Кто и как помогает Маркету делать площадку безопасной

Маркетплейс — сложный сервис. Через него проходит большое количество операций в сети и физическом мире. На конец 2024 года, более 18 млн покупателей заказывали товары на Яндекс Маркете и более 97 тыс. продавцов были готовы предложить свою продукцию.

Такой крупной площадке важно проводить регулярные аудиты безопасности ИТ-систем и складских комплексов — это требует больших ресурсов. Аудиты отличаются по целеполаганию, размеру, месту и способу проведения. Также все внешние и внутренние аудиты делятся на онлайн и офлайн.

Аудиты безопасности в сети

За 2024 год Яндекс Маркет провёл 60 внутренних аудитов безопасности. Все потому, что количество новых запусков внутри продукта увеличивается, а бизнес масштабируется —

из-за этого растёт и нагрузка на процессы.

Главная цель онлайн-аудита — повысить уровень защищённости компании и убедиться, что сервис функционирует безопасно.

При такой проверке внешние ИТ-специалисты тестируют информационные системы и ищут возможные ошибки. После завершения аудита они составляют подробный документ, в котором описывают обнаруженные проблемы. Служба безопасности Маркета изучает полученный отчёт и замечания, а затем формирует список задач для их исправления. Благодаря такой системе сервис заранее предотвращает и минимизирует потенциальные бизнес-риски.

В контуре цикла безопасной разработки

Проходят перед запуском нового решения на сервисе. Таких аудитов может быть больше десятка в год.

В рамках существующих требований и норм

Обычно их проводят раз в год с помощью внешних консультантов.

По нашей инициативе

Нужны, чтобы дополнительно проверить работу большой части инфраструктуры. Например, аудит складов.

Виды аудитов:

Можно ли изменить свою роль во внутренней ИТ-системе и из гостя стать главным администратором?

Можно ли сделать так, чтобы важный бизнес-процесс остановился из-за отказа в обслуживании?

Можно ли получить данные из личного кабинета продавца или покупателя?

Можно ли скомпрометировать данные банковских карт?

Какие гипотезы могут тестировать во время аудита безопасности:

Например, в 2024 году Маркет провёл два внешних независимых аудита безопасности.

Охота за ошибками

В Яндексе существует постоянная программа по поиску уязвимости — Bug Bounty. Любой желающий может попробовать найти уязвимость в продуктах компании, сообщить о ней и получить награду. Так Яндекс повышает надёжность сервисов в режиме реального времени и заранее узнает о возможных рисках. По итогам 2023 года Маркет выплатил исследователям около 6,5 млн ₽, а в 2024 году — уже 12 млн ₽. Рост связан с тем, что Маркет увеличил награду за каждую уязвимость, а команды стали более активно рассказывать об «Охоте за ошибками» на профильных мероприятиях и площадках.

12 млн ₽

Яндекс Маркет выплатил исследователям в 2024 г.

6,5 млн ₽

Яндекс Маркет выплатил исследователям в 2023 г.

Внутренние процессы информационной безопасности в Маркете содержат все этапы безопасной разработки. Среди них — моделирование угроз, автоматическое сканирование кода, повышение осведомлённости сотрудников, а также внешние аудиты и программа Bug Bounty.

Защита аккаунтов

Аккаунты пользователей по умолчанию защищены двухуровневой идентификацией через Яндекс ID с помощью пароля, СМС или звонков на номер телефона. На случай аномального поведения пользователя в антифрод-системах есть механизмы, которые предотвращают мошеннические схемы.

Также компания регулярно информирует партнёров о том, как распознать социальную инженерию — попытки манипулировать людьми для получения конфиденциальной информации.

Проведение оплаты

Помимо стандартной процедуры аудитов, онлайн-площадка должна каждый год подтверждать сертификацию на соответствие требованиям PCI DSS. Это международный стандарт безопасности для защиты платёжных данных банковских карт.

Процессы безопасности