Информационная безопасность финтех-компаний

Финтех-инфраструктура, как правило, строится на современных технологических стэках и включает несколько критически важных компонентов, каждый из которых требует собственного подхода к защите:

• облачные платформы и контейнерные среды — основа масштабируемости и гибкости, но одновременно источник рисков, связанных с ошибками конфигураций и доступов;
• микросервисы и API — ключевой элемент цифровых продуктов и интеграций с партнерами, через который часто реализуются целевые атаки;
• процессы CI/CD — цепочка поставки программного обеспечения, уязвимости в которой позволяют внедрять вредоносный код на ранних этапах;
• транзакционные и биллинговые сервисы — критичные бизнес-процессы, напрямую влияющие на доход и доверие пользователей;
• персональные и финансовые данные клиентов — актив, утечки которого приводят к штрафам, судебным рискам и репутационным потерям.

Эффективная защита финтех-платформы невозможна без учета взаимосвязи всех этих элементов.

Для финтех-компаний характерен особый набор рисков, связанных с высокой степенью автоматизации и открытости инфраструктуры. Наиболее часто встречаются следующие сценарии:

• атаки на API и бизнес-логику сервисов, позволяющие злоумышленникам обходить проверки и манипулировать транзакциями;
• компрометация облачных конфигураций, приводящая к несанкционированному доступу к данным и сервисам;
• внедрение вредоносного кода через CI/CD, в том числе при использовании сторонних библиотек и инструментов;
• мошенничество с транзакциями, связанное с автоматизацией платежных процессов;
• сбои и недоступность цифровых сервисов, напрямую влияющие на рост и удержание пользователей.

Подобные инциденты быстро становятся заметны рынку и напрямую отражаются на доверии клиентов и партнеров.

Базовые законы

• Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных»

Обязывает финтех-операторов (как обработчиков ПДн) принимать правовые, организационные и технические меры по защите персональных данных клиентов от неправомерного доступа, утечки, уничтожения и иных угроз.

• Федеральный закон от 26.07.2017 № 187‑ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Требует от финтех-компаний, чьи системы входят в КИИ, категоризировать объекты, разрабатывать меры защиты и уведомлять ФСТЭК/ФСБ о инцидентах в течение суток.


Нормативные акты Банка России по ИБ

• Положение Банка России от 20.04.2021 № 757‑П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков»

Обязывает НФО (включая МФО, ОФП, платформы ЦФА) обеспечивать защиту на технологических участках (идентификация, передача сообщений, операции) на минимальном или стандартном уровне по ГОСТ Р 57580.1‑2017 с анализом рисков и ежегодным тестированием.

• Положение Банка России от 17.04.2019 № 683‑П (для банков и некоторых НФО)

Устанавливает требования к защите информации в банках и финтех-структурах с ежегодным тестированием на проникновение, оценкой уязвимостей и использованием сертифицированного ПО в зависимости от значимости организации.

• Проект изменений в Положение № 757‑П (от 2023, применяется к МФО с онлайн-займами)

Расширяет на МФО минимальный уровень защиты по ГОСТ Р 57580.1‑2017 (более 200 мер), включая ежегодное тестирование инфраструктуры на проникновения, анализ уязвимостей и устранение выявленных рисков.


Стандарты и ГОСТы для финансовых операций

• ГОСТ Р 57580.1‑2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций»

Определяет базовый состав мер (организационных и технических) для достижения адекватной защиты от угроз, включая контроль доступа, шифрование, мониторинг и минимизацию ущерба от инцидентов; обязателен для финтеха через акты ЦБ.


Требования к инцидентам и отчетности

• Требования ЦБ РФ к сайтам финансовых организаций (рекомендации с 2021)

Обязывают финтех-платформы обеспечивать защиту информации на сайтах, включая шифрование трафика (HTTPS), защиту от DDoS и раскрытие данных о мерах ИБ для повышения доверия клиентов.

Для финтех-компаний информационная безопасность — это не только соответствие требованиям, но и фактор роста бизнеса:

• повышение доверия со стороны банков, платёжных систем и крупных клиентов;
• обязательное условие для пилотов и масштабных интеграций;
• снижение технологических и операционных рисков;
• повышение инвестиционной привлекательности при раундах финансирования;
• подготовка к due diligence при M&A и стратегических партнёрствах.

Наличие выстроенной системы ИБ демонстрирует зрелость процессов, управляемость рисков и готовность компании к масштабированию — что напрямую влияет на оценку бизнеса.

В финтех-проектах ключевым является баланс между безопасностью и скоростью развития продукта. Основное внимание уделяется следующим направлениям:

• безопасности API и микросервисов как основным точкам входа в систему;
• встраиванию ИБ в процессы разработки (DevSecOps), чтобы безопасность проверялась на каждом этапе;
• контролю доступа к облачной инфраструктуре, включая учетные записи и права администраторов;
• мониторингу транзакционной активности и выявлению аномалий.

Архитектура безопасности должна масштабироваться вместе с продуктом и не создавать узких мест для бизнеса.

В рамках финтех-проектов, как правило, используются следующие классы средств защиты:

• WAF и средства защиты API для контроля входящего трафика и логики запросов;
• инструменты безопасной разработки (SAST/DAST), интегрированные в CI/CD;
• SIEM и системы мониторинга, обеспечивающие централизованный контроль событий безопасности;
• средства защиты облачных сред, включая контроль конфигураций и доступов;
• EDR/XDR для конечных точек и серверных компонентов.

Конкретный набор решений подбирается с учетом масштаба платформы и планов роста.

В результате внедрения заказчик получает:

• безопасную и масштабируемую архитектуру платформы, готовую к росту и интеграциям;
• снижение рисков утечек и мошенничества, влияющих на финансовые и репутационные показатели;
• готовность к регуляторным проверкам и партнерским аудитам;
• интеграцию ИБ в процессы разработки и эксплуатации, без потери скорости вывода продукта на рынок.

Оставьте заявку — мы проведем экспресс-оценку рисков, покажем уязвимые зоны и предложим целевую архитектуру информационной безопасности, которая поддержит рост вашего бизнеса, а не будет ему мешать.