Разделы

Безопасность Бизнес Тендеры Цифровизация ИТ в банках ИТ в госсекторе

«Сбербанк онлайн» защитится «песочницей» за полтора миллиарда

Сбербанк закупает «песочницу» для своих фронтальных систем «Сбербанк онлайн», «Сбербанк бизнес онлайн», «Единая фронтальная система», «Сбербанк корпорация», «Сайт сбербанка», «Единый розничный интернет-банк». Данная система безопасности оценена заказчиком в $20 млн.

«Песочница» для фронтальных АС Сбербанка

Как выяснил CNews, Сбербанк готов потратить до $20 млн (1,47 млрд по курсу ЦБ на 15 февраля 2021 г.) на программно-аппаратный комплекс класса Sandbox («песочница») — для динамической проверки входящих файлов на присутствие в них потенциально опасного кода.

Подобная проверка осуществляется путем эмуляции работы с файлами в защищенной виртуальной среде. В данном случае речь идет о файлах, с которыми имеют дело так называемые фронтальные автоматизированные системы банка: «Сбербанк онлайн», «Сбербанк бизнес онлайн», «Единая фронтальная система», «Сбербанк корпорация», «Сайт сбербанка», «Единый розничный интернет-банк».

Вышеупомянутая сумма выставлена в качестве начальной максимальной цены договора в тематическом тендере, который был объявлен банком 9 февраля 2021 г. Заявки от претендентов принимались до 12 февраля. Подведение итогов намечено на 26 февраля. Единственным критерием оценки заявок станет цена предложения.

Примечательной особенностью тендера является его формат — адресный запрос котировок (не аукцион). Побороться за договор могли только два заранее аккредитованных участника — компании «АТ груп» и «Траст технолоджиз». Их аккредитация состоялась в октябре 2020 г.

Логическая схема системы и виды ее взаимодействия (источник: Сбербанк)

С победителем запущенной сейчас процедуры будет заключено генеральное соглашение как на поставку оборудования, так и на его монтаж, пуско-наладку, интеграцию комплекса в корпоративную сеть банка, расширенную техническую поддержку, а также, при необходимости, рамочный сублицензионный договор на пять лет. Срок непосредственной поставки продукции «железа» — восемь недель с даты подписания спецификации.

Представители Сбербанка на вопрос CNews о том, защищены ли сейчас фронтальные системы банка каким-либо решением класса «песочница», или оно появится в организации впервые, не ответили в течение двух рабочих дней.

Параметры фронтальных систем Сбербанка

В техзадании тендера сообщается, что фронтальные автоматизированные системы Сбербанка являются его собственной разработкой и позволяют загружать через собственный же пользовательский интерфейс файлы, поступающие от клиентов в периметр банка.

Число пользователей «Сбербанк онлайн» составляет 40 млн человек и продолжает увеличиваться — только за последний год рост составил 47%. Число компаний, использующих «Сбербанк бизнес онлайн» превышает 2 млн. Ежегодный прирост компаний, открывающих счета, заявлен на уровне порядка 20%.

По состоянию на 2020 г. во фронтальные системы Сбербанка поступает порядка 93 тыс. файлов в час размерностью от 1 до 100 МБ. Около 98% этих файлов имеют размер от 1-5 МБ. Оставшиеся 2% — от 5 до 100 МБ.

Ежегодный предполагаемый размер увеличения количества обрабатываемых файлов спрогнозирован на уровне от 5% до 10%.

Большая часть файлов, поступающих в периметр банка, являются файлами популярных офисных пакетов, электронных публикаций в формате PDF, графических форматов. «Тем не менее представленный список не является конечным, — говорится в техзадании. — В инфраструктуру банка поступают исполняемые файлы, архивные файлы, скриптовые файлы, статические веб-файлы».

Некоторые требования к «песочнице»

В требованиях к архитектуре закупаемой системы говорится, что она должна иметь средства централизованного управления всеми компонентами и предусматривать территориальную и сетевую распределенность компонентов системы на нескольких площадках заказчика. Кроме того, решение должно поддерживать горизонтальное масштабирование путем добавления дополнительных элементов без изменения архитектуры.

По требованиям заказчика, система должна обеспечивать дублирование и горячую замену дисков и блоков питания, поддерживать установку в стандартный монтажный шкаф 19", иметь не менее двух портов Ethernet 1 Гбит/с, не менее двух портов Ethernet 10Гбит/с, не менее двух портов стандарта USB 2.0, не менее одного порта управления со скоростью не ниже 1 Гбит/с.

Система должна обеспечивать проверку файлов локально в сети банка — без выгрузки в облачные системы вендора. Исключением являются метаданные файлов, такие как хеши, IP-адреса и домены.

Система должна функционировать в сетях IPv4 и IPv6, иметь функциональность по интеграции с системой мониторинга Zabbix и по отправке событий безопасности в SIEM-систему по протоколу Syslog, располагать API-интерфейсом по выгрузке данных об обнаруженных вредоносных файлах во внешние системы. Также система должна иметь функциональность по получению файлов для проверки через ICAP-протокол, файловое хранилище, API на базе веб-сервисов, либо rest, позволяющий реализовать сервисы автоматизированной проверки объектов с получением соответствующего вердикта.

Система не должна блокировать попытки скачивания внешнего содержимого для анализируемого объекта, отправлять в карантин потенциально вредоносное ПО, иметь функциональность по автоматическому обнаружению и противодействию техникам обхода «песочницы», иметь функциональность динамического анализа файлов одновременно в нескольких версиях ОС Windows (X, 7 и10) разной разрядности (x86 и x64) и разными языковыми пакетами (RU и ENG).

Денис Воейков