1. Треті сторони відкритого банкінга:
досвід, кращі практики,
безпека
Анастасія Конопльова, CISA,
директор ТОВ «ЮЕЙДЖИ»
(1999, 30+ банків як 3 та 4 сторона,
х·103 сторін бачено),
Президент ISACA Київ (2018-2020)
The too-perfect security of the Upper-worlders had led them to a slow movement of
degeneration, to a general dwindling in size, strength, and intelligence.
The Time Machine (Heinemann text) (1895) by H. G. Wells, Chapter IV
2. Банки, треті сторони, безпека, Україна - резюме
Проблеми замовника [в безпеці]
третьою стороною не
вирішуються,
третя сторона працює виключно в
рамках [оплаченого] завдання
Замовники мають у третіх сторін
репутацію
Третя сторона виставляє
пріоритети замовникам. Ви
впевнені, що у вас перший?
Треті сторони спілкуються між
собою
Треті сторони включають досвід в
портфоліо і мають його
підтверджувати для інших
замовників
Треті сторони публічні, і досвідом
діляться зі спільнотою
SIEM
IDM
Сканер вразливостей
IPS
PaaS
Mobile app
IT-підтримка
Пентест
Аудити
…
Wordpress
CloudFlare
Zoom
Google
Oracle
Huawei
Cisco
…
Профікс
MEDOC
Liga
Youcontrol
Вчасно
…
Юристи
Аудитори
SMM
call-centers
BI
…
Конфіденційності нема
Цілісність поза контролем замовника
Доступність=ціна
НБУ
НКЦПФР
ФГВФО
БКІ
ДПСУ
…
МПС
Банки-кореспонденти
ФК
Страхові
…
Треті сторони в банках:З боку третьої сторони:
Треба будувати довіру. Щоденно.
В кожній взаємодії. І все буде добре.
08.10.2020 For community, non-commercial use
3. Учасники рішень: сторони 1, 2, 3, 4, +++
Клієнти
Банк-замовник
Власники/група
Регулятор
Співробітники
Договір Підрядник
Партнери
Субпідрядники
Платформи
Співробітники
Власники
Сторона 2
Сторона 1 Сторона 3
Сторона 4
Сторона 5
Сторона 4
ЦКУ, та/або
право іншої
юрисдикції
Держава
Партнери
08.10.2020 For community, non-commercial use
4. Управлінське: суб’єктність сторін договору
Спроможність замовника-банка
• Проєктна команда, яка забезпечує узгодженість з
операційною діяльністю, і має знання та навички
для цього
• Вміння визначити завдання
• Резерви під помилки в рішеннях
• Фінансовий стан
• Інформоване прийняття рішень тими, хто
платить
Спроможність підрядника
(сторони договору)
• Виконавці (не ті, хто продає, а ті, хто робити буде)
• Відповідальна особа, власники та зв’язки – до
кого претензії
• Статутний капітал
• Залежність від зовнішніх сторін та її юридичне
оформлення (за високого ризику)
• Джерела існування підрядника (власники, інші
клієнти, треті особи) (в горизонті договору,
включаючи підтримку)
Договір виконується, якщо З ОБОХ СТОРІН є:
• Спроможність – наявність навичок, досвіду та ресурсів; репутація
• Відповідальність – чи буде зроблено, про що домовились так, як домовились, і що буде, якщо не буде зроблено
• Впевненість – чим і ким компенсується невизначеність в договорі
monobank, koto, izibank, Універсал, ТАС…етика
08.10.2020 For community, non-commercial use
5. Організаційне: сортувати сторони за ризиками
https://www.isaca.org/resources/isaca-journal/issues/2019/volume-5/ensuring-vendor-compliance-and-thirdparty-risk-mitigation
Наприклад:
08.10.2020 For community, non-commercial use
Перелік третіх сторін (з умовами
використання)
Перелік послуг третіх сторін, від яких
залежить операційна діяльність банку
в цілому
Порогові значення для поетапного
впровадження заходів контролю,
визначені з урахуванням нормативних
вимог та ресурсів на компенсацію
помилок в рішеннях
Для застосування підходу потрібні:
6. Технічне: безпека підключення третіх сторін
• персоніфіковані облікові записи, з налаштуваннями відповідно до строків надання послуг.
Не забувати блокувати/видаляти.
Якщо підключаємо до систем
• деперсоналізація, де можливо
Якщо передаємо дані
• сервісні облікові під персональний контроль,
• цілісність даних при передачі,
• аутентифікація з’єднань
Якщо інтегруємося
Рекомендації вендора з безпеки
Сценарії моніторинга
облікових записів, з’єднань з серверами, мережевого трафіку
08.10.2020 For community, non-commercial use
7. Кращі практики щодо третіх сторін, вибране
Три рівні впевненості в
продуктах і сервісах,
законодавство ЄС
• Cybersecurity act
Практики забезпечення
кіберзрілості,
закупівлі ЗС США
• CMMC https://www.acq.osd.mil/cmmc/draft.html
Про що себе спитати
стосовно підрядників
• https://www.isaca.org/-/media/files/isacadp/project/isaca/conferences/2020-na-
cacs/nacacs-2020-key-takeaways_0720.pdf
Про критерії ризиків третіх
сторін, наприклад
• https://www.isaca.org/bookstore/bookstore-wht_papers-digital/whpmcr
Про безперервність третіх
сторін, 2020
• https://www.isaca.org/bookstore/bookstore-wht_papers-digital/whpbsc
Процес управління третіми
стронами,
метрики та залежності
• COBIT® 2019 Загальні принципи: Цілі корпоративного та операційного
управління, АРО09, АРО 10
https://www.isaca.org/…/bookstore-cobit_19-digital/wcb19fgmu
08.10.2020 For community, non-commercial use