Аналитика

«Цифра банк»: почему SOAR бесполезна без формализации бизнес-процессов

Защита

Максим Мелешкин, «Цифра банк»: Внедрение SOAR невозможно без формализации бизнес-процессов

Количество мошеннических операций неуклонно увеличивается. Финансовые организации постоянно улучшают механизмы защиты и совершенствуют антифрод-системы. Одним из таких инструментов выступает SOAR, который позволяет автоматизировать деятельность специалистов по информационной безопасности. Своим опытом внедрения данной системы и достигнутыми результатами в беседе с CNews поделился Максим Мелешкин, занимающий пост заместителя директора департамента информационной безопасности и руководящий проектом внедрения SOAR в «Цифра банк».

CNews: Статистика мошенничества в последние годы вызывает тревогу. Согласно данным Банка России, в 2025 году число мошеннических операций увеличилось на треть, а ущерб достиг 29,3 млрд рублей. С чем это связано и как банки реагируют на эту ситуацию?

Максим Мелешкин: Действительно, показатели впечатляют. В ответ на данный вызов банки активно модернизируют антифрод-системы. Благодаря им в прошлом году удалось предотвратить 134 млн мошеннических операций и сохранить 13,9 трлн рублей клиентских средств от хищений.

С увеличением числа мошеннических действий в банках становится крайне важным создание эффективной, автоматизированной и оперативной системы для выявления таких операций в общем потоке. Чуть более года назад перед моей командой в «Цифра банк» была поставлена подобная задача. Для ее решения была выбрана технология SOAR (Security Orchestration, Automation and Response), а именно — платформа Security Vision SOAR.

CNews: Почему выбор пал именно на технологию SOAR?

Максим Мелешкин: Термин SOAR впервые появился в аналитических отчетах ведущего мирового исследовательского и консалтингового агентства Gartner в 2015 году. Спустя два года это уже был сформировавшийся самостоятельный класс решений, объединивший автоматизацию, оркестрацию и управление информационной безопасностью.

Ключевой целью внедрения новой технологии стало освобождение аналитиков SOC (Security Operations Center, центр мониторинга и защиты) от потока однотипных оповещений благодаря автоматизированным сценариям реагирования (playbook). Именно поэтому в банковской сфере SOAR нередко ошибочно воспринимают как инструмент, необходимый исключительно для SOC, или, на ранних этапах развития платформы, как дань актуальному веянию.

Однако технологическая среда постоянно эволюционирует, и возникновение концепции XDR (Extended Detection and Response), обеспечивающей встроенное обнаружение и нейтрализацию угроз «из коробки», побудило многих специалистов заговорить о вероятном упадке эпохи SOAR. Но этого не произошло; напротив, SOAR поднялся на уровень стратегического управления информационной безопасностью, превратившись в незаменимый компонент современной архитектуры ИБ.

CNews: Из ваших слов следует, что SOAR — это идеальная технология. В чем же тогда заключаются трудности ее внедрения?

Максим Мелешкин: SOAR представляет собой универсальную интеграционную платформу. Система полностью независима от вендоров и совместима с любыми ИТ- и ИБ-решениями. Все необходимые данные можно собирать и упорядочивать в SOAR. Когда речь заходит о масштабах автоматизации и сложных бизнес-процессах, становится ясно, почему SOAR не утратила своей востребованности. Однако в этом же заключается и основная сложность ее внедрения. Для успеха требуются четко выстроенные бизнес-процессы; в противном случае вы получаете мощный инструмент, который организация будет задействовать лишь на 10% от его полного потенциала, например, только для фиксации и учета инцидентов.

При планировании стратегии развития в «Цифра банк» мы постарались учесть именно эту особенность продукта и выбрали сферу, наиболее востребованную бизнесом, а именно борьбу с мошенничеством (фрод). Мы стремились решить две задачи одновременно. С одной стороны, повысить эффективность работы существующего подразделения, а с другой — описать, формализовать и расширить процессы противодействия мошенничеству в условиях стремительного роста числа злоумышленников, нехватки кадров и жестких регуляторных требований.

Внедрение SOAR заставило нас пройти критически важный этап: описание и формализацию бизнес-процессов. Были формализованы и описаны ключевые процессы, без которых внедрение SOAR было бы в принципе невозможным.

CNews: Как вы выбирали платформу и почему остановились на Security Vision SOAR?

Максим Мелешкин: Команда тщательно изучила рынок, и, оценив результаты пилотных проектов, мы сделали выбор в пользу платформы Security Vision SOAR. Нас привлекла гибкая архитектура решения и возможность самостоятельно создавать коннекторы для любых нестандартных источников. Особо хочется отметить команду вендора: эксперты продемонстрировали глубокую заинтересованность и высокий профессионализм уже на стадии пилотного тестирования.

CNews: Говорят, внедрение SOAR для антифрод — это совсем не то же самое, что для SOC. Это так?

