Безопасная разработка продуктов и услуг в условиях цифровой трансформации

Курятникова А.Ш.

Выпускник группы MBA CSO-29

Школа IT-менеджмента

РАНХиГС при Президенте РФ

Цифровая трансформация означает внедрение новых бизнес-моделей и вывод на рынок цифровых продуктов, которые либо полностью поставляются в цифровом формате (например, на цифровых носителях или онлайн-банк), либо, когда физические продукты и услуги приобретаются клиентами при помощи цифровых средств (например, онлайн-сервисы совместного использования автомобилей).

В итоге это должно обеспечить рост выручки, прибыли, доли рынка, удовлетворенности клиентов (внутренних и внешних), а также снижение затрат. Однако, в условиях цифровой трансформации возрастают требования к скорости вывода продуктов на рынок (time to market), и, соответственно, к темпу разработки, вследствие чего происходит переход к модели непрерывной доставки (continuous delivery), когда новые свойства в продукт добавляются инкрементально с периодом между релизами от нескольких недель до дней.

Актуальность темы безопасной разработки продуктов и услуг в условиях цифровой трансформации обусловлена возрастающей сложностью информационных систем и повышению требований к темпу их выпуска и ввода в эксплуатацию. При этом традиционные подходы к обеспечению безопасности становятся неприменимы из-за длительного цикла их выполнения. Организации заинтересованы во внедрении новых подходов к разработке продуктов и услуг, где безопасность учитывается на протяжении всего жизненного цикла разработки.

С точки зрения методологии разработки программного обеспечения это означает переход от концепции DevOps к DevSecOps, когда процессы безопасности внедрены в каждый этап цикла разработки. Однако, это требует существенных организационных и технических изменений – команда ИБ перестает быть внешним проверяющим, который оценивает готовый продукт и вместо этого принимает участие в его создании. Это позволяет минимизировать стоимость разработки в целом, поскольку исправление ошибок на ранних этапах обходится значительно дешевле.

Объектом исследования является российский банк, специализирующийся на выдаче автокредитов (далее – Банк), входящий в топ-100 по размеру активов среди российских банков по версии Интерфакс. Банк имеет единственный офис, расположенный в Москве. Отделений и банкоматов не имеет, пластиковых карт не выпускает. С момента создания Банка прошло менее 10 лет, поэтому его ИТ-ландшафт не содержит унаследованных систем, что значительно облегчает процесс цифровой трансформации.

Проведенный анализ (PEST, SWOT) показал, что существуют предпосылки к тому, чтобы при помощи цифровых технологий усилить конкурентные преимущества и уменьшить некоторые рыночные риски. Например, предложив новые цифровые продукты Банк может использовать фактор глубокого проникновения смартфонов в потребительскую базу и при этом не обязательно ориентироваться только на молодежную аудиторию.

Анализ уровня цифровой зрелости (по методике Digital Maturity Framework) показал, что в целом банк готов к дальнейшей цифровизации, однако отдельные области компетенций, такие как обучение персонала и использование корпоративных знаний (инсайтов) нуждаются в улучшении.

Нужно сказать, что хотя наличие мобильного приложения и стало сегодня стандартом де-факто в розничном банкинге, окупаемость подобных проектов для многих банков остается под вопросом. Проведенное исследование фактической востребованности мобильных приложений топ-100 банков показало, что 34% из них имеют критически малое число пользователей. В контексте безопасности это означает, что непопулярное у клиентов мобильное приложение становится для банка источником риска – поскольку бюджет на него сокращается, оно перестает обновляться, а следовательно, существующие уязвимости могут быть использованы злоумышленниками.

То есть, проекты цифровизации, такие как разработка мобильных приложений, должны запускаться только при наличии продуманной бизнес-модели, обеспечивающей их монетизацию, а не ради следования модным трендам или просто для имиджа.

В рамках реализации стратегии развития в 2017 году в Банке был инициирован проект по разработке мобильного приложения для клиентов. У мобильного приложения было две бизнес-цели – снизить нагрузку на колл-центр и дать клиентам возможность погашения кредита картой любого банка. Реализация этих целей должна была повысить общую эффективность процесса обслуживания кредитов.

На предварительной фазе проекта был проведен анализ регулирующей среды с целью выявления рисков. С одной стороны, банковская деятельность является одной из наиболее строго регулируемых, в том числе в области информационной безопасности, где существует серия стандартов Банка России – и это задает понятные методологические рамки для технической реализации проекта. С другой стороны, выполнение требований регулятора требует значительного объема бумажной работы, особенно в части защиты персональных данных. То есть, риски можно разделить на две категории – технические (взлом, утечка данных) и комплаенс (проверки, штрафы).

