Информационная безопасность в банках: новые вызовы и оптимальные ответы на них
УЧАСТНИКИ КРУГЛОГО СТОЛА, ОРГАНИЗОВАННОГО NBJ ПРИ СОДЕЙСТВИИ АРБ:
Алексей АЗАРКИН, начальник отдела информационной безопасности НРБанка; Сергей АНТИМОНОВ, председатель совета директоров и советник генерального директора ЗАО «ДиалогНаука»; Вадим АНУФРИЕВ, заместитель председателя правления Русского Трастового Банка; Дмитрий БАЙКОВ, руководитель службы информационной безопасности КБ «Пойдем!» (ФГ «Лайф»); Александр БЕЛКИН, руководитель сектора ДБО компании «ИНВЕРСИЯ»; Денис БЕЗКОРОВАЙНЫЙ, руководитель направления по работе с фин ансовыми организациями компании Trend Micro; Максим БОЛЫШЕВ, заместитель директора департамента электронного банковского обслуживания R-Style Softlab; Анатолий БОЧАРОВ, заместитель начальника управления сопровождения информационных технологий КБ «ЮНИСТРИМ»; Александр ВЕЛИГУРА, председатель комитета по банковской безопасности Ассоциации российских банков; Александр ВЕСЕЛОВ, ведущий инженер ЗАО «С-Терра СиЭсПи»; Кирилл ВОРОЖЦОВ, ведущий специалист по информационной безопасности КБ «Гаранти Банк – Москва»; Мария ВОРОНОВА, заместитель начальника управления информационной безопасности Пробизнесбанка (ФГ «Лайф»); Денис ГАВРИЛОВ, технический директор ООО «МультиСофт Системз»; Андрей ГОЛЯШИН, начальник отдела информационной безопасности Фора-Банка; Сергей ГОРЛЕНКО, заместитель начальника департамента защиты информации Газпромбанка; Михаил ГОРЧАКОВ, начальник отдела информационной безопасности КБ «Финансовый стандарт»; Александр ГУЗЕЕВ, вице-президент Джей энд Ти Банка; Вадим ГРИЦЕНКО, начальник отдела информационной безопасности Альта-Банка; Денис КАРПОВ, инженер по информационной безопасности Международного Банка Развития; Елена КОЗЛОВА, руководитель направления Security Compliance центра информационной безопасности компании «Инфосистемы Джет»; Дмитрий КОЗЫРЕВ, директор управления информационной безопасности АКБ «Международный финансовый клуб»; Даниил КОЗЬЯКОВ, PR-менеджер компании LETA; Дмитрий КОСЯК, начальник отдела безопасности информационных технологий Меткомбанка; Сергей КОТОВ, эксперт по информационной безопасности компании «Аладдин Р.Д.»; Вадим КРИВОВЯЗ, главный эксперт по информационной безопасности банка «Российская финансовая корпорация»; Николай КУЗЬМИН, начальник управления внутренней защиты департамента экономической и информационной защиты бизнеса Росгосстрах Банка; Михаил ЛЕВАШОВ, советник генерального директора Финансовой корпорации «Открытие»; Екатерина ЛЕЖНЕВА, менеджер информационной безопасности и непрерывности бизнеса БНП Париба; Георгий ЛЫСОВ, начальник службы безопасности банка «Российская финансовая корпорация»; Сергей МАЗОВ, руководитель группы по работе с партнерами ЗАО «ОКБ САПР»; Константин МАЛЮШКИН, начальник отдела информационной безопасности Алеф-Банка; Нина МАНАЕВА, ответственный за обеспечение информационной безопасности АКБ «Первый Инвестиционный»; Александра МАРКЕЛОВА, заместитель начальника отдела криптографии и смарт-технологий ООО «Ярус»; Вячеслав МЕДВЕДЕВ, ведущий аналитик отдела развития ООО «Доктор Веб»; Евгений МИРОНОВ, ведущий аналитик ООО «УЦСБ», QSA; Дмитрий МИХАЙЛОВ, заместитель начальника управления – начальник отдела информационной безопасности ВСБ управления по информационной безопасности банка «РОССИЯ»; Денис НАЗАРЕНКО, руководитель отдела поддержки продаж центра информационной безопасности компании «Инфосистемы Джет»; Сергей ПАНКРУХИН, начальник СБ ЗАО КБ «РУСНАРБАНК»; Артем ПОПОВ, менеджер по работе с ключевыми клиентами ЗАО «С-Терра СиЭсПи»; Евгений ПОПОВ, начальник отдела информационной безопасности Ури Банка; Арсений ПРИВАЛОВ, главный специалист информационной безопасности банка «Агросоюз»; Илья ПРОКОПОВ, региональный представитель в обособленном подразделении г. Москвы ООО «УЦСБ»; Алексей САБАНОВ, заместитель генерального директора компании «Аладдин Р.Д.»; Александр СЕРЕБРЯКОВ, старший специалист отдела по связям с общественностью ЗАО «Банковские информационные системы»; Евгений СОКОЛОВ, начальник управления информационной и технической безопасности МОСКОВСКОГО КРЕДИТНОГО БАНКА; Алексей СОНИН, ведущий специалист аналитического отдела компании «ИНВЕРСИЯ»; Александр СУСЛОВ, начальник управления информационной безопасности ДКБ ЗАО КБ «Росинтербанк»; Дмитрий СУШКОВ, руководитель службы информационной безопасности МСП Банка; Дарья ТКАЧУК, начальник отдела архитектуры системы управления информационной безопасности Альфа-Банка; Игорь УСАЧЕВ, начальник отдела методологии процессов ИБ Связного Банка; Александр ФЕДОРОВ, начальник управления информационной безопасности ЗАО «Банковские информационные системы».