Максим Мелешкин: В начале проекта мы столкнулись с немалым количеством сомнений. В целом они были вполне оправданы. SOAR в сфере антифрода принципиально отличается от классической информационной безопасности (в данном случае от SOC). Главное отличие заключается в том, что ошибочное действие может напрямую лишить бизнес дохода или вызвать регуляторные последствия, вплоть до судебных разбирательств. Забегая вперед, отмечу, что итогом нашей работы стало не только многократное ускорение процессов, но и значительное сокращение убытков банка от мошеннических операций. Кроме того, мы уменьшили участие человека в процессах, что уже позволило снизить фонд оплаты труда банка в этом направлении.

К сложностям проекта также относились следующие аспекты:

  • Необходимость быстрого принятия решений.
  • Отсутствие стандартных коннекторов для более чем десяти систем, задействованных в интеграциях, что ведет к удорожанию проекта и его дальнейшей поддержки.
  • Высокая сложность процессов реагирования, требующая строго выверенных действий.
  • Большой объем взаимодействия со смежными отделами для получения данных в SOAR.
  • Нехватка квалифицированных кадров.
  • Регуляторные требования.

Особого внимания заслуживает регуляторное давление и необходимость в установленные сроки отчитываться об инцидентах и операциях без согласия клиента перед регулятором (АСОИ ФинЦЕРТ, СИОМ, а теперь еще и ГИС «Антифрод»), а также уведомлять клиентов и предоставлять им важную информацию.

CNews: Сколько ресурсов потребовалось для реализации проекта?

Максим Мелешкин: Оглядываясь назад, можно уверенно сказать, что нам удалось достичь желаемого результата: перейти от ручного анализа к модели контролируемого конвейера обработки оповещений и решить все задачи, стоявшие на старте.

Безусловно, ничего этого не вышло бы без сплоченной команды, которой было интересно осваивать новое и сложное. Результат оправдал все усилия.

Всего над проектом с полной занятостью работали 17 специалистов: 5 человек из отдела фрод-мониторинга департамента информационной безопасности (ДИБ) банка, 6 человек из отдела эксплуатации ДИБ и еще 6 человек — команда внедрения Security Vision. Привлечение вендора позволило нам без ущерба для самой технологии реализовать проект от постановки задачи до внедрения в боевую среду за один год.

CNews: И главный вопрос: каких конкретных результатов вы добились? Расскажите подробнее.

Максим Мелешкин: Основной показатель, как всегда, — это сокращение времени реагирования. И у нас их, по сути, получилось три.

Первое направление — это полная автоматизация обработки стандартных оповещений, имеющих чёткие критерии для принятия решений. До внедрения SOAR инциденты разбирались вручную, на что уходило от 8 до 20 минут, причём скорость и качество зависели от уровня подготовки сотрудника. После внедрения SOAR и автоматизации процессов удалось устранить влияние человеческого фактора, а значит, необходимость учитывать квалификацию специалиста отпала. В результате время реакции сократилось более чем в 20 раз, и мы получили возможность наращивать объёмы без расширения штата (количество алертов может расти в разы, не требуя пропорционального увеличения затрат).

Помимо этого, мы значительно уменьшили операционные расходы (OPEX) на работу с типовыми инцидентами. И, пожалуй, самый значимый итог, которого мы достигли, — это моментальная блокировка подозрительных и мошеннических операций.

Второе направление — автоматизация подготовки регуляторной отчётности (ФинЦЕРТ, СИОМ). После того как заполнение полей отчётных форм было автоматизировано, время на эту задачу сократилось с почти 10 минут до нескольких секунд. Процесс стал не только быстрым, но и гарантированно точным, что крайне важно для нашего банка. Благодаря этому мы свели к минимуму риск ошибок или задержек при сдаче отчётности.

Третье направление — полуавтоматическое реагирование, требующее экспертной оценки аналитика. В этом случае оператор освобождается от рутинных действий по сбору и обогащению данных: в рамках процесса они подтягиваются автоматически, уведомления также формируются без участия человека, что позволяет сосредоточиться на принятии решений. В итоге время обработки сократилось более чем в два раза. В совокупности это повысило качество расследований и увеличило пропускную способность подразделения.

Кроме того, внедрение SOAR привело к системной трансформации всего подразделения:

  • Улучшилась эффективность работы.
  • Благодаря автоматизации рутинных процессов снизилась нагрузка на операторов и аналитиков, что привело к уменьшению уровня профессионального выгорания сотрудников.
  • Стандартизация и прозрачность процедур, а также контроль и подсказки системы позволили сократить количество ошибок, вызванных человеческим фактором.
  • Возможность масштабирования.
Рекламаerid:2W5zFJHyC5oРекламодатель: ООО «Интеллектуальная безопасность»ИНН/ОГРН: 7719435412/5157746309518Сайт: https://www.securityvision.ru/
Поделиться:

0 Комментариев

Оставить комментарий

Обязательные поля помечены *
Ваш комментарий *
Категории
Популярные новости