Кроме того, было необходимо обеспечить высокий темп разработки и развития функциональности мобильного приложения, что трудно было гарантировать в рамках стандартных процедур, установленных в Банке – иначе говоря, согласование каждого релиза со службой безопасности могло бы негативно повлиять на график проекта.

В связи с этим было принято два ключевых решения: архитектурно отделить мобильное приложение от основных систем Банка, чтобы минимизировать изменения в ИТ-ландшафте и передать эксплуатацию серверной части мобильного приложения на аутсорсинг разработчику, чтобы минимизировать объем работы по комплаенс и связанные с этим риски.

В ходе выполнения проекта была разработана архитектура, отвечающая предъявленным требованиям. Ее основной особенностью является так называемый «диодный» шлюз, реализующий однонаправленное взаимодействие. Это исключает возможность целых категорий атак (например, SQL-инъекции), поскольку сервер мобильного приложения в принципе не посылает запросов в АБС, а только принимает пакеты информации в соответствии с разработанным протоколом.

Таким образом удалось свести к минимуму изменения во внутреннем контуре Банка – в нем установлен только упомянутый шлюз и несколько скриптов в АБС, компоненты, которые отличаются высокой стабильностью.

Сервер мобильного приложения, реализующий его функциональность, был размещен в облаке доверенного провайдера – эта часть по мере развития продукта регулярно претерпевала изменения, но при этом установка каждого релиза не затрагивала внутренний контур и не требовала постоянной вовлеченности службы безопасности.

Управление проектом было организовано по гибкой методике, близкой к SCRUM с длительностью спринтов немного больше классических 30 дней, причем офис заказчика расположен в Москве, а команда разработки в Санкт-Петербурге. В каждой итерации разработки на стадии анализа определялись функциональные требования и требования безопасности, которые затем отрабатывались на этапах кодирования и тестирования. Развертывание готового релиза производилось на виртуальной инфраструктуре, предоставленной провайдером. Также провайдер обеспечивал обнаружение атак и противодействие им с использованием своего SOC (Security Operation Center). Таким образом можно сказать, что при создании мобильного приложения Банка была воплощена концепция безопасной разработки и эксплуатации DevSecOps.

Чтобы оформить юридически распределение ответственности и рисков по защите персональных данных согласно требованиям 152-ФЗ, между Банком и разработчиком был заключен договор об обработке персональных данных и также был заключен соответствующий договор между разработчиком и провайдером. Для этого разработчику пришлось получить статус оператора персональных данных, выполнив требования регулятора. Предварительно совместно с провайдером была разработана модель угроз для защиты персональных данных, обрабатываемых сервером мобильного приложения.

По итогам более двух лет эксплуатации мобильного приложения Банка можно с уверенностью сказать, что поставленные бизнесом цели достигнуты и даже со значительным превышением.

• Мобильным приложением пользуется 60% клиентов Банка. Поскольку типовой срок кредита составляет три года, рост проникновения мобильного приложения в клиентскую базу еще не закончился и можно ожидать дальнейшего увеличения числа пользователей.
• Как и предполагалось, мобильное приложение взяло на себя значительную часть потока обращений в колл-центр. Во-первых, клиент может зайти в личный кабинет и посмотреть сколько денег на счете, когда был зачислен последний платеж, а также создать заявку на полное досрочное погашение (раньше это делалось через оператора). Что касается иных вопросов, клиент может задать их в чате, что не требует ожидания на линии.
• Приложение приносит Банку доход за счет комиссии, взымаемой за мобильные переводы. По сумме это уже окупило разработку, что стало приятной неожиданностью для руководства.

В заключение можно сказать следующее. В условиях цифровой трансформации информационная безопасность становится критически важным фактором для успешного ведения бизнеса. При этом подходы к обеспечению безопасности тоже претерпевают изменения, что требует разработки новых методик, потому что в конечном итоге безопасность – это администрирование и управление рисками для защиты организации на основе точной оценка угроз, стратегии контроля и контроля качества (посредством регулярных аудитов).

Пожалуй, главное отличие эпохи цифровой трансформации от прошлых времен состоит в высокой мобильности и вариативности бизнес-моделей, которые строятся на основе множества взаимодействующих платформ и сервисов – а это означает также и высокую изменчивость рисков. Соответственно, прежние подходы, ориентированные на статичные модели угроз и методы защиты, уступают место гибким методологиям реализации безопасности, которые работают в едином цикле создания, эксплуатации и постоянного совершенствования цифровых продуктов.