В 2023 году «Яндекс» инвестировал в цифровую безопасность более 6 млрд рублей — по сравнению с 2022 годом эта сумма выросла более чем вдвое. Число сотрудников, ответственных за цифровую безопасность, за год выросло на треть, и компания сосредоточилась на усилении защиты пользовательских данных, повышении безопасности инфраструктуры и развитии технологий для борьбы с мошенниками.
Так, в 2023 году Яндекс усилил защиту единой технологической платформы, на которой работают все сервисы. Компания внедрила новые инструменты защиты от атак и политики безопасности, включая обновленный механизм, который отслеживает действия внутри инфраструктуры и ограничивает внутренний доступ к ее критическим элементам и данным.
Основной целью была защита пользовательских данных и разработка инструментов для их безопасного хранения. В 2023 году Яндекс продолжил реализацию мер по шифрованию данных и разработал хранилище, где все данные зашифрованы, и сопоставить информацию из хранилища с реальным пользователем невозможно. Функционал хранилища в сложной технологической инфраструктуре, позволяющий работать с большими объемами данных, контролировать все запросы и ограничивать доступ к ним в рамках решения конкретной задачи, например, при работе со службой поддержки. Яндекс начал процесс переноса конфиденциальных данных в эту систему и тестирует ее стабильность.
Кроме того, «Яндекс» повысил уровень автоматизации производственных систем и усилил контроль действий внутри инфраструктуры. В компании ограничен доступ к производству с использованием подхода Zero Touch Production — они предоставляются ограниченному числу сотрудников только с доверенных устройств под конкретную задачу при ее решении. Компания также ввела специальный механизм подтверждения доступа к ключевым системам, согласно которому сотрудник обязан подтверждать свои действия дополнительным фактором аутентификации.
В 2023 году Яндекс усовершенствовал комплексную технологию Smart Protection для защиты от DDoS-атак. Различные элементы безопасности стали активнее обмениваться данными друг с другом, за счет чего система стала более гибкой, быстрее обучаемой и масштабируемой. Поскольку злоумышленники часто меняют метод и направление атаки, в технологии используются алгоритмы машинного обучения, учитывающие более 20 000 факторов. В сентябре этого года Яндекс поделился технологией с рынком — компания выпустила предварительную версию сервиса Smart Web Security для бизнеса.
В 2023 году Яндекс усовершенствовал алгоритмы распознавания мошеннических и фишинговых сайтов, благодаря чему браузер научился точнее идентифицировать эти сайты и предотвратил более 110 миллионов переходов на них.
Яндекс повышенная точность идентификатор звонящего в приложении Яндекс с Алисой до 95% и увеличение полноты базы до 42 млн номеров, что в 2,5 раза больше, чем в начале года. Кроме того, сервис узнал предупреждать о нежелательных звонках в мессенджерах. С момента запуска функции было выявлено около 1 млн звонков в мессенджерах, из них 11% были помечены сервисом как спам.
Яндекс 360 представил новые способы блокировки вредоносных писем, разработал систему анализа спам-атак и улучшен механизм выявления рассылок спамеров, маскируя письма под уведомления о личных сообщениях в социальных сетях. Менее чем за год Почта обработала более 78 миллиардов писем, из которых более 17 миллиардов были помечены как спам или заблокированы.
В 2023 году Яндекс улучшенные алгоритмы проверки рекламы за соблюдение правил их размещения в рекламном агентстве. Эти алгоритмы проверяют около 86 миллионов объявлений каждый день. Менее чем за год компания отклонила более 33 миллионов объявлений и заблокировала около 190 000 аккаунтов рекламодателей, которые пытались показывать рекламу, нарушающую эти правила.
За год Яндекс успешно прошел 39 независимых аудитов по проверке устойчивости инфраструктуры к атакам и безопасности сервисов, а также получил несколько сертификатов соответствие защиты сервиса международным стандартам. Например, Оплатить яндекс стал одним из первых сервисов в России, прошедших сертификацию по международному стандарту безопасности PCI DSS 4.0.
В 2023 году средства программы «Bug Hunt» по поиску ошибок и уязвимостей увеличились с 40 до 100 миллионов рублей. В августе Яндекс. организовал конкурс по защите данных и выплатил этическим хакерам около 10 млн рублей. Bug Hunting помогает бизнесу постоянно повышать безопасность своих сервисов, выявлять потенциальные проблемы и решать их.
