По данным ЦБ РФ на март 2024 года — в России свыше 300 банков. Среди них есть крупные, строящие целые экосистемы продуктов, в том числе нефинансовые. А есть не такие большие, но не менее амбициозные, которые хотят завоевать определенную долю рынка.
Сегодня в банковском B2C и B2B-сегменте сложно найти сервис, у которого нет веб-сайта или веб-приложения. Многие банки помимо основных веб-продуктов создают и поддерживают информационные, образовательные, карьерные проекты, привлекая тем самым большую аудиторию к своим услугам.
Однако у небольших банков, в отличие от лидеров, меньше материальных и человеческих ресурсов, нужных для разработки и поддержки веб-продуктов. Конкурентное преимущество таким банкам в перспективе может дать использование облачных сервисов.
При поддержке веб-приложений компании сталкиваются с целым рядом проблем
Особо остро стоят вопросы дефицита ресурсов, невозможности оперативного масштабирования при росте легитимной нагрузки и обеспечения информационной безопасности.
Нехватка ресурсов для поддержки веб-приложений
Ограниченное финансирование, недостаток инфраструктуры, отсутствие или перегруженность ИБ-специалистов — всё это может привести к ухудшению производительности веб-приложения, частым сбоям и проблемам безопасности.
Веб-приложения требуют постоянного мониторинга, обновления и оптимизации для обеспечения корректной работоспособности и соответствия современным технологическим требованиям. Отсутствие необходимых ресурсов создает преграды для развития веб-ресурса и его успешного функционирования.
Проблема масштабирования под легитимной нагрузкой
Поведение пользователей невозможно предсказать, а с ростом проникновения цифровых каналов взаимодействия, веб-приложения банка стали ключевой точкой контакта с аудиторией. Геополитические события, изменения на финансовых рынках и любой другой позитивный или негативный новостной фон могут привести к кратному росту посещаемости сайтов и приложений. Если число легитимных пользователей или запросов начнет резко увеличиваться, но веб-приложение не будет готово к этому, инфраструктура может не справиться с нагрузкой. Снизится производительность веб-ресурсов, или они вообще станут недоступны.
Оперативное масштабирование веб-приложения под легитимной нагрузкой с быстрым увеличением вычислительных и сетевых ресурсов — важнейший процесс для обеспечения корректной работы веб-приложения. Также при оперативном масштабировании веб-приложения необходимо обеспечить бесперебойную работу ресурса во время процесса масштабирования, минимизировав время простоя и обеспечив отказоустойчивость.
Обеспечение информационной безопасности веб-приложений
В связи с развитием технологий веб-приложения становятся все более уязвимыми к различным видам хакерских атак. Современные процессы разработки предполагают непрерывные обновления и улучшения, поэтому отследить появление уязвимостей на этапе дизайна становится всё сложнее. Недостаточно эффективные меры киберзащиты приводят к серьезным последствиям, таким как утечка конфиденциальной информации, потеря данных, недоступность веб-приложения для пользователей.
В последние годы отмечается тренд на усложнение логики атак и их миграция на уровень приложений (L7). Сейчас надежная защита — необходимость: надо эксплуатировать СЗИ, постоянно мониторить и анализировать фон киберугроз, интегрировать различные системы безопасности. ИБ становится весомой статьей расходов любой компании, а особенно банка.
Осознавая высокий уровень защиты финансовых организаций, злоумышленники тщательно изучают потенциальную жертву. Они регулярно сканируют веб-приложения и ищут в них слабые места, чтобы проводить точечные и болезненные серии атак:
- ограничивать доступ к веб-приложениям с помощью DDoS-атак;
- взламывать сайты и внедрять вредоносный код;
- использовать ботов для извлечения с веб-ресурса нужных данных или для увеличения стоимости его эксплуатации.
