Кроме банков как основных держателей денег преступников сегодня интересуют и финтех-стартапы. С одной стороны, с самого начала деятельности стартап осуществляет финансовые трансакции с деньгами своих первых клиентов. С другой — на волне энтузиазма создатели таких компаний часто забывают о такой важной составляющей своей деятельности, как обеспечение безопасности.

Для финтеха высочайший уровень защиты — не блажь, а обязательное требование. И главное — в современных условиях невозможно отложить решение вопросов безопасности «на потом». Планы «навесить» защиту на уже работающее решение в будущем, когда вопрос безопасности станет актуальным, приводят к катастрофическим рискам для всего молодого бизнеса.

Для финтеха высочайший уровень защиты — не блажь, а обязательное требование

Сложности добавляет то, что при формировании технологической инфраструктуры финтехи широко используют облачные технологии. Это логично, поскольку позволяет снизить порог входа за счет отсутствия необходимости инвестировать в «железо». Но облака неизбежно добавляют свои специфические риски, защиту от которых также необходимо предусмотреть на этапе разработки архитектуры стартапа.

Для финтеха это означает обязательное использование концепции «security by design», т.е. безопасность должна стать неотъемлемой частью системы, ее нужно интегрировать во все компоненты, в обязательном порядке рассматривать все потенциальные уязвимости и внедрять зарекомендовавшие себя решения. Методологии, такие как SDL, уже широко известны, и достаточно ими воспользоваться, смирившись с более длинным циклом вывода продуктов и более дорогой разработкой. Легкомысленное отношение к этому вопросу приводит к самым неприятным последствиям.

Рассматривая практические рекомендации для создателей финтех-стартапов, можно выделить следующие обязательные компоненты безопасности:

• обеспечение сквозной аутентификации «внутренняя сеть — облако». Это позволит унифицировать разграничение ролей сотрудников в зависимости от выполняемых функций и не допустить получения сотрудниками неконтролируемых или избыточных полномочий;
• использование двухфакторной или мультифакторной аутентификации для доступа к учетным записям администраторов и разработчиков. Это позволит защититься от кражи учетных записей с помощью фишинга;
• внедрение лучших практик и стандартов безопасной разработки. Например, в РФ имеется аналог SDL ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», в котором описываются общие меры для получения безопасного ПО. Стандарт базируется на лучших мировых практиках и может быть использован для разработки защищенных систем;
• добавление в CI/CD-процесс фазы анализа защищенности с использованием методик COBIT или аналогичных;
• установка высшего приоритета для обнаружения и устранения уязвимостей.

Внедрение функций безопасности в ядро создаваемой системы, осмысление системы реализации защиты от взлома и утечек является приоритетной задачей для всех финтех-стартапов. Безопасность на уровне дизайна позволяет уже на начальном этапе исключить множество рисков и повысить вероятность успешного выхода компании на высокие финансовые показатели.