Читать iz.ru в
В ОТП Банке рассказали о реализации стратегии информационной безопасности, которая была принята еще в 2020 году в соответствии с требованиями ГОСТ для финансовых организаций и стандартов европейской материнской компании. Она состоит из пяти блоков: технические средства защиты и безопасность инфраструктуры; контроль доступов и анализ рисков; противодействие мошенничеству; построение Security Operations Center и обеспечение безопасности приложений.
За два года штат подразделения банка, отвечающего за информационную безопасность, вырос в 2,5 раза. Как отметили в банке, предпринятые действия позволили кредитной организации существенно повысить защищенность от хакерских атак в условиях значительно возросших в 2022 году рисков. Кроме того, банк значительно усилил меры по противодействию мошенничеству.
По словам начальника управления информационной безопасности ОТП Банка Антона Замараева, «общая сумма потерь от мошенничества уже снизилась больше чем в 20 раз, и это не предел: банк работает над реализацией системы кросс-канального антифрода, который будет учитывать все основные события, связанные с клиентом и его продуктами». «При этом банк в несколько раз сократил число транзакций, которые приходится останавливать из-за подозрительных действий. Этого удалось достичь благодаря перестроению продвинутой аналитической рисковой модели, учитывающей полный продуктовый профиль каждого клиента», — подчеркнул он.
В то же время в банке напомнили об инциденте с утечкой данных в минувшем октябре, когда злоумышленник организовал атаку на сервис дистанционного банковского обслуживания и похитил информацию о нескольких тысячах клиентов для дальнейшего шантажа банка. Однако, эти действия были своевременно идентифицированы и пресечены: получение хакером данных никак не повлияло на сохранность средств клиентов, недостаток приложения был устранен в тот же день. «Из данного случая уже сделали все необходимые выводы. Банк надлежащим образом сообщил об этом инциденте регуляторам и тесно сотрудничает с правоохранительными органами в рамках расследования. К сожалению, полностью исключить все риски невозможно по определению, и наша обязанность — это максимально быстро на них реагировать и защищать средства клиентов», — заявил Замараев.
Кроме того, в ОТП Банке рассказали о работе по обеспечению безопасности приложений. «Банк работает в условиях Agile, когда новая функциональность сервисов появляется каждые несколько дней, т.е. интенсивность разработки очень высокая», — отметили в кредитной организации. При этом, как подчеркнули в банке, в условиях конкурентной борьбы нельзя игнорировать вопросы киберзащиты: «следует искать оптимальные, но безопасные варианты реализации бизнес-задач».
«Мы реализуем концепцию Secure Software Development Lifecycle, используем как уже классические решения, например, Web application firewall для защиты веб-сервисов, так и достаточно новые технологии, например, обеспечивающие защиту и контроль микросервисных приложений. Мы также посчитали возможным использование публичного и частного облаков, а также подхода infrastructure-as-code», — добавили в ОТП Банке.