Госдума ужесточила санкции за утечку персональных данных. Теперь штрафы достигают 15 миллионов рублей, а в случае повторной утечки компании будут вынуждены платить уже оборотные штрафы. Эта новость особенно важна для бизнеса, который напрямую несёт ответственность не только за персональные данные, но и за финансы клиентов. Разберёмся, как избежать проблем и убытков при помощи грамотного построения безопасной разработки.
Финансовый сектор — один из самых регулируемых в мире, в котором особое внимание уделяется защите финансовых активов физических и юридических лиц. С ростом зависимости от количества используемых технологий, длинных цепочек поставок и цифровизации бизнеса соблюдение требований по обеспечению безопасности приложений становится ещё более критичным, чем когда-либо.
Несоблюдение этих требований может привести к значительным потерям: как финансовым, так и доверия клиентов. Так, согласно исследованию IBM «Cost of Data Breach Report» за 2024 год средняя стоимость утечки данных по финансовому сектору в мире постоянно растёт и за последний год выросла на 3%. При этом суммарная стоимость потерь бизнеса в результате успешных атак выросла почти на 11% по сравнению с 2023 годом. Потери бизнеса включают в себя потерю выручки из-за простоя в работе сервисов, стоимость оттока активных клиентов и принесённый ущерб репутации (рис.).
Рисунок. Средняя стоимость утечки данных (млн долл. США)
Однако отказоустойчивость сервисов не единственный показатель, важна и сохранность информации (персональные данные, финансовые операции, коммерческая тайна). Так, Россия уже несколько лет находится в лидерах мирового антирейтинга среди стран по количеству утечек персональных данных. Об этом, кстати, свидетельствует рост предложений по украденным базам на теневом рынке.
К счастью, мы видим, что компании всё больше внимания уделяют практикам безопасной разработки и начинают активнее принять меры, руководствуясь наилучшими практиками. К слову о наилучших практиках: 20.12.2024 введён в действие ГОСТ Р 56939-2024 — последняя редакция одного из основополагающих документов по разработке безопасного ПО. Компаниям, которые только начинают свой путь построения безопасной разработки, рекомендуем прежде всего ориентироваться именно на этот документ.
С чего начинается развитие РБПО?
Если говорить о первоочередных шагах, в первую очередь организация должна определить перечень предъявляемых ей регулятором требований. В отличие от других секторов, финансовый сектор строго контролируется регулирующими органами РФ. Разработчики ПО обязаны выполнять ряд требований по закону, необходимо применять сертифицированное ПО или ПО, которое соответствует ОУД (оценочному уровню доверия).
Следующим шагом будет определение отправной точки. Для этого необходимы аудит и оценка уровня зрелости текущих процессов РБПО. Аудит и оценку можно проводить и собственными силами, например, руководствуясь как международными стандартами (BSIMM, OWASP SAMM, Microsoft SDL, NIST SP 800-64), так и отечественными (ГОСТ Р 56939-2024, ГОСТ Р 71207-2024). При детальном рассмотрении большая часть международных стандартов основывается на одной и той же базе, и лишь немногие представляют собой специфические рекомендации и практики в зависимости от направленности конкретного стандарта. У каждого есть свои преимущества и недостатки, так как же нам понять, с чего начать?
Применение стандарта в российских условиях требует от компаний осознанного подхода. Важно понимать, что в вышеперечисленных международных стандартах не учитывается специфика российского рынка. Компании из финансового сектора могут сочетать элементы разных моделей для создания дорожной карты развития инициатив РБПО, соответствующей их уникальным потребностям, и гибко адаптировать лучшие мировые практики к российским реалиям. Не у всех есть необходимый набор компетенций, а зачастую и время, чтобы разбираться предметно в вопросе.
Подход к консалтингу
По нашему опыту, внедрение вышеперечисленных стандартов или их комбинаций базируется на трёх основных элементах:
Из этих элементов складывается корпоративная культура безопасной разработки, и в разрезе этих трёх ключевых элементов проводится аудит/оценка отправной точки.
Под технологиями мы подразумеваем прежде всего используемые в компании инструменты жизненного цикла безопасной разработки таких классов, как OSA, SCA, SAST, DAST, MAST, CS, ASPM.
Наличие любого инструмента, используемого в конвейере разработки, невозможно без людей. Именно люди обладают навыками, опытом и компетенциями, необходимыми для корректного и эффективного использования инструментов. Инструмент бесполезен без знаний о том, как его правильно установить, настроить и интегрировать в производственный цикл. Без опыта и экспертизы обработки результатов сканирования технический долг команд разработки будет только расти от релиза к релизу.
Одной из самых острых проблем сегодня является дефицит квалифицированных сотрудников, поэтому крайне важно не только оценивать текущие навыки и компетенции сотрудников, но и сформировать программу обучения специалистов. Обучение поможет устранить имеющиеся пробелы знаний в области безопасной разработки и облегчить адаптацию новых сотрудников.
Для обеспечения эффективной передачи экспертного опыта зачастую компаниям необходимо пересмотреть свою текущую ролевую модель с целью определения недостающих ролей, а также формирования налаженного процесса взаимодействия между структурными единицами. Наличие знаний в головах, безусловно, хорошо, однако не хватает последней составляющей — чётко выстроенного процесса, в основу которого ложится регламентирование и методологическое сопровождение. Без отработанных процедур невозможно добиться эффективной и результативной работы практик безопасной разработки.
Подытожим
Развитие практик РБПО актуально для финансовых организаций любой категории, но применимо в разном объёме, есть индивидуальные особенности. Организациям, внедряющим практики РБПО, необходимо сфокусироваться на нескольких ключевых элементах:
На начальном уровне основные процессы и регламенты безопасной разработки в небольшой компании можно выстроить приблизительно за один год при должном уровне экспертного опыта специалистов. Достижение зрелого состояния безопасной разработки занимает, по нашему опыту, около трёх лет, но здесь всё может быть сильно индивидуально.
Реклама. ООО «СВОРДФИШ СЕКЬЮРИТИ», ИНН: 7842496093, Erid: 2VfnxxFoEoJ
.png)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
