Сбербанк: экосистема — новые возможности, новые вызовы кибербезопасности

Логотип компании
Сбербанк: экосистема — новые возможности, новые вызовы кибербезопасности
Существует два варианта цифровой трансформации. Первый — привлекать для запуска новых решений или сервисов собственные компетенции и инвестиции. Второй — пойти по «экосистемному» пути: развивать партнёрство в экосистеме...

С каждым днём мы все больше узнаём о новых проектах в области информационных технологий. Это в определенной мере свидетельствует о наступлении цифровой экономики или «Четвёртой промышленной революции».

Основным ключевым фактором производства становится обработка и использование данных в цифровом виде. Изменились и условия ведения бизнеса — современные компании работают в условиях, когда приспособиться к изменениям становится всё сложнее. Предугадать и, тем более, спланировать развитие еще сложнее, так как бизнес-процессы сильно взаимосвязаны и меняются очень быстро.

Чтобы выжить, компаниям необходимо научиться реагировать на изменения, адаптироваться и всегда быть готовыми к неожиданностям. Современный мир развивается настолько быстро, что сегодня невозможно уследить за всеми инновациями самостоятельно. Компании вынуждены обращаться к «общему разуму», чтобы получить быстрый результат. Решение сложных проблем стимулирует сотрудничество.

Почему экосистема?

Существует два варианта цифровой трансформации. Первый — привлекать для запуска новых решений или сервисов собственные компетенции и инвестиции. Второй — пойти по «экосистемному» пути: развивать партнёрство в экосистеме. Исторический опыт показал, что выжить, используя только собственные компетенции, практически невозможно. Таким образом, каждой компании необходимо будет сделать выбор: сформировать собственную экосистему, присоединиться к существующей либо свернуть бизнес.

Экосистемное развитие подразумевает под собой систему взаимодействия компаний – провайдеров услуг, регуляторов и потребителей, которая включает в себя как конкуренцию, так и сотрудничество, для того чтобы предоставить пользователю тот или иной сервис. Цель создания экосистемы — удобный сервис для клиентов, который сможет удовлетворить их потребности в самых различных сферах: транспорт, развлечения, работа, дом и т. д.

Экосистема Сбербанка

Сбербанк не является исключением и в настоящее время переживает период цифровой трансформации, переходя от модели классического провайдера финансовых услуг к модели глобальной экосистемы. Экосистема Сбербанка начала свое развитие в 2016 году, в 2017 году был заключён ряд значимых партнёрских соглашений. Она включает в себя как дочерние предприятия Сбербанка, так и независимые компании.

Банк выступает основной платформой экосистемы, на базе которой осуществляется объединение партнёров, оказывающих услуги как финансового, так и нефинансового характера. Всё это позволяет предлагать клиенту комплексные продукты и решения, повышать уровень удовлетворённости сервисом и поддерживать его на высоком уровне на всех этапах цепочки создания ценности.

Задача экосистемы Сбербанка состоит в подборе и внедрении лучших клиентских сервисов для удовлетворения ежедневных потребностей широкого круга клиентов. При этом есть все основания полагать, что система Сбербанка сможет покрыть ряд наиболее крупных отраслевых групп: производство, потребительские товары, образование, недвижимость, здравоохранение, бизнес-услуги, путешествия, телекоммуникации, государственные услуги, разработки софта и приложений, строительство, финансовые сервисы.

Следует отметить, что Сбербанк как платформа экосистемы занимает лидирующую позицию в области кибербезопасности. Его высокие компетенции оценены не только в России, но и в мире: Сбербанк — партнёр-основатель Центра кибербезопасности Всемирного экономического форума. Такое положение вещей повышает привлекательность экосистемы Сбербанка за счет её защищённости и устойчивости к угрозам кибербезопасности.

Экосистема — новые возможности

Невозможно придумать все идеи самому, но можно создать условия, когда идеи для вас смогут придумывать другие — именно этот подход и помогает реализовать экосистема. Таким образом, построение экосистемы и участие в ней открывает перед компаниями новые горизонты развития.

