Скрытые угрозы при покупке автомобиля, или Как пентесты помогают защищать персональные данные клиентов
03 июня 2024
По данным Объединенного кредитного бюро (ОКБ)*, в 2024 году россияне стали чаще покупать машины в кредит. Аналитики оценивают увеличение объема кредитных продаж за год на 135 процентов. Согласно другим исследованиям**, каждый пятый россиянин покупает авто именно c привлечением кредитных средств. Тренд на привлечение заемных средств в ближайшее время будет сохранятся, и для покупателей авто еще большее значение будет играть сервис, скорость и условия получения кредита. При этом возможность оперативно предоставить клиентам актуальные условия по кредитам, помочь с выбором оптимального решения — важное преимущество для игроков авторынка.
Сервис еКредит уже около 10 лет помогает дилерским компаниям быстро продавать автомобили в кредит. Единая SaaS-платформа объединяет предложения банков по кредитам и страховкам, предоставляя возможность удобного расчета и оформления кредита. Еще одна значимая и не такая очевидная составляющая платформы — надежная защита персональных данных клиентов, охота за которыми ведется киберпреступниками в режиме 24х7. Какие меры предпринимают разработчики платформы для спокойствия клиентов, рассказываем в нашем кейсе.
По данным Объединенного кредитного бюро (ОКБ)*, в 2024 году россияне стали чаще покупать машины в кредит. Аналитики оценивают увеличение объема кредитных продаж за год на 135 процентов. Согласно другим исследованиям**, каждый пятый россиянин покупает авто именно c привлечением кредитных средств. Тренд на привлечение заемных средств в ближайшее время будет сохранятся, и для покупателей авто еще большее значение будет играть сервис, скорость и условия получения кредита. При этом возможность оперативно предоставить клиентам актуальные условия по кредитам, помочь с выбором оптимального решения — важное преимущество для игроков авторынка.
Сервис еКредит уже около 10 лет помогает дилерским компаниям быстро продавать автомобили в кредит. Единая SaaS-платформа объединяет предложения банков по кредитам и страховкам, предоставляя возможность удобного расчета и оформления кредита. Еще одна значимая и не такая очевидная составляющая платформы — надежная защита персональных данных клиентов, охота за которыми ведется киберпреступниками в режиме 24х7. Какие меры предпринимают разработчики платформы для спокойствия клиентов, рассказываем в нашем кейсе.
Какую задачу решали
Команда сервиса еКредит не просто осведомлена в вопросах защиты информации, а сделала безопасность своей платформы одним из ключевых преимуществ, задекларировав принципы и меры защиты в специальном разделе «Информационная безопасность платформы еКредит» на сайте.
еКредит — поставщик единой платформы кредитования и страхования
для дилерских сетей по продаже автомобилей. Платформа упрощает получение кредитных продуктов и заявок по кредитованию автомобилей, предоставляя варианты в считанные минуты, от более чем 20-ти банков.
i
Такой подход вызывает уважение, так как далеко не все ИТ-компании уделяют должное внимание кибербезопасности и предпринимают меры по сохранению данных конечных пользователей своих продуктов. Важно, что среди обязательных мер защиты персональных данных от утечек еКредит декларирует регулярный анализ информационной безопасности на уровне инфраструктуры, платформы в целом и её компонентов. Как бы ни была качественно проведена разработка платформы, регулярный поиск и предотвращение уязвимостей — необходимый процесс.
Для проведения анализа защищенности внешнего периметра сети web-платформы еКредит обратился в Центр кибербезопасности УЦСБ. Экспертам информационной безопасности необходимо было провести анализ защищенности от внешних проникновений, найти все текущие и потенциальные уязвимости, сформировать рекомендации по повышению уровня защищенности платформы.
Что было сделано
Проведение анализа защищенности сети с помощью тестирования на проникновение, или пентеста, — одна из ключевых экспертиз Центра кибербезопасности УЦСБ.
Пентесты — тесты на проникновение в цифровую сеть отдельного сервиса или инфраструктуру организации. Представляет собой подконтрольную имитацию хакерской атаки, проводимую с целью обнаружения уязвимостей в безопасности и их дальнейшего предотвращения.
i
“
«Условиями выполнения работ для еКредит была необходимость проверки защищенности всех многочисленных API-сервисов платформы, а это более 300 уникальных доменных имен, а также отсутствие доступа к учетным данным администраторов и пользователей — то есть проведение пентестов было организовано по методу «черного ящика». Это базовая и необходимая работа, с которой, можно сказать, начинается анализ защищенности любого цифрового продукта».
