На операторов связи, учрежденных банками, распространяются требования регуляторов не только телеком-сферы, но и финансовой отрасли. Операторам необходимо привести используемые ими ИТ-системы в соответствие ряду положений Банка России, требований ФСБ и ФСТЭК в целях обеспечения Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». В частности, регуляторы обязывают организации финансовой сферы проводить анализ уязвимостей прикладного ПО, которое используется в платежных и иных финансовых операциях. Исходя из требований данных положений в части анализа программного обеспечения на уязвимости и НДВ, актуальных угроз и результатов исследований, а также внутренних регламентов ВТБ Мобайл и требований Банка ВТБ (ПАО) оператор решил выбрать систему сканирования кода.
В рамках пилотных проектов было протестировано несколько ведущих сканеров кода, представленных на российском рынке. По итогам компания выбрала решение Solar appScreener, которое отличает поддержка наиболее широкого набора языков программирования, минимальный уровень ложноположительных срабатываний и максимально информативные отчеты. Кроме того, это единственное решение, способное выявлять уязвимости и НДВ не только в исходном коде, но и в исполняемых файлах, например, в приложениях, опубликованных в App Store и Google Play. Сканирование ПО на уязвимости с помощью решения «Ростелеком-Солар» занимает минуты, позволяет оперативно выявить и устранить выявленные нарушения до публикации программы в магазинах приложений и требует в разы меньших финансовых затрат по сравнению с другими методами анализа.
«Стратегией развития современного бизнеса является снижение издержек и переход от capex-затрат в операционные. Применение облачных технологий обеспечивает гибкость, оперативность и масштабируемость бизнеса. Сам же процесс разработки ПО заметно сокращается за счет использования open source библиотек, фреймворков, облачных сред. При этом размещение разработчиками мобильных и веб приложений в магазинах без качественной экспертизы защищенности, включая анализ исходного кода, приводит к эксплуатации уязвимостей и закладок злоумышленниками и ведет к финансовым, регуляторным и репутационных рискам. С помощью Solar appScreener мы построили автономный от ИТ-службы процесс выявления и устранения уязвимостей, повысив уровень защищенности наших веб и клиентских приложений. А использование анализатора в облачной модели позволило уйти от необходимости выделения серверных мощностей и от затрат на их администрирование», — отметил Евгений Владимирович Цирульников, директор по информационной безопасности ООО «ВТБ Мобайл».
ВТБ Мобайл — виртуальный оператор сотовой связи, запущенный в 2019 году банком ВТБ на базе сети и инфраструктуры «Tele2 Россия». Сервисы ВТБ Мобайл используют все желающие, вне зависимости от того, являются ли они клиентами банка ВТБ.
Даниил Чернов, директор центра решений безопасности ПО компании «Ростелеком-Солар»: «Облачная модель использования технологий уже давно стала повседневным явлением на Западе. Однако до недавнего времени российские компании предпочитали разворачивать системы защиты исключительно на собственных серверах. Сейчас мы видим постепенное изменение тренда: преимущества облаков становятся все более понятными отечественному бизнесу, и он начинает делать выбор в пользу надежных, прочно зарекомендовавших себя на рынке поставщиков облачных ИБ-сервисов».