В первую очередь речь идёт об инвестиционной активности. За счёт привлечения большого количества самостоятельных участников сокращаются затраты на исследования. В связи с тем, что в экосистему включаются разноплановые бизнес-активности, растёт и креативная составляющая: появляются новые бизнес-идеи, кроме того, многие приходят уже со своими наработками. Всё это позволяет использовать «домашние заготовки» участников экосистемы для продвижения собственного бизнеса.

Второе немаловажное преимущество — сокращение вывода на рынок новых товаров и услуг за счёт привлечения сторонних разработчиков, организации для них платформы для разработки и экспериментов. Такой подход значительно расширяет охват информатизации бизнес-процессов и позволяет занять лидирующие позиции в технологическом развитии.

Третье — улучшение деловой репутации. Предоставление большого количества услуг для клиентов делает бренд более привлекательным и, как следствие, повышает цену компании. В отличии от ситуации, когда компания диверсифицирует бизнес своими силами, в случае с экосистемой срабатывает синергетический эффект — все работают для всех.

Экосистема — новые вызовы

Как и любое нововведение, экосистема влечёт за собой пока ещё не изученные и неподсчитанные риски. Самый важный и болезненный вызов — смена менталитета. В классической безопасности упор делается на изолированность обработки информации, её конфиденциальность, а также обеспечение защиты периметра. Компании стремились сохранить свою информацию и не допустить, чтобы любая другая компания её получила. В экосистеме, напротив, есть понимание, что закрытость и концентрация лишь на своём небольшом поле деятельности лишает множества возможностей. Если не обмениваться информацией, то очень просто потерять связь с окружающим миром. Конфиденциальность уходит на второй план — для экосистемы важнее обеспечить целостность и доступность данных.

Ещё один вызов — построение партнёрских, доверительных отношений между всеми участниками экосистемы. Нужно научиться доверять сторонним разработчикам — при условии, что у владельцев информации отсутствует возможность контролировать процессы разработки приложений и влияние на исправление обнаруженных ошибок и выпуска обновлений. Сторонний разработчик может внести неконтролируемые изменения в своё приложение, а хакер — внедрить код, ворующий данные клиента, в уже готовое приложение участника экосистемы. Такие печальные примеры уже известны, например хищение средств у клиентов банков группой «предприимчивых разработчиков» из Волгоградской области. Кроме того, высоко влияние одного участника экосистемы на окружение. Сложности и проблемы с одной из частей экосистемы могут привести к нарушению работы экосистемы в целом. Как и в биологической экосистеме, в бизнес-экосистеме возможны заболевания — вплоть до эпидемии.

Читайте также
Почему даже системные администраторы должны работать в строго контролируемых рамках? IT-World разбирался, как PAM поможет защитить и администратора и всю компанию от неприятных сюрпризов.

Кибербезопасность в экосистеме

Кибербезопасность — неотъемлемая часть экосистемы. Необходимо непрерывно оценивать риски и степень доверия, постоянно адаптируясь к ситуации, — реализовывать новый подход к обеспечению кибербезопасности CARTA (Continuous adaptive risk and trust assessment). Этот подход подразумевает постоянное наблюдение за всеми рисками, возникающими в экосистеме. Защитные меры должны быть продуманы и реализованы в каждом процессе, каждым участником.

Экосистема как яркий представитель цифровой цивилизации должна вырастить весь набор защитных механизмов, выработать иммунитет —киберустойчивость, обзавестись своими антибиотиками и профилактическими препаратами. Для этого необходимо пересмотреть подходы к кибербезопасности: от изолированности — к защищённой открытости.

Такой подход выражается в обеспечении максимальной защищённости платформы и киберустойчивости всей системы, для всех участников. На практике максимальная защищённость платформы обеспечивается путём постоянного контроля и проверки устойчивости всех компонентов. Как и в случае с биологическим миром необходимо выявлять и лечить болезни на ранних стадиях. Своевременное обнаружение проблем и «тревожных симптомов» позволит не только обеспечить защищённость информационных ресурсов, но и избежать нарушения работоспособности всей экосистемы.

