Максим Мелешкин, «Цифра банк»: Без формализации бизнес-процессов внедрение SOAR невозможно
Число мошеннических операций растет. Банки постоянно совершенствуют системы противодействия, совершенствуют антифрод-системы. Одним из инструментов является SOAR, позволяющая автоматизировать работу ИБ-специалистов. Опытом внедрения системы и полученными результатами в интервью CNews поделился Максим Мелешкин, заместитель директора департамента информационной безопасности, лидер проекта внедрения SOAR в «Цифра банк».
CNews: Статистика мошенничества в последние годы пугает. По данным Банка России, в 2025 году количество мошеннических операций выросло на треть, а ущерб составил 29,3 млрд рублей. С чем это связано и как на это реагируют банки?
Максим Мелешкин: Действительно, цифры впечатляют. В ответ на этот вызов банки активно совершенствуют антифрод-системы. С их помощью в прошлом году было предотвращено 134 млн мошеннических операций, от хищений удалось спасти 13,9 трлн рублей клиентов.
С ростом числа мошеннических операций в банках становится критичным построение эффективной, автоматизированной и быстрой системы выявления подобных операций в общем потоке. Чуть больше года назад такая задача была поставлена перед моей командой в «Цифра банк». Для реализации была выбрана технология SOAR (Security Orchestration, Automation and Response), а конкретно — платформа Security Vision SOAR.
CNews: Почему была выбрана технология SOAR?
Максим Мелешкин: Понятие SOAR впервые прозвучало в аналитических отчетах ведущего мирового исследовательского и консалтингового агентства Gartner в 2015 году. Спустя два года это уже был сформированный самостоятельный класс решений, объединивший автоматизацию, оркестрацию и управление информационной безопасностью.
Главной задачей новой технологии стало избавление аналитиков SOC (Security Operations Center, центр мониторинга и защиты) от лавины рутинных уведомлений за счет автоматизированных сценариев реагирования (playbook). Именно по этой причине в банковском секторе часто SOAR ошибочно воспринимается как что-то нужное для SOC, или на волне зарождения платформы, как дань модному тренду.
Однако технологический ландшафт не стоит на месте, и появление концепции XDR (Extended Detection and Response), предлагающей встроенное обнаружение и блокировку угроз «из коробки», заставило многих экспертов заговорить о возможном закате эпохи SOAR. Но этого не случилось, напротив, SOAR перешел на уровень стратегического управления информационной безопасностью, став критически важным элементом современной ИБ-архитектуры.
CNews: С ваших слов, SOAR — идеальная технология, а в чем же сложность ее внедрения?
Максим Мелешкин: SOAR представляет собой универсальную интегрирующую платформу. Система полностью вендоронезависима и совместима с любыми ИТ- и ИБ-решениями. Необходимые данные можно собирать и систематизировать в SOAR. Когда мы говорим про масштаб автоматизации и сложные бизнес-процессы, то становится понятным, почему SOAR не потеряла свою актуальность. Но в этом же кроется главная сложность внедрения SOAR. Для его успеха нужны четкие бизнес-процессы, в противном случае вы получаете мощный инструмент, который организация будет использовать только на 10% от всей его силы, например, просто для регистрации и учета инцидентов.
При планировании стратегии развития в «Цифра банк» мы постарались учесть именно эту особенность продукта и выбрали область, в которой бизнес нуждался больше всего, а именно противодействие мошенничеству (фрод). Мы хотели убить двух зайцев одновременно. С одной стороны, повысить эффективность работы имеющегося подразделения, с другой описать, формализовать и масштабировать процессы противодействия мошенничеству в условиях экспоненциального роста мошенников, кадрового дефицита и жестких регуляторных требований.
Внедрение SOAR заставило нас пройти критически важный этап: описание и формализацию бизнес-процессов. Были формализованы и описаны основные процессы, без которых внедрение SOAR вообще было невозможным.
CNews: Как вы выбирали платформу и почему остановились на Security Vision SOAR?
Максим Мелешкин: Команда основательно изучила рынок и, оценив результаты пилотных проектов, мы остановили выбор на платформе Security Vision SOAR. Нас привлекла гибкая архитектура решения и возможность самостоятельно создавать коннекторы к любым нестандартным источникам. Отдельно хочется отметить команду вендора: эксперты показали глубокую вовлеченность и высокий профессионализм уже на этапе пилотного тестирования.
CNews: Говорят, внедрение SOAR для антифрод — это совсем не то же самое, что для SOC. Это так?