Руководители ИТ в банках понимают, как важно обеспечивать надежную защиту и доступность веб-приложений, поэтому, чаще всего, в штате есть люди, которые занимаются вопросами безопасности. Однако внутренние специалисты не смогут справиться со всеми критическими ИБ-инцидентами, так как обычно специализируются на определенных задачах. Для эффективного противодействия целевым атакам требуется обширный опыт и знания в области киберзащиты — специалисты, которые ежедневно сталкиваются с новыми видами и методами атак.
Публичные облачные решения как экономия времени, денег и нервов
Некоторые финансовые организации не могут построить внутри себя полный цикл разработки продуктов или ИБ-отдел. Использование облачных сервисов в перспективе может дать им конкурентное преимущество. Облака выгодны для небольших, но быстро развивающихся компаний с ограниченными материальными и человеческими ресурсами. Они позволяют экономить на развертывании дорогостоящей инфраструктуры и найме в штат квалифицированных ИБ-специалистов.
Использование облаков дает ряд преимуществ:
- снижает затраты на приобретение и обслуживание собственного серверного оборудования, а также на поиск, найм и заработную плату ИБ-специалистов;
- обеспечивает эластичность и масштабируемость вычислительных мощностей компании в зависимости от текущих потребностей и в моменты пиковых нагрузок;
- обеспечивает доступность и надежность веб-приложения на серверах провайдера, что гарантирует бесперебойную работу веб-сервисов компании в любое время суток;
- ускоряет внедрение новых технологий без долгой настройки серверного оборудования;
- помогает обезопасить данные— облачные провайдеры обеспечивают высокий уровень защиты информации, благодаря использованию современных технологий шифрования и аутентификации.
Почему банкам сложно использовать публичные облака и что они из-за этого теряют
В условиях современной конкуренции и насыщенности финансовых рынков, банкам стратегически важно становиться продуктовыми компаниями. Для успешной работы им нужно постоянно отслеживать возникающие и закрывающиеся возможности, собирать обратную связь и оперативно трансформировать продукты под потребности пользователей, следовать жестким регуляторным требованиям — и всё это в условиях горящих сроков и при недостатке высоко квалифицированных кадров.
Публичные облачные решения могут дать банкам ряд преимуществ в гибкости, доступности, масштабируемости и цене. Однако миграция финансовых организаций в публичные и частные облака — серьезный шаг, на который тяжело решиться.
Самые сложные отношения у банков с публичными облаками. С точки зрения Центрального банка РФ, который контролирует информационную безопасность в финансовой сфере, веб-технологии должны соответствовать 152 ФЗ, ГОСТ Р 57580 и другим регуляторным стандартам, в зависимости от деятельности конкретной компании. Также многие финансовые организации, несмотря на международные ограничения, ориентируются на мировой стандарт PCI DSS. Всё это должно обеспечивать надлежащий уровень защиты чувствительной информации.
Однако трансформация стандартов безопасности отстает по скорости от появления новых технологий. Многие регламенты всё еще не учитывают наличие такой технологии, как облачные сервисы, и прописывают использование конкретных архитектурных решений, обращаясь при этом к технологиям «вчерашнего дня».
Постепенно требования регуляторов и регламенты ужесточаются. Сейчас в Госдуме рассматривают закон об оборотных штрафах. Такая мера действительно может дополнительно стимулировать на внедрение мер киберзащиты. Однако есть проблема — в настоящее время на рынке кадровый «голод», найти квалифицированных ИБ-специалистов сложно.
Помимо серьезных требований регуляторов и дефицита кадров есть еще одна проблема — отсутствие доверия к облачным провайдерам со стороны финансовых организаций. Однако в 2023 году стало понятно, что ситуация меняется — компании стали всё чаще мигрировать на российские облачные решения. По мнению международного консалтингового агентства iKS-Consulting рынок облачных услуг находится на этапе бурного роста. Объем российского рынка облачных инфраструктурных сервисов в 2022 году составил 90,6 млрд руб., показав рост на 47% к предыдущему году. В 2023 году рынок, по оценкам iKS-Consulting, достиг отметки в 121 млрд рублей, а к 2027 году он по прогнозу должен увеличиться до 306,3 млрд рублей.
