т. д.

Экосистема Сбербанка

Сбербанк не является исключением и в настоящее время переживает период цифровой трансформации, переходя от модели классического провайдера финансовых услуг к модели глобальной экосистемы. Экосистема Сбербанка начала свое развитие в 2016 году, в 2017 году был заключён ряд значимых партнёрских соглашений. Она включает в себя как дочерние предприятия Сбербанка, так и независимые компании.

Банк выступает основной платформой экосистемы, на базе которой осуществляется объединение партнёров, оказывающих услуги как финансового, так и нефинансового характера. Всё это позволяет предлагать клиенту комплексные продукты и решения, повышать уровень удовлетворённости сервисом и поддерживать его на высоком уровне на всех этапах цепочки создания ценности.

Задача экосистемы Сбербанка состоит в подборе и внедрении лучших клиентских сервисов для удовлетворения ежедневных потребностей широкого круга клиентов. При этом есть все основания полагать, что система Сбербанка сможет покрыть ряд наиболее крупных отраслевых групп: производство, потребительские товары, образование, недвижимость, здравоохранение, бизнес-услуги, путешествия, телекоммуникации, государственные услуги, разработки софта и приложений, строительство, финансовые сервисы.

Следует отметить, что Сбербанк как платформа экосистемы занимает лидирующую позицию в области кибербезопасности. Его высокие компетенции оценены не только в России, но и в мире: Сбербанк — партнёр-основатель Центра кибербезопасности Всемирного экономического форума. Такое положение вещей повышает привлекательность экосистемы Сбербанка за счет её защищённости и устойчивости к угрозам кибербезопасности.

Экосистема — новые возможности

Невозможно придумать все идеи самому, но можно создать условия, когда идеи для вас смогут придумывать другие — именно этот подход и помогает реализовать экосистема. Таким образом, построение экосистемы и участие в ней открывает перед компаниями новые горизонты развития.

В первую очередь речь идёт об инвестиционной активности. За счёт привлечения большого количества самостоятельных участников сокращаются затраты на исследования. В связи с тем, что в экосистему включаются разноплановые бизнес-активности, растёт и креативная составляющая: появляются новые бизнес-идеи, кроме того, многие приходят уже со своими наработками. Всё это позволяет использовать «домашние заготовки» участников экосистемы для продвижения собственного бизнеса.

Второе немаловажное преимущество — сокращение вывода на рынок новых товаров и услуг за счёт привлечения сторонних разработчиков, организации для них платформы для разработки и экспериментов. Такой подход значительно расширяет охват информатизации бизнес-процессов и позволяет занять лидирующие позиции в технологическом развитии.

Третье — улучшение деловой репутации. Предоставление большого количества услуг для клиентов делает бренд более привлекательным и, как следствие, повышает цену компании. В отличии от ситуации, когда компания диверсифицирует бизнес своими силами, в случае с экосистемой срабатывает синергетический эффект — все работают для всех.

Экосистема — новые вызовы

Как и любое нововведение, экосистема влечёт за собой пока ещё не изученные и неподсчитанные риски. Самый важный и болезненный вызов — смена менталитета. В классической безопасности упор делается на изолированность обработки информации, её конфиденциальность, а также обеспечение защиты периметра. Компании стремились сохранить свою информацию и не допустить, чтобы любая другая компания её получила. В экосистеме, напротив, есть понимание, что закрытость и концентрация лишь на своём небольшом поле деятельности лишает множества возможностей. Если не обмениваться информацией, то очень просто потерять связь с окружающим миром. Конфиденциальность уходит на второй план — для экосистемы важнее обеспечить целостность и доступность данных.

Ещё один вызов — построение партнёрских, доверительных отношений между всеми участниками экосистемы. Нужно научиться доверять сторонним разработчикам — при условии, что у владельцев информации отсутствует возможность контролировать процессы разработки приложений и влияние на исправление обнаруженных ошибок и выпуска обновлений. Сторонний разработчик может внести неконтролируемые изменения в своё приложение, а хакер — внедрить код, ворующий данные клиента, в уже готовое приложение участника экосистемы. Такие печальные примеры уже известны, например хищение средств у клиентов банков группой «предприимчивых разработчиков» из Волгоградской области. Кроме того, высоко влияние одного участника экосистемы на окружение. Сложности и проблемы с одной из частей экосистемы могут привести к нарушению работы экосистемы в целом. Как и в биологической экосистеме, в бизнес-экосистеме возможны заболевания — вплоть до эпидемии.

Кибербезопасность в экосистеме

Кибербезопасность — неотъемлемая часть экосистемы. Необходимо непрерывно оценивать риски и степень доверия, постоянно адаптируясь к ситуации, — реализовывать новый подход к обеспечению кибербезопасности CARTA (Continuous adaptive risk and trust assessment). Этот подход подразумевает постоянное наблюдение за всеми рисками, возникающими в экосистеме. Защитные меры должны быть продуманы и реализованы в каждом процессе, каждым участником.

