Дочерний банк российского «Альфа-Банка» в Казахстане для повышения безопасности разрабатываемых приложений использует статический анализатор кода Solar appScreener компании «Ростелеком-Солар». На базе инструмента SAST-анализа специалисты банка выстраивают процесс безопасной разработки (SDLC), в рамках которого сканер помогает своевременно выявлять и устранять уязвимости в коде. Проект реализован при поддержке партнера AST Cyber Lab.
Служба информационной безопасности «Альфа-Банка Казахстан» применяет Solar appScreener для анализа защищенности широкого пула приложений, образующих единую экосистему – от клиентских мобильных и веб-сервисов до внутренних бизнес-систем. От уровня безопасности каждого компонента зависит защищенность всего комплекса применяемого в банке ПО, через которое непрерывно циркулирует конфиденциальная информация.
Обрабатываемый массив данных требует высокого уровня защищенности, так как содержит чувствительную информацию о клиентах банка – физических и юридических лицах. К ней относятся данные удостоверения личности; биометрия; подпись; номер телефона; печати, факсимиле, сведения для идентификации/аутентификации/авторизации; данные, связанные с оказанием банком услуг (проведение операций, заключение сделок, выполнение действий), номера платежных карточек, банковских счетов, платежные, кассовые и иные документы.
«Для минимизации рисков, связанных с нарушением работы приложений и конфиденциальности обрабатываемой информации, мы выбрали решение вендора “Ростелеком-Солар”. На выбор повлияли универсальность и количество поддерживаемых языков программирования, качество сервисной поддержки, простота применения продукта, репутация вендора на рынке и пул закрываемых в рамках одного решения задач, – Смиркин Сергей Александрович, начальник Управления защиты информации «Альфа-Банк Казахстан». – Поскольку специалисты по разработке постоянно проводят анализ кода – и до вывода приложения в эксплуатацию, и после – простота работы с продуктом стала одним из преимуществ, в котором мы смогли сразу убедиться».
Обеспечение высокого уровня защищенности – один из важных параметров оценки качества разрабатываемых цифровых продуктов банка. Наряду с этим, разрабатывая новый продукт или обновляя текущую версию, необходимо подтвердить соответствие системы требованиям регуляторов в области защиты информации. Зачастую это увеличивает сроки вывода новых сервисов или функциональных возможностей на рынок, что в определенной степени способно повлиять на распределение сил в конкурентной гонке и объем генерируемой прибыли.
«Банковский сектор отличается чрезвычайно высокими требованиями к безопасности. Эта отрасль, в которой ценой ошибки может стать риск потери высокоприбыльного бизнеса. Поэтому банки одними из первых внедряют все ноу-хау и лучшие практики кибербезопасности – в первую очередь для защиты обрабатываемой информации и обеспечения безотказности работы сервисов, – отмечает Даниил Чернов, директор центра Solar appScreener компании «Ростелеком-Солар». – Важно, что SAST-анализ помогает соблюсти баланс между обеспечением высокой защищенности приложения и его быстрым выводом до конечного пользователя».
Применение SAST-анализа в рамках SDLC снижает дополнительные риски, связанные с выявлением уязвимостей на этапе эксплуатации. Эти риски традиционно выражаются как в репутационном ущербе, так и финансовом. К последнему относятся расходы на выявление проблем (Bug Bounty и др.), обработку клиентских обращений, сборку и вывод новой версии приложения, потеря прибыли, связанная с оттоком клиентов, а также бюджеты на антикризисные маркетинговые и PR-активности, если инцидент стал публичным.