Интерес банков и страховых компаний к безопасным подходам разработки заметно вырос за 2021 год. Кроме того, положительным признаком реакции финансовой индустрии на новые вызовы стало обсуждение применяемых практик и экспертиза их внедрения. О том, как сегодня происходит трансформация разработки в финансовом секторе, зачем банковские и страховые компании внедряют практики DevSecOps и активно обучают айтишников основам безопасного написания кода, рассказал в беседе с CNews Руслан Косарим, заместитель технического директора по развитию бизнеса группы компаний Angara.
CNews: Почему банки и страховые компании уделяют так много внимания развитию собственной разработки?
Руслан Косарим: Опыт последних лет показал высокую коммерческую эффективность цифровой трансформации бизнеса. Концепция customer obsession ориентирует его на улучшение качества обслуживания цифровых клиентов, что требует значительного повышения эффективности бизнес-процессов, их ускорения и автоматизации. Кроме того, заметный катализирующий эффект оказала пандемия. Клиенты, не выходящие из дома в периоды локдаунов, быстро привыкли к комфорту и удобству цифровых услуг. В этих условиях доступность цифрового сервиса, время его обновления, прикручивания новых функций и модификаций носят колоссальное значение на конкурентном рынке. Именно по этой причине сейчас особое внимание уделяется развитию разработки цифровых сервисов и внедрению практик DevOps.
CNews: По вашему мнению, для чего сейчас внедряют DevOps финансовые компании?
Руслан Косарим: DevOps — это концепция, в основе которой лежит идея ликвидации разрыва между разработчиками (Development) и людьми, эксплуатирующими приложение (Operations), через превращение процессов проектирования приложения, написания и тестирования кода, настройки и развертывания приложения в единый непрерывный конвейер. Для реализации такого единого процесса (пайплайна) применяются инструменты автоматизации, которые позволяют ускорять этапы процесса и повышать его качество. Сервисы, обеспечивающие непрерывность интеграции и развертывания, называются CI (continuous integration) и CD (continuous delivery) инструментами.
Именно практики DevOps позволяют без вреда качеству и функциональности приложения быстро модифицировать и обновлять его, дорабатывать и делать частые релизы. Такие возможности в период цифровой индустриальной революции дают колоссальное конкурентное преимущество финансовым компаниям, для клиентов которых высокое значение при выборе банка или страховой стали иметь качество и эффективность цифрового сервиса наряду с условиями обслуживания.
CNews: Как применение DevOps-практик влияет на информационную безопасность? Есть ли уже накопленная экспертиза у Аngara Security?
Руслан Косарим: Применение DevOps-практик для разработки приложений сопровождается несколькими проблемами, отражающимися на уровне информационной безопасности.
В первую очередь применяемые инструменты и инфраструктура в CI/CD Pipeline сильно отличаются от привычной сотрудникам департамента безопасности корпоративной среды. Появилось огромное количество инструментов — как коммерческих, так и Open Source — позволяющих решать задачи DevOps. Системы Git, Jenkins, Ansible, Chef, Puppet, среда контейнеризации с применением Docker и Kubernetes — все эти инструменты абсолютно не похожи по принципу применения в сравнении с классическими инфраструктурными компонентами. В связи с этим стандарты и правила безопасности, используемые в корпоративной среде, зачастую просто не применимы в разработке. Появляются новые международные ИБ-практики, внедрение которых требует переосмысления политик безопасности и методов обеспечения защиты приложений и данных.
Кроме того, присутствует проблема слабой осведомленности сотрудников информационной безопасности в части применяемых практик кибербезопасности в средах разработки и эксплуатации приложений и микросервисов. Необходимые компетенции сложно получить быстро на качественном уровне. По этой причине, в совокупности с кадровым голодом, значительно заметнее растет спрос на аутсорсинг услуг, включая сервис по реализации безопасности для процессов DevOps.
Мы практикуем принцип shift left on security, который фокусируется на выполнении практики, реализации процесса или использовании инструмента как можно раньше в процессе разработки. Традиционно компании применяют меры безопасности сразу после развертывания приложения, что находится в конце жизненного цикла разработки. Но лучше делать это на более ранних этапах, во время самой разработки. О важности этого говорит и тот факт, что небезопасное проектирование приложений включили в новый перечень десяти самых опасных уязвимостей от сообщества OWASP в 2021 году.
CNews: Действительно ли инфраструктура непрерывной разработки так отличается от классической корпоративной среды?
Руслан Косарим: В качестве примера кардинального отличия непрерывной разработки можно назвать рост популярности микросервисной архитектуры создаваемых приложений. Когда вся бизнес-логика сервиса собрана в едином месте (такая архитектура называется монолитной), работы по обновлению или изменению части сервиса затрагивают все приложение. Для проведения подобных работ требуется много ресурсов и времени.
В отличие от этого подхода у микросервисной архитектуры есть явное преимущество — возможность быстро изменить часть бизнес-логики без катастрофического влияния на работу всего приложения. Такой подход стал возможен благодаря очень старой технологии контейнеризации, которая получила второе дыхание в связи с популярностью подходов DevOps. Однако контейнеризированая среда, включающая образы контейнеров, их локальные и публичные репозитории, хосты, на которых запускаются микросервисы, а также оркестраторы, которые управляют всей этой сложной разнородной средой, совершенно не похожа на классическую корпоративную среду.
В связи с этим и подходы к ее защите сильно отличаются от стандартных решений. Практики безопасности процессов DevOps, которые предлагает компания Angara, ориентируются на новые стандарты и рекомендации по кибербезопасности разработки, основная ценность которых — имплементация в автоматизированный процесс без влияния на скорость и качество разработки, обеспечивающая высокий уровень защиты инструментов, инфраструктуры и самих разрабатываемых приложений.
CNews: Как реагируют банки на новые вызовы в сфере кибербезопасности?
Руслан Косарим: За 2021 год интерес банков и страховых компаний к безопасным подходам разработки заметно вырос. Крупные финансовые организации активно внедряют практики DevSecOps, защищают среды контейнеризации, обучают разработчиков основам безопасного написания кода. Менее крупные компании уделяют безопасности разработки значительно меньше внимания, что обусловлено средним или низким уровнем зрелости их информационной безопасности.
В случае с DevOps качество процессов выходит на передний план. Не получится, стоя в стороне от разработчиков, проверять код на отсутствие уязвимостей, или защитить микросервисы без проверки образов контейнеров до запуска на развертывание. Подходы DevSecOps требуют эффективной коллаборации сотрудников кибербезопасности и DevOps-инженеров. Положительным признаком реакции финансовой индустрии на обозначенные новые вызовы стало формирование профессионального сообщества и обсуждение применяемых практик и опыта их внедрения. Это очень благоприятная почва для равномерного роста уровня зрелости безопасности в индустрии. Здесь финансовый сектор находится на передовой, что позволяет потребителям цифровых финансовых сервисов быть спокойными за безопасность своих денежных операций.