ВЕДУЩИЙ: Анастасия СКОГОРЕВА, главный редактор NBJ.
ЗАКОНОДАТЕЛЬСТВО ОТОРВАЛОСЬ ОТ РЕАЛЬНЫХ ПРОБЛЕМ ИЛИ ИДЕТ В НОГУ СО ВРЕМЕНЕМ?
NBJ: Тема нашего круглого стола – информационная безопасность в банковском секторе России. Это далеко не первое наше заседание по данной теме. Должна признаться, что каждый раз на повестке дня в рамках обсуждения оказываются новые вопросы или, по крайней мере, несколько изменяются акценты. Первый вопрос я сформулирую так: каковы основные вызовы для обеспечения информационной безопасности в банках сейчас?
А. ВЕЛИГУРА: Должен сказать, что какой-то значительной корректировки существующих вызовов за последний год не произошло. Главным как было, так и остается изменение нормативной базы, поскольку ни законодатель, ни регуляторы не забывают о нас. Как только мы привыкаем к требованиям предыдущего законодательства, появляются новые законодательные акты, к которым необходимо приспосабливаться.
Второй вызов, который надо учитывать и на который нужно отвечать, тоже сложно назвать новым. Речь идет о воровстве: воруют и в сфере электронных платежей, и в сфере ДБО.
В. МЕДВЕДЕВ: Я не считаю, что у нас большие проблемы с законодательным процессом. Да, конечно, в нашем законодательстве есть шероховатости, но это не препятствует тому, чтобы выстроить нормально функционирующую систему безопасности.
На мой взгляд, следует говорить о другом – о разрыве между имеющейся нормативной документацией и возможностями реализации регуляторных и законодательных требований. Положим, банкам решение этой задачи более или менее по плечу, но есть и небольшие организации – владельцы терминальной сети, магазины. Они по своим финансовым возможностям не в состоянии реализовать все требования ИБ, а ведь они также осуществляют финансовые транзакции. Это первая проблема.
Вторая заключается в том, что выпустив достаточно большое количество документов, мы оторвались от базовых определений. Люди просто не в состоянии определить базовый уровень угроз, что неизбежно ведет к неправильному выбору средств защиты, к непониманию того, для чего предназначено то или иное средство защиты. Практически 19 из 20 переговоров с клиентами начинаются с объяснения нами каких-то базовых положений, что, естественно, не внушает оптимизма. В этой ситуации, на мой взгляд, был бы очень актуальным и востребованным переход от обычных нормативных документов, которых выпускается очень много, к единой информационно-аналитической системе, позволяющей связать банковское и oколофинансовое сообщества различными материалами. Это необходимо, чтобы люди понимали, о чем в принципе идет речь, и могли выбрать правильные средства защиты своего бизнеса.
Е. СОКОЛОВ: Есть конкретные технические требования: организация мониторинга инцидентов в сфере ИБ, установка антивирусов, ведение отчетности и т.д. Для того чтобы все это осуществлять, необходимы значительные финансовые ресурсы либо на покупку специальных технических средств, либо на наем дополнительного персонала. Как легко догадаться, и то и другое ведет к увеличению расходов, которые при определенном раскладе могут превысить прибыль компании.
С. КОТОВ: Мне кажется, один из главных вызовов – тот факт, что девятая статья ФЗ № 161 вступила в силу, а ничего во взаимоотношениях между банками и клиентами в случае хищения средств последних не изменилось. Как и раньше, кредитные организации на подобные жалобы реагируют с подкупающей простотой: «У вас украли деньги? Как жаль, мы ничем не можем помочь!»
Еще часто можно услышать: «железо» дорого, всевозможные решения финансово неподъемны для банков. А