Информационное взаимодействие с партнёрами экосистемы Сбербанка cтроится на использовании открытых API с реализацией спецификации OpenID Connect (фреймворк OAuth 2.0).

Открытые API размещаются на платформе Сбербанк API. Для обеспечения ее защищённости реализована многоступенчатая проверка всех поступающих на платформу сообщений. Проверка осуществляется не только по форматно-логическому признаку, но и на соответствие запроса бизнес-сценарию взаимодействия. Каждое информационное взаимодействие сопровождается временным ключом (access_token). Этот ключ также проходит многоступенчатую проверку — проверяется не только его актуальность, но и соответствие содержимого запроса разрешениям, прописанным в ключе.

Такие проверки могут быть достаточно ресурсоёмкими и сильно нагружать ресурсные системы, поэтому запросы по возможности должны быть максимально простыми, без сложной логики проверки. Чтобы повысить уровень доверия между участниками экосистемы, ответы, выдаваемые банком на запросы партнёров, также проходят проверку на стороне банка.

Новые информационные взаимодействия внедряются только после детальной и всесторонней проверки всех внутренних интеграционных взаимодействий и готовности всех систем работать с внешними участниками экосистемы.

Однако недостаточно обеспечивать защищённость исключительно платформы и периметра — все участники экосистемы должны знать практики безопасности и использовать методики кибербезопасности при разработке программного кода и интеграционном взаимодействии.

Такое требование вытекает из того, что информационное взаимодействие в экосистеме строится на основании солидарной ответственности. Поэтому участники должны не только самостоятельно проверять и контролировать собственные приложения и системы, но и оказывать посильную помощь своим партнёрам и контрагентам в повышении уровня киберзащищённости.

Основным инструментом для этого может стать перекрёстное тестирование как при подключении нового партнёра (организации нового взаимодействия), так и периодически, на регулярной основе. Перекрёстное тестирование основывается на реализации сценариев кибербезопасности, прописанных в тестовых заглушках. Этот механизм позволяет участнику экосистемы не только проверить готовность своих систем к информационному взаимодействию, но и оценить киберустойчивость за счёт эмуляции наиболее распространённых типов атак. Проводить эти тесты или нет — партнёр решает сам: банк может порекомендовать, но не заставить. Такие проверки — профилактическая мера, которая позволяет подготовиться к возможным неприятностям ещё на начальной стадии.

Другой метод перекрёстных проверок — проверка действительности сертификатов, на которых строится информационное взаимодействие (односторонний или двухсторонний TLS). В рамках такой проверки каждый из партнёров самостоятельно проверяет действительность сертификата и его цепочку до root CA, срок действия сертификатов (включая корневые), корректность данных, указанных в сертификате.

Основная цель тестирования — увеличение доверия между участниками экосистемы к автоматизированным системам и мобильным приложениям друг друга. Пока такие тесты в экосистеме Сбербанка не всеобъемлющие, но с накоплением опыта и получением обратной связи их перечень будет уточняться и расширяться.

Противостоять угрозам кибербезопасности в условиях экосистемы можно только совместно. Сбербанк обладает огромным практическим опытом обеспечения кибербезопасности и на позиции владельца экосистемы стремится выстроить с партнёрами взаимодействие не только в части проведения бизнес-операций, но и в части обеспечения кибербезопасности. Цель — не только защита основного информационного взаимодействия, но и повышение общего уровня кибербезопасности и киберустойчивости у всех участников экосистемы — даже в активностях, не связанных с экосистемой.

Антон КАРАЛКИН,

технолог Управления экспертизы кибербезопасности Сбербанка

Смотреть все статьи по теме "Информационная безопасность"

Опубликовано 11.01.2019

Похожие статьи