Максим Мелешкин: На старте проекта было очень много скепсиса. В целом он был вполне обоснован. SOAR для антифрод направления кардинально отличается от классической ИБ (в данном примере от SOC). Ключевое отличие в том, что ошибочное действие может напрямую лишить бизнес прибыли или привести к регуляторным последствиям и даже судебным разбирательствам. Забегая вперед, скажу, что результатом нашей работы стало не только ускорение процессов в разы, но и снижение потерь банка, понесенных от мошеннических действий, в разы. А также сокращение участия человека в процессе, что уже снизило ФОТ банка по данному направлению.
Сложности проекту добавляли и следующие моменты:
- Скорости принятия решения.
- Отсутствие стандартизированных коннекторов для более чем 10 систем, участвующих в интеграциях, что влечет удорожание стоимости проекта и поддержку в будущем.
- Сложность процессов реагирования, требуется четко выверенные действия.
- Большое количество коммуникаций со смежными подразделениями для получения данных в SOAR.
- Дефицит подготовленных специалистов.
- Регуляторика.
Особое внимание стоит уделить регуляторному воздействию и необходимости отчитываться в установленной форме об инцидентах и операциях без согласия клиента регулятору (АСОИ ФинЦЕРТ, СИОМ, а теперь еще и ГИС «Антифрод») в жесткие сроки, еще оповещать клиентов и доводить до них нужную информацию.
CNews: Сколько ресурсов потребовалось для реализации проекта?
Максим Мелешкин: Оглядываясь назад, с уверенностью можно сказать, что у нас получилось достичь ожидаемого результата: перейти от ручного разбора к модели контролируемого конвейера обработки алерта и решить все проблемы, которые были на старте.
Безусловно ничего этого бы не получилось без слаженной команды, которой было интересно попробовать новое и сложное. Результат того стоил.
Всего над проектом с полным вовлечением работали 17 экспертов: 5 человек из отдела фрод-мониторинга департамента информационной безопасности (ДИБ) банка, 6 человек из отдела эксплуатации ДИБ и еще 6 человек — команда внедрения Security Vision. Привлечение вендора позволило нам без ущерба самой технологии реализовать проект от постановки задачи до боевого внедрения за один год.
CNews: И главный вопрос: каких конкретных результатов вы добились? Расскажите подробнее.
Максим Мелешкин: Главная метрика, как всегда, — это сокращение времени реагирования. И у нас их получилось, по сути, три.
Первая — полная автоматизация реагирования на типовые алерты с четкой логикой принятия решения. До внедрения SOAR инциденты обрабатывались вручную в большом временном интервале 8-20 минут с зависимостью от компетенций специалиста. После внедрения SOAR с учетом автоматизации удалось исключить человеческий фактор, и как следствие отпала необходимость в учете квалификации специалиста. Это позволило достичь сокращения времени реагирования более чем в 20 раз, а также дало нам возможность масштабироваться без увеличения штата (объем алертов может расти кратно без пропорционального роста затрат).
Кроме того, мы существенно снизили операционные расходы (OPEX) на обработку рутинных инцидентов. И, пожалуй, самый важный результат, которого мы добились — это мгновенная блокировка мошеннических операций.
Вторая — автоматизация регуляторной отчетности (ФинЦЕРТ, СИОМ). После автоматизации заполнения полей формы отчетности время сократилось с почти 10 минут до нескольких секунд. Процесс стал не только быстрым, но и гарантировано точным, что критично для нашего банка. Благодаря этому мы смогли минимизировать вероятность наступления риска за некорректную или не своевременную сдачу отчетности.
Третья — полуавтоматическое реагирование, требующее экспертной оценки аналитика. В данном случае оператор освобождается от рутинных операций обогащения данных, в рамках процесса реагирования они собираются автоматически, уведомления формируются также автоматически, что позволяет фокусироваться на принятии решения. В результате было получено сокращение времени в более чем 2 раза. В совокупности это повлияло на повышение качества расследований и дало рост пропускной способности.
Кроме того, внедрение SOAR обеспечило системную трансформацию подразделения:
- Повысилась операционная эффективность.
- Снизилась нагрузка на операторов и аналитиков за счет автоматизации рутинных операций и как следствие снижение уровня выгорания сотрудников.
- Стандартизация и прозрачность процессов позволили сократить количество ошибок, совершенных при человеческом факторе, за счет контроля и подсказок со стороны системы.
- Масштабируемость.