Экосистема как яркий представитель цифровой цивилизации должна вырастить весь набор защитных механизмов, выработать иммунитет —киберустойчивость, обзавестись своими антибиотиками и профилактическими препаратами. Для этого необходимо пересмотреть подходы к кибербезопасности: от изолированности — к защищённой открытости.

Такой подход выражается в обеспечении максимальной защищённости платформы и киберустойчивости всей системы, для всех участников. На практике максимальная защищённость платформы обеспечивается путём постоянного контроля и проверки устойчивости всех компонентов. Как и в случае с биологическим миром необходимо выявлять и лечить болезни на ранних стадиях. Своевременное обнаружение проблем и «тревожных симптомов» позволит не только обеспечить защищённость информационных ресурсов, но и избежать нарушения работоспособности всей экосистемы.

Информационное взаимодействие с партнёрами экосистемы Сбербанка cтроится на использовании открытых API с реализацией спецификации OpenID Connect (фреймворк OAuth 2.0).

Открытые API размещаются на платформе Сбербанк API. Для обеспечения ее защищённости реализована многоступенчатая проверка всех поступающих на платформу сообщений. Проверка осуществляется не только по форматно-логическому признаку, но и на соответствие запроса бизнес-сценарию взаимодействия. Каждое информационное взаимодействие сопровождается временным ключом (access_token). Этот ключ также проходит многоступенчатую проверку — проверяется не только его актуальность, но и соответствие содержимого запроса разрешениям, прописанным в ключе.

Такие проверки могут быть достаточно ресурсоёмкими и сильно нагружать ресурсные системы, поэтому запросы по возможности должны быть максимально простыми, без сложной логики проверки. Чтобы повысить уровень доверия между участниками экосистемы, ответы, выдаваемые банком на запросы партнёров, также проходят проверку на стороне банка.

Новые информационные взаимодействия внедряются только после детальной и всесторонней проверки всех внутренних интеграционных взаимодействий и готовности всех систем работать с внешними участниками экосистемы.

Однако недостаточно обеспечивать защищённость исключительно платформы и периметра — все участники экосистемы должны знать практики безопасности и использовать методики кибербезопасности при разработке программного кода и интеграционном взаимодействии.

Такое требование вытекает из того, что информационное взаимодействие в экосистеме строится на основании солидарной ответственности. Поэтому участники должны не только самостоятельно проверять и контролировать собственные приложения и системы, но и оказывать посильную помощь своим партнёрам и контрагентам в повышении уровня киберзащищённости.

Основным инструментом для этого может стать перекрёстное тестирование как при подключении нового партнёра (организации нового взаимодействия), так и периодически, на регулярной основе. Перекрёстное тестирование основывается на реализации сценариев кибербезопасности, прописанных в тестовых заглушках. Этот механизм позволяет участнику экосистемы не только проверить готовность своих систем к информационному взаимодействию, но и оценить киберустойчивость за счёт эмуляции наиболее распространённых типов атак. Проводить эти тесты или нет — партнёр решает сам: банк может порекомендовать, но не заставить. Такие проверки — профилактическая мера, которая позволяет подготовиться к возможным неприятностям ещё на начальной стадии.

Другой метод перекрёстных проверок — проверка действительности сертификатов, на которых строится информационное взаимодействие (односторонний или двухсторонний TLS). В рамках такой проверки каждый из партнёров самостоятельно проверяет действительность сертификата и его цепочку до root CA, срок действия сертификатов (включая корневые), корректность данных, указанных в сертификате.

Основная цель тестирования — увеличение доверия между участниками экосистемы к автоматизированным системам и мобильным приложениям друг друга. Пока такие тесты в экосистеме Сбербанка не всеобъемлющие, но с накоплением опыта и получением обратной связи их перечень будет уточняться и расширяться.

Противостоять угрозам кибербезопасности в условиях экосистемы можно только совместно. Сбербанк обладает огромным практическим опытом обеспечения кибербезопасности и на позиции владельца экосистемы стремится выстроить с партнёрами взаимодействие не только в части проведения бизнес-операций, но и в части обеспечения кибербезопасности. Цель — не только защита основного информационного взаимодействия, но и повышение общего уровня кибербезопасности и киберустойчивости у всех участников экосистемы — даже в активностях, не связанных с экосистемой.

Антон КАРАЛКИН,

технолог Управления экспертизы кибербезопасности Сбербанка

Смотреть все статьи по теме "Информационная безопасность"

Журнал IT News

Опубликовано 11.01.2019

Информационная безопасность

Предыдущая
Ученые из Оксфорда научились взламывать смартфоны через powerbank

Следующая
Услышать тишину: первая массовая атака Silence на российские банки в 2019 году

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30