Другими важными особенностями реализации проекта стало соблюдение специального графика выполнения работ и наличие у еКредит параллельного процесса переноса части сервисов платформы на новые ресурсы.
“
«В процессе анализа уязвимости нам важно было сохранить полную работоспособность платформы, особенно в часы пиковой нагрузки на сайт.
Для подстраховки приняли решение, что работы будут выполняться только с понедельника по четверг, не затрагивая напряженные с точки зрения количества визитов и регистраций пятницу и выходные дни. И также особое внимание уделили поэтапности и синхронизации выполнения работ, чтобы не навредить нашим текущим бизнес-процессам, не помешать проводимой в это же время миграции некоторых приложений».
Для подстраховки приняли решение, что работы будут выполняться только с понедельника по четверг, не затрагивая напряженные с точки зрения количества визитов и регистраций пятницу и выходные дни. И также особое внимание уделили поэтапности и синхронизации выполнения работ, чтобы не навредить нашим текущим бизнес-процессам, не помешать проводимой в это же время миграции некоторых приложений».
В рамках проекта фиксировались результаты каждого этапа проведенных тестирований.
“
Во время проведения пентестов наши специалисты всегда были на связи с ИТ-командой еКредит, чтобы сверять шаги и договариваться о времени проведения новых работ. Работоспособность платформы была в приоритете, поэтому приходилось учитывать все составляющие и строго соблюдать график. Несмотря на эти условия, УЦСБ в сжатые сроки выполнил внешний анализ защищенности — общий срок реализации проекта составил чуть больше месяца»
Результаты проекта
В результате проведенного анализа защищенности внешнего периметра ресурсов были выявлены некоторые уязвимости в безопасности, которые своевременно устранила ИТ-команда eКредит. По итогам работ был подготовлен отчет с рекомендациями по дальнейшему устранению недочетов и повышению уровня защищенности сервиса.
“
«Регулярный анализ защищенности внешнего периметра — необходимая процедура для любого цифрового продукта, — уточняет Олег Лабынцев. — Если в ИТ-инфраструктуре используется несколько разных решений, «коробочных версий» сторонних сервисов, то такая цифровая среда особенно уязвима, подвержена киберугрозам. Рекомендуем проводить анализ внешнего периметра один-два раза в год. Если происходит миграция внутренних ресурсов, серьезные обновления, то лучше сразу запланировать внеочередные пентесты, уделить отдельное внимание защищенности от кибератак».
«Хочу выразить команде пентестеров УЦСБ благодарность за соблюдение сроков, профессионализм и адекватность при планировании и реализации работ! Наши задачи решались оперативно, команда действовала четко и слаженно, соблюдая все необходимые условия по графику работ и внимания к нашим внутренним процессам. Мы строго соблюдаем закон о защите персональных данных клиентов, официально работаем с банками и страховыми компаниями, зарегистрированы в Реестре операторов Роскомнадзора. Все данные клиентов обрабатываются и хранятся в соответствии с Федеральным законом Российской Федерации № 152-ФЗ. Для нас важно также поддерживать высокий технический уровень защищенности наших ресурсов, поэтому такие работы считаем очень полезными».
Максим Яшкин,
руководитель проекта eКредит
руководитель проекта eКредит
Следующий шаг на пути к надежной защите цифровых ресурсов — проведение комплексного анализа защищенности, который, помимо анализа внешнего периметра, включает тестирование на проникновение из внутренней сети и тестирование действий сотрудников методами социальной инженерии (кейсы комплексного анализа защищенности и киберучений сотрудников читайте здесь и здесь).
*https://lenta.ru/news/2024/04/01/rossiyane-stali-chasche-pokupat-avtomobili-v-kredit
** https://iz.ru/1619447/2023-12-13/kazhdyi-piatyi-rossiianin-pokupaet-mashinu-v-kredit
** https://iz.ru/1619447/2023-12-13/kazhdyi-piatyi-rossiianin-pokupaet-mashinu-v-kredit
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы