«Яндекс» за год вдвое увеличил затраты в информационную безопасность
Вложения «Яндекса» в ИБ выросли более, чем вдвое за 2023 г. Деньги были потрачены на разработку защищенных СХД, защиту от DDoS-атак и увеличение численности ИБ-департамента компании.
Инвестиции «Яндекса» в ИБ
Затраты «Яндекса» на информационную безопасность за 2023 г. превысили 6 млрд руб, а по сравнению с 2022 г. вложения выросли более, чем в два раза. Об этом компания сообщила CNews.
Средства были инвестированы в разработку защищенных систем хранения данных (СХД), защиту от DDoS-атак и мошенничества, системы управления доступами, независимые аудиты и развитие команды.
Также в «Яндексе» рассказали, что число ИБ-специалистов в компании выросло на треть.
Основным направлением для компании стала защита пользовательских данных и развитие инструментов по их безопасному хранению.
Инфраструктурные изменения
В своем сообщении «Яндекс» рассказал, что в прошедшем году они разработали хранилище, где все данные зашифрованы, а соотнести информацию из хранилища с реальным пользователем невозможно. Также запущен процесс миграции чувствительных данных в эту систему, сейчас проводится тестирование ее устойчивости.
Затем, «Яндекс» усилил контроль за действиями внутри инфраструктуры, внедрив подход Zero Touch Production – доступы к продакшну выдаются ограниченному числу сотрудников только с доверенных устройств и только на время решения конкретной задачи.
Также была усовершенствована технология Smart Protection для защиты от DDoS-атак. Технология использует алгоритмы машинного обучения, которые учитывают более 20 тыс. факторов.
Технологии для пользователей
В 2023 г. «Яндекс» дообучил алгоритмы распознавания мошеннических и фишинговых сайтов, в результате чего «Яндекс.Браузер» предотвратил более 110 млн переходов на них.
Помимо этого, в компании повысили точность определителя номера с помощью «Алисы» до 95% и увеличили полноту базы данных в 2,5 раза до 42 млн номеров. В начале года в этой базе было менее 17 млн номеров. Также сервис научился предупреждать о нежелательных звонках в мессенджерах. С момента запуска функции было определено около 1 млн звонков в мессенджерах, 11% из которых были отмечены сервисом как нежелательные.
В «Яндекс 360» появились новые способы блокировки вредоносных писем, разработана система аналитики атак спам-ботов и улучшен механизм определения рассылок от спамеров, маскирующих письма под уведомления о личных сообщениях в соцсетях. За неполный год «Почта» обработала свыше 78 млрд писем, а более 17 млрд были помечены как спам или заблокированы.
Независимые аудиты и Bug Bounty
За 2023 г. «Яндекс» успешно прошел 39 независимых аудитов для проверки инфраструктуры на устойчивость к атакам и безопасность сервисов. Также компания получила ряд сертификатов соответствия защиты сервисов международным стандартам. Например, «Яндекс Пэй» прошел сертификацию по международному стандарту безопасности PCI DSS 4.0.
Также в компании увеличили фонд собственной программы по поиску ошибок и уязвимостей с 40 до 100 млн руб. В августе 2023 г. ИТ-гигант устроил конкурс для белых хакеров и выплатил им около 10 млн руб.