Яндекс вложил более 6 млрд рублей в цифровую безопасность в 2023 году

Яндекс вложил более 6 млрд рублей в цифровую безопасность в 2023 году

В течение 2023 года сумма инвестиций Яндекса в цифровую безопасность увеличилась более чем вдвое, достигнув более 6 млрд рублей. В компании акцентировали внимание на защите данных пользователей, усилении безопасности инфраструктуры и разработке технологий для борьбы с мошенничеством.

Инвестиции были направлены на разработку защищенных систем хранения данных, расширение технологий защиты от DDoS-атак и мошенничества, системы управления доступом, независимые аудиты и другие важные направления, включая развитие команды. Количество сотрудников, отвечающих за цифровую безопасность выросло на треть за год.

Защита данных и повышение безопасности инфраструктуры

В 2023 году Яндекс улучшил общую технологическую платформу, на которой работают все сервисы. Компания внедрила новые инструменты защиты от атак и политики безопасности, включая обновление механизма, который отслеживает действия внутри инфраструктуры и ограничивает внутренние доступы к ее критическим элементам и данным.

Основным направлением стала защита пользовательских данных и разработка инструментов для их безопасного хранения. В 2023 году Яндекс продолжил внедрение мер по шифрованию данных и разработал хранилище, где все данные зашифрованы, и невозможно соотнести информацию из хранилища с реальным пользователем. Технологическая инфраструктура хранилища позволяет работать с большими объемами данных, контролировать любые запросы к ним и ограничивать доступ в рамках решения конкретной задачи, например при работе служб поддержки. Компания запустила процесс миграции чувствительных данных в эту систему и проводит тестирование ее устойчивости.

Кроме этого, Яндекс увеличил уровень автоматизации в продакшн-системах и усилил контроль за действиями внутри инфраструктуры. Компания ограничила доступы к продакшну по подходу Zero Touch Production, дающимся ограниченному числу сотрудников только с доверенных устройств для конкретной задачи на время ее решения. Также в компании был внедрен специальный механизм подтверждения доступа к ключевым системам, по которому сотрудник обязан подтвердить свои действия дополнительным фактором аутентификации.

В 2023 году Яндекс усовершенствовал комплексную технологию Smart Protection для защиты от DDoS-атак. Разные элементы защиты стали активнее обмениваться данными между собой, благодаря этому система стала более гибкой, быстро обучается и масштабируется. Так как злоумышленники часто меняют способы и направления атак, технология использует алгоритмы машинного обучения, учитывающие более 20 тысяч факторов. В сентябре этого года Яндекс поделился технологией с рынком, выпустив превью-версию сервиса Smart Web Security для бизнеса.

Развитие технологий для защиты пользователей

В 2023 году Яндекс усовершенствовал алгоритмы распознавания мошеннических и фишинговых сайтов, что позволило браузеру точнее идентифицировать такие сайты и предотвратить более чем 110 млн переходов на них. Компания также улучшила точность определителя номера в приложении Яндекс с Алисой до 95% и расширила базу данных до 42 млн номеров, что в 2,5 раза больше, чем в начале года.

Также сервис начал предупреждать о нежелательных звонках в мессенджерах. С момента запуска функции было определено около 1 млн звонков в мессенджерах, 11% из которых были отмечены сервисом как нежелательные.

В Яндекс.360 появились новые способы блокировки вредоносных писем, была разработана система аналитики атак спам-ботов, и улучшен механизм определения рассылок от спамеров, маскирующих письма под уведомления о личных сообщениях в социальных сетях. За период неполного года Почта обработала свыше 78 млрд писем, более 17 млрд были помечены как спам или заблокированы. В 2023 году компания усовершенствовала алгоритмы проверки рекламных объявлений на соответствие правилам размещения в рекламной сети.

Такие алгоритмы ежедневно проверяют около 86 млн объявлений. За неполный год компания отклонила более 33 млн объявлений и заблокировала около 190 тыс. аккаунтов рекламодателей, которые пытались нарушить данные правила.

Независимые аудиты

За год Яндекс успешно прошел 39 независимых аудитов для проверки инфраструктуры на устойчивость к атакам и безопасность служб, а также получил несколько сертификатов соответствия защите сервисов международным стандартам. Например, Яндекс.Пэй стал одним из первых сервисов в России, который прошел сертификацию по международному стандарту безопасности PCI DSS 4.0. В 2023 году фонд программы по поиску ошибок и уязвимостей «Охота за ошибками» вырос с 40 до 100 млн рублей.

В августе Яндекс провел конкурс по защите данных и выплатил около 10 млн рублей этичным хакерам. Эта программа помогает компании постоянно повышать защиту сервисов, выявлять потенциальные проблемы и исправлять их.