По данным Центробанка, в 2023 году микрофинансовые организации (МФО) выдали заёмщикам более 1 триллиона рублей. Согласно статистике, дистанционные каналы обслуживания — самый предпочтительный метод получения займов. В 2023 году доля онлайн-займов выросла до 75%. В 60% случаев всё взаимодействие клиента и МФО осуществляется через сайт или приложение.
Это означает, что веб-сайт — ключевой инструмент для успешного функционирования микрофинансовой организации и её конкурентоспособности.
Каким должен быть эффективный и конкурентоспособный веб-ресурс МФО?
Во-первых, веб-ресурс должен быть быстрым. Потребители микрофинансовых продуктов нередко оказываются в обстоятельствах, которые требуют быстрого решения. Если приложение работает медленно, МФО столкнётся с повышенным оттоком пользователей: потенциальные клиенты уйдут к конкурентам. Медленная загрузка веб-страниц вкупе с ростом трафика отказов негативно влияет на позиции в поисковой выдаче и значительно снижает видимость МФО в публичном инфопространстве.
Во-вторых, веб-ресурс должен быть устойчив к высоким нагрузкам легитимного и/или нелегитимного трафика. Сезонные события могут повлечь наплыв заёмщиков и рост легитимной нагрузки. Если приложение не выдержит её, клиенты уйдут к конкурентам. Высокий уровень нелегитимной нагрузки генерируют мощные DDoS-атаки, и потеря доступности сайта или приложения из-за DDoS-атаки также может мотивировать пользователей выбрать конкурента.
В-третьих, веб-ресурс должен быть надёжно защищён от взлома извне. Последствия взлома, дефейса сайта или утечки персональных данных могут спровоцировать реальные денежные убытки и потерю потенциальной выручки.
Каковы риски кибербезопасности для МФО?
Финансовые веб-ресурсы и приложения постоянно находятся под угрозой: киберинциденты в кредитно-финансовом секторе, по данным Solar JSOC, в 2023 году составили 20% от общего выявленного числа инцидентов.
Риски ИБ для МФО разнообразны.
То есть от того, насколько веб-ресурсы МФО способны выдержать растущий уровень угроз, может напрямую зависеть её прибыльность ив целом сама возможность организации вести коммерческую деятельность.
С какими угрозами безопасности сталкиваются современные веб-ресурсы?
Одна из наиболее серьёзных угроз — DDoS-атаки. По нашим оценкам, организации сегмента МФО зачастую ограничиваются встроенными средствами защиты от DDoS на уровне канала связи от регистратора доменных имён или оператора связи. Это не спасает от сложных атак на уровень приложений.
Всё больше неприятностей доставляют нежелательные боты — автоматизированный низкочастотный трафик, проходящий ниже традиционных радаров средств защиты. Их цель — это веб-ресурсы, которые имеют сложную логику, например, предполагают механизм аутентификации. Управляющая сложным ботом команда способна быстро адаптироваться и избегать обнаружения. Ущерб может быть ощутимым: из-за роста паразитной нагрузки (до 50% от общего трафика) растут расходы на инфраструктуру. Такое явление, как SMS-бомбинг, при котором запрашиваются коды подтверждения на несуществующие номера, может приводить к миллионным тратам ежемесячно. Также боты могут использоваться для поиска уязвимостей, подбора паролей к учётным записям.
С эксплуатацией уязвимостей, взломов и последующей утечки данных связано более трети всех кибериндицентов в финсекторе, они имеют серьёзные последствия для всей организации в части регуляторных рисков, а с принятием «закона об оборотных штрафах» возрастут и прямые убытки. Для отражения таких атак требуются специализированные решения, а настройка и управление ими осуществляются высококвалифицированными ИБ-специалистами.
Как решить проблему защиты веб-ресурса, не нанимая ИБ-специалистов?
Команды веб-ресурсов МФО сталкиваются практически с теми же угрозами, что и популярные ecommerce-игроки, и онлайн-присутствие в такой же мере влияет на прибыльность и жизнеспособность бизнеса. Если сравнить спектр вызовов МФО с банками, то первые намного более чувствительны к оттоку клиентов, чем банки, но при этом несут сопоставимые регуляторные риски.
При этом команды микрофинансовых организаций особенно остро ощущают дефицит кадров ИБ и имеют меньше ресурсов для привлечения и удержания специалистов по ИБ, зачастую ограничиваясь только специалистами по оценке рисков для выполнения регуляторных требований, которые не могут иметь настолько всеобъемлющего экспертного опыта в ИБ, чтобы выбирать, внедрять, настраивать и поддерживать сложные СЗИ.
Облачные сервисы защиты могут решить насущную для команд МФО проблему без необходимости иметь ИБ-специалиста в штате. На то есть несколько причин.
1. Высокая ёмкость
Облачный провайдер способен предоставить эластичную веб-инфраструктуру, способную принять любую легитимную и нелегитимную нагрузку. Это защитит веб-ресурс как от мощных DDoS-атак более 1 Тбит/c, так и от непрогнозируемых наплывов легитимных пользователей.
2. Встроенные комплексы защиты от кибератак
Внутри облачной платформы уже интегрированы необходимые сервисы защиты, например антибот- и AntiDDoS-системы, ПО для защиты от взлома. Отсекая нелегитимный трафик на различных эшелонах защиты, они снижают нагрузку на инфраструктуру заказчика. Работу разных СЗИ можно контролировать в режиме единого окна, не нанимая отдельные специализированные команды.
3. Управляемость и прозрачность
Чтобы всегда иметь полное представление о том, как чувствует себя веб-ресурс, доступна наглядная аналитика в режиме реального времени, что позволяет быстро принимать правильные решения.
4. Компетенции
В команде провайдера накапливается обширный экспертный опыт на основе множества кейсов с различными клиентами. Его крайне трудно и дорого собрать в рамках собственной ИТ-команды. Настроив эффективное и открытое взаимодействие с командой провайдера, можно профессионально решать задачи защиты, не имея ИБ-компетенций в штате.
Что нужно сделать, чтобы начать пользоваться облаком для защиты веб-ресурсов?
Итак, вы решились выбрать облачного провайдера для защиты своего веб-приложения. Что необходимо сделать, чтобы наиболее эффективно использовать облачные СЗИ?
1. Знайте свой трафик
Несмотря на то что облачные СЗИ работают в автоматическом режиме, нужно понимать свой реальный трафик. Чтобы СЗИ правильно обучились отражать атаки или блокировать нелегитимные запросы без ложнопозитивных срабатываний, провайдер должен знать, что является аномалией, а что нет, — а это может подсказать только заказчик.
2. Обсудите сферу ответственности провайдера «на берегу»
Немногие заказчики, по нашему опыту, перед подписанием договора внимательно изучают положения SLA и понимают уровень ответственности провайдера, а это очень важно. Нужно оценить уровень технических компетенций команды, которая будет взаимодействовать с провайдером. Из этого станет понятно, стоит ли дополнительно привлекать экспертов контрагента для решения дополнительных задач (например, настройки WAF).
3. Архитектурно разделите приложение
Необходимо найти баланс между требованиями регуляторов в части хранения персональных данных и обширными возможностями публичного облака. Лучшая практика — архитектурно разделить приложение таким образом, чтобы его публичная часть, которая зачастую является высоконагруженной, защищалась облачным провайдером, а критичные данные хранились и защищались внутри собственной on-premise-инфраструктуры. Монолитный легаси-код — это основная проблема при интеграции с облаком.
Реклама. ООО «ССТ», ИНН: 7708502667, Erid: 2VfnxwSdN9E
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных