Сьогодні цифрові технології проникають у всі сфери нашого життя, тому захист особистих даних – важлива складова у роботі будь-якої компанії, особливо якщо вона працює у сфері фінансів.
Ми у NovaPay розуміємо, що безпека коштів наших клієнтів – це наша першочергова мета. Тому системи кіберзахисту – для нас не побажання, а стандарт роботи. Ми інвестуємо в цей напрям третину нашого ІТ-бюджету, щоб наші клієнти знали, що їхні гроші та дані – під надійним захистом. Розповідаю, що саме для цього робимо.
Багаторівнева «броня»
Ми плануємо архітектуру наших ІТ-систем таким чином, наче будь-якої миті вони можуть опинитися або під потужною DDoS-атакою або під кібератакою. Як-то кажуть, краще перестрахуватися, ніж долати наслідки.
Ми керуємось принципом zero trust – нульової довіри. Це означає, що системи та їхній захист будуються по принципу відсутності довіри до будь-чого.
Будь-яка транзакція, інтеграція та особистість для нас – це потенційна загроза. Це значить, що абсолютно уся взаємодія між інформаційними системами, інтеграції з партнерами та доступ користувачів (як зовнішніх, так і внутрішніх) – максимально захищені.
Ми будуємо системи кіберзахисту NovaPay за принципом ешелонованого захисту. Такий підхід забезпечує багаторівневий захист і дає змогу ізолювати компоненти систем та мінімізувати ризики зламу і витоку інформації.
Маємо такі рівні:
- Захист периметра (первинний захист): захист зовнішніх мереж і точок взаємодії з системою. Ми використовуємо комплексні рішення, які покривають безпеку вебзастосунків (Web Application Firewall), забезпечують захист від DDoS-атак та безпеку периметра.
- Захист застосунків і внутрішнього контуру (середній захист) – найцікавіша історія. Це і планування захисту мережі, і рішення з шифрування, і антивірусний захист, контроль потоків даних та SIEM-система.
- Кінцевий рівень (глибокий захист): захист пристроїв, застосунків і даних. Наша система будується за принципом Secure-by-Design. Це означає, що ще на етапі проєктування вони проходять Security review – ми перевіряємо, чи коректно ухвалили технічні рішення з урахуванням ризиків інформаційної безпеки.
Цей підхід дає змогу NovaPay забезпечити повний та комплексний захист своїх інформаційних активів на різних рівнях, допомагає мінімізувати ризики. Бо тоді, коли в світі зазвичай у кібербезпеку інвестують десь 10% від бюджету ІТ, у нас це – близько 34%.
Платіжний застосунок, сертифікати безпеки та законодавчі вимоги
З огляду на те, що надійність клієнтських операцій для нас – пріоритет № 1, ми маємо не тільки внутрішні стандарти безпеки, а й керуємося зовнішніми. NovaPay має чинний сертифікат PCI DSS (стандарт безпеки для індустрії платіжних карток) та повністю відповідає правилам щодо кіберзахисту від Національного банку України.
Payment Card Industry Data Security Standard (PCI DSS) для нас не тільки сертифікат із захисту конфіденційних даних та інформації платіжних карток. Це універсальний стандарт з інформаційної безпеки, який дозволяє довести процеси до рівня зрілості.
Ми пішли трохи далі та розширили вимоги стандарту PCI DSS на всі інформаційні системи компанії. Це означає, що всі сервіси NovaPay відповідають вимогам міжнародних платіжних систем.
Ви можете сміливо сплачувати чи переказувати кошти за послуги й товари звичайною карткою, у застосунку, за допомогою Apple чи Google Pay, не остерігаючись шахрайства, адже сертифікація PCI DSS підтверджує, що ваші гроші у безпеці на кожному етапі платежу.
Завжди думаючи про безпеку клієнтських коштів і зважаючи на поточний порядок денний і ризики, ми щороку робимо перегляд стратегії кібербезпеки.
Наприклад, нещодавно ми дуже швидко спроєктували додатковий контур захисту в застосунку NovaPay на основі скорингу Device ID. Якщо простіше, то на пристрої потенційного зловмисника неможливо буде навіть зайти у застосунок без додаткової верифікації.
Захист ізсередини
Для кожної компанії однією із загроз кібербезпеці є співробітники, їхні робочі станції та доступи. Щоб зменшити ці ризики, працюємо і в цьому напрямі. Контролюємо доступи співробітників. У кожній із систем вони суворо регламентовані.
Окремо маємо захист кінцевих робочих станцій і процеси інформаційної безпеки. Це комплекс мір, починаючи від рольової моделі доступу кожного співробітника й закінчуючи рішенням для шифрування даних, антивірусним захистом та комплексною системою захисту від витоку інформації. А забезпечення віддаленого підключення за допомогою багатофакторної автентифікації є стандартом.
Але намагаємось будувати процеси так, щоб не заважати роботі колег. Для обмеження доступів оцінюємо ризики щодо кожного ІТ-сервісу, інформаційної системи за класичним підходом: конфіденційність, цілісність, доступність. Де цих ризиків більше – там правила жорсткіші. Ця історія переглядається щонайменше раз на квартал.
«Прилетіти може будь-якої миті», або Відновитись за 15 хвилин
Ми будуємо нашу стратегію кіберзахисту за принципом «прилетіти може будь-якої миті».
Працюємо в режимі жорстких SLA, де діє жорсткий принцип – відновлення роботи за 15 хвилин. Тому ми періодично влаштовуємо так звані навчання – тестування плану безперервної діяльності.
Щокварталу ми робимо тести на проникнення – імітуємо в реальному часі хакерську атаку за принципами Black Box та White Box (умовно коли атакуючий не знає нюансів про нашу систему або ж навпаки знає, як все влаштовано).
Також моделюємо ситуації, коли одна команда акумулює атаку, а друга її відбиває. За результатами кожного зі сценаріїв ми вносимо покращення до наших ІТ-систем. Бо не маємо права на помилку й небезпеку для клієнтів.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
Редакція не несе відповідальності за інформацію, викладену у блогах. Це особиста думка автора.