Безопасность в финтехе — Сотрудничество со Standoff — Проверка флагманских продуктов — Планы на будущее
Мы более 20 лет занимаемся созданием систем для обработки транзакций. Начинали с клиентских терминалов, но теперь они уходят в прошлое: бизнес фокусируется на ДБО и мобильных приложениях, а мы — на разработке высоконагруженного ПО для финансовых организаций
— Насколько для вас важна кибербезопасность?
— Мы всегда уделяли ей много внимания. Фрод случался даже в киосках: терминалы наших клиентов неоднократно атаковали, а теперь угроз стало в разы больше. Кроме того, инфраструктура банков относится к объектам КИИ, поэтому решения eKassir должны соответствовать достаточно жестким требованиям регуляторов. Как результат, мы постоянно работаем над повышением защищенности своих продуктов и внедряем лучшие ИБ-практики. Проводим пентесты, проходим аудиты (EMVCo, PCI SSF и ОУД4), стандартизируем процессы безопасной разработки, вкладываемся в CI/CD и т. д.
Интересный момент: мы не работаем по модели SaaS — решения eKassir всегда стоят в периметре наших клиентов. Поэтому самые эффективные проверки защищенности нам устраивают банки. Они регулярно пентестят свою инфраструктуру, в том числе ПО eKassir. После таких проверок клиенты возвращаются к нам в случае выявления замечаний, и мы вносим изменения в ПО.
— По каким причинам вы не работаете по модели SaaS?
— Мы не рассматриваем этот вариант: облачные решения больше подвержены внешним угрозам, чем on-premise. В последние годы рынок сталкивается с серьезными кибератаками, клиенты все чаще предпочитают размещать ПО в пределах собственной инфраструктуры. Кроме того, работа по SaaS требует серьезной перестройки рабочих процессов компании, что кажется нам малоперспективным в будущем.
— Почему вы решили сотрудничать со Standoff?
— Взаимная выгода. Команда Standoff искала платежные решения enterprise-уровня, а нам было интересно испытать свои продукты на прочность. Хотелось проверить качество кода и получить обратную связь по найденным уязвимостям. Кроме того, условия на киберполигоне максимально приближены к реальности, атакующие действуют как настоящие злоумышленники. Подобные проверки более показательны, чем обычные пентесты.
— Не было страшно выкатывать свою инфраструктуру на публичный киберполигон?
— Скорее, было интересно! На нашей стороне 20 лет опыта, множество аудитов и пентестов, поэтому мы уверены в своих продуктах, публичность нас не пугает. К тому же на Standoff ИТ-решения ломают сразу несколько команд хакеров: для нас это было вызовом, и мы были готовы к тому, что в процессе могут всплыть какие-то уязвимости.
Когда рынок видит, что eKassir не боится выставлять свой софт на киберполигоне, привлекательность компании растет. Это отлично работает на развитие бренда компании и помогает в продажах — говорю как коммерческий директор ;) Бизнесу подобные активности только на руку: в современном мире прямая реклама далеко не так эффективна
— Расскажите о продуктах, с которыми вы вышли на Standoff?
— Команда Standoff хотела создать в государстве F полноценный банк, поэтому мы предоставили партнерам «Адаптер для СБП» и Payments Hub — коробочные решения, внесенные в реестр отечественного ПО. Отмечу, что это флагманские продукты eKassir и их безопасность для нас в приоритете.
«Адаптер для СБП» — это продукт для подключения банков и финансовых организаций к сервисам Системы быстрых платежей. Мы были одним из первых вендоров, прошедших ТИВ по C2C, и продолжаем в числе первых проходить тестирования по новым функциям.
Payments Hub — решение для централизации приема платежей через любые каналы обслуживания (кассы, банкоматы, мобильные приложения). Оно интегрируется с системами банка и обрабатывает транзакционный поток. Payments Hub — первый продукт компании, мы разработали его в 2006 г. Сейчас он служит базой для новых решений eKassir, например сервиса автоплатежей и платежной витрины.
Оба продукта отлично вписались в инфраструктуру виртуального государства. С их помощью мы организовали централизованный прием платежей и переводов: через мобильный банк, банкоматы или кассы в отделениях и СБП (по QR-коду). Нам нужно было сделать виртуальный банк максимально реалистичным, и, думаю, у нас получилось!
Мы убедились, что за 4–5 дней кибербитвы хакеры просканируют любой софт от и до
— Вы как-то адаптировали свои продукты для Standoff?
— Нет, просто передали партнерам свежие релизы. Нам было важно, чтобы тестирование проходило в максимально реалистичных условиях: играть в потемкинские деревни не было ни смысла, ни желания. К тому же, если бы хакеры нашли серьезные уязвимости в адаптированном для кибербитвы ПО, нам пришлось бы сравнивать его с версиями, установленными у клиентов, заводить отдельные ветки для устранения багов и т. д. Проще было отдать все как есть и посмотреть, что смогут сделать атакующие.
— Вы остались довольны результатами кибербитвы?
— Да, она показала, что наши решения хорошо защищены. Серьезных уязвимостей атакующие не нашли: возможностей для удаленного выполнения кода и др. Все обнаруженные ими уязвимости в промышленной среде легко закрываются на уровне правильной настройки и эксплуатации инфраструктуры. Обычно мы делаем это сами либо проводим обучение для клиентов.
Мы часто сталкиваемся с кейсами, когда ошибки в администрировании (в том числе сторонних продуктов) аффектят не только наш софт, но и весь банковский ИТ-ландшафт. Некорректно настроили, пропустили вроде бы незначительный момент, а в итоге случается критичный инцидент. Нечто подобное мы увидели и на кибербитве.
— Как вы планируете развивать сотрудничество со Standoff?
— Надеемся, что в будущем появится возможность проверить на киберполигоне наше ПО для банкоматов. С ним связаны многие решения eKassir, например тот же Payments Hub, который позволяет сделать из банкомата полноценный офис самообслуживания. Кроме того, мы хотим снова вывести на Standoff «Адаптер для СБП», поскольку в нем появились новые сервисы: B2B, C2G и трансграничные переводы. Мы уже убедились, что за 4–5 дней кибербитвы этичные хакеры просканируют любой софт от и до!
На Standoff мы выполнили все поставленные задачи на 110% и получили мощный заряд для продвижения бренда
