Тренды кибербезопасности в финтехе — интервью руководителя направления Identity и Open API eKassir

prev
Архитектура сервисов: снижение трудозатрат и повышение безопасности
Главная > Статьи > Тренды кибербезопасности в финтехе — интервью руководителя направления Identity и Open API eKassir
Marketing 27.07.2023 7 минут (видео ► 10 минут) на чтение

Продолжая рассказ о прошедшем форуме по кибербезопасности Positive Hack Days 12, хотели бы поделиться интервью, которое дал РБК руководитель направления Identity и Open API компании eKassir Юрий Кардюков.

Наш коллега поделился объективными взглядами на векторы развития российского финтеха в части защиты конфиденциальной информации клиентов, а также рассказал, каким образом компания может эффективно обеспечить безопасность хранящихся у нее данных.

Вы можете посмотреть интервью или прочитать текстовую расшифровку.

— Добрый день, мы продолжаем открытой студии РБК в Парке Горького на фестивале по кибербезопасности Positive Hack Days и наш гость в студии, руководитель направления Identity и Open API, компания eKassir. Здравствуйте

— Добрый день!

— Юрий, хотели Вас спросить: какие меры защиты в области кибербезопасности применяются в решениях eKassir?

— Мы прежде всего вендор, разработчик ПО. У нас нет банковских данных и конфиденциальной информации о клиентах, которую необходимо защищать. Наша задача — построить безопасный процесс, который позволит производить, внедрять, передавать на поддержку и сопровождать программное обеспечение в организации. Основные стандарты, внедренные в наши процессы, прежде всего связаны с безопасной разработкой SDLC (Software Development Life Cycle). Этому компоненту уделяется огромное внимание и eKassir обладает набором сертификаций, это подтверждающих, — чем мы гордимся. Последние полтора-два года мы проходили сертификацию по стандарту защиты данных платежных карт PCI SSF. Это небыстрый циклический процесс: аудитор регулярно обращается к нашей работе, проверяет ее ход, оставляет замечания и рекомендации и так далее. Мы прошли все этапы сертификации и ждем утверждения нашего статуса Советом PCI SSF.

Второй момент: у нас стандартизирован процесс разработки. В первую очередь речь идет о code review, когда все правки проверяются и утверждаются несколькими специалистами, прежде чем уйдут дальше. Мы регулярно сканируем на ошибки и уязвимости как наш собственный код, так и сторонние фреймворки, которые подключаем. Невозможна ситуация, когда продукт с уязвимостью будет передан клиенту. eKassir тщательно проверяет все компоненты программного обеспечения и на этапе сборки заметит любую неточность.

Кроме того, eKassir обладает лицензией ФСБ на использование криптографических средств защиты в своих программных решениях. Наши клиенты — финтехи и банки, у них есть требования к конфиденциальности информации, и эта лицензия позволяет компании использовать криптографию для обеспечения их безопасности.

— Юрий, какое решение наиболее эффективно защищает корпоративную информацию от кибератак?

— Не существует одного решения, которое можно поставить и забыть о безопасности вообще. Дело всегда в комплексном подходе к защите. Например, eKassir предоставляет ИБ-решение Identity Platform, которое входит в Единый реестр российского ПО и выполняет две бизнес-функции. Аутентификация — все, что связано с учетной записью пользователя, биометрией, идентификацией и так далее — а также защита API, то есть реализация безопасности сервисов.

Однако Identity Platform прикрывает только часть ИТ-инфраструктуры, а для обеспечения безопасности по другим направлениям вам потребуются дополнительные решения. Сетевое оборудование, межсетевые экраны, системы фронт-мониторинга, системы сбора логов — только совокупность решений в комплексе может дать полноценную защиту ИТ-инфраструктуры бизнеса. Всем заниматься невозможно, и каждый вендор закрывает ту или иную задачу информационной безопасности своим ПО.

— Какие перспективные направления разработки Вы могли бы выделить на рынке?

— Если мы говорим о финансовом рынке, то его мотором выступает регулятор, Банк России. Из последних инициатив, внедренных регулятором, можно отметить Систему быстрых платежей, которая заходила на отечественный рынок долго и трудно, но сейчас уже немалое количество граждан пользуются СБП, потому что это выгодно. До 100 000 рублей переводы внутри системы не облагаются комиссией, что привлекает граждан.

Прямо сейчас развивается направление Open API. Это общемировой тренд, который пусть и медленно, но верно двигается в нашей стране. В 2022 году Банк России опубликовал «дорожную карту» внедрения Open API и согласно ней уже в следующем году открытые API на финансовом рынке станут обязательными. Нынешний год, по словам регулятора, — это время экспериментов с наборами интерфейсов, но на будущий год начнется поэтапное внедрение Open API. Не всем банкам это понравится, однако в конечном итоге все их клиенты окажутся в выигрыше.

— Какие политики и стандарты по кибербезопасности используют в eKassir?

— Напомню, что eKassir — компания, разрабатывающая ПО для клиентов. Напрямую с данными, требующими защиты, мы не работаем. Разумеется, сама разработка у нас защищена, сборка ПО проходит на отдельном ЦОДе, а само программное обеспечение получает все необходимые цифровые подписи и т. д. Поскольку нашей задачей является защита конфиденциальных данных клиентов, то мы следуем всем рекомендациям отрасли, в которой работаем. Речь о банковской сфере, где огромное внимание уделяется персональным данным и соответствующим регуляторным нормативам (Федеральный Закон № 152-ФЗ, Положение Банка России № 382-П и проч.). То есть мы ориентируемся как на общемировые стандарты безопасности данных, так и на постановления российских регуляторов.

— Юрий, спасибо Вам за ответы!

— Спасибо Вам.

next
Календарь мероприятий: Банкинг и Финтех.1 августа – 31 августа 2023 года