Некоторые банки уже используют публичные облачные решения, но без раскрытия трафика — и это неэффективно
Некоторые банки в качестве компромиссного решения всё же используют публичные облака, но не расшифровывают свой HTTPS-трафик на узлах провайдера. Когда трафик проходит через инфраструктуру провайдера без раскрытия TLS/SSL-сертификата, он остается зашифрованным. Так можно избежать проблем с соблюдением жестких требований ИБ, но в этом подходе есть минусы.
Конфиденциальная информация остается скрытой и пропуск трафика через сеть фильтрации не нарушает политику безопасности клиента, но это лишь мнимая безопасность. На самом деле, эффективность защиты веб-приложения при таком подходе снижается. Провайдер не имеет доступа к запакованным данным и не может анализировать содержимое.
Также в данном случае обработка запросов происходит на бэкенде, и главный козырь облака — возможность эластичного масштабирования при резком росте нагрузки — утрачивает свой смысл. Часто внутри инфраструктуры заказчика ставится агент, который может стать тем самым узким горлышком, куда будут нацелены атаки. При мощной атаке на уровень приложений инфраструктура просто не справится с большим количеством запросов.
Даже признанные глобальные лидеры рынка облачной защиты вроде Akamai и Cloudflare отказываются от такого подхода и не рекомендуют его. Они предпочитают осуществлять раскрытие зашифрованного трафика банковских приложений внутри собственного облака, сертифицированного по стандарту PCI DSS.
Как начать эффективно использовать публичные облака
Строгие требования регуляторов к финансовым продуктам и чувствительным данным ограничивают банки в использовании современных технологий. Однако протестировать облачные решения можно на нефинансовых проектах, которые не попадают под пристальное внимание регуляторов. Речь идет об образовательных, карьерных, спортивных, развлекательных, информационных и других проектах, которыми управляют банки.
Например, у Россельхозбанка есть цифровая экосистема «Своё». Это несколько сервисов, которые объединяют представителей агробизнеса и жителей сельской местности. Здесь можно покупать и продавать фермерскую продукцию, искать вакансии, курсы и стажировки в сфере сельского хозяйства, путешествовать по России с турами от фермеров и не только.
А вот МодульБанк развивает отдельное направление для владельцев кофеен — платформу CafeStore. Начинающим предпринимателям обещают помочь разработать финансовую модель, документацию и брендбук проекта, а также помочь закупить кофе, оборудование и другие товары для кофеен по выгодной цене.
Руководители ИТ в банках могут внедрить облачные решения на подобных нефинасовых проектах и опробовать облака в действии.
Сейчас всё больше компаний мигрирует в публичные облака
ИТ-директорам в банках стоит присмотреться к этой тенденции.
Во-первых, облачные сервисы обеспечивают три основных аспекта информационной безопасности: конфиденциальность, целостность и доступность.
Во-вторых, банки, как и многие организации, живут в логике длительных циклов закупки, проектирования, модернизации — для них будет плюсом использование эластичных в управлении веб-ресурсов. Облачные сервисы помогут снизить затраты на закупку оборудования для масштабирования собственной инфраструктуры и сделать её более гибкой.
В-третьих, у провайдеров богатый опыт в информационной безопасности и высоко квалифицированные ИТ и ИБ-специалисты, что очень ценится при нынешнем кадровом «голоде».
Вопрос о том, стоит ли доверять облачным сервисам, остается на усмотрение каждой организации. И если CIO банка хочется довериться облачному провайдеру, но мешают жесткие требования регуляторов, можно начать тестирование облачных решений на нефинансовых проектах.
Автор – Кирилл Салов, директор по развитию NGENIX.
Оригинал публикации на сайте CISOCLUB: "Облачные решения как конкурентное преимущество небольших, но развивающихся банков: вектор на безопасность и масштабируемость веб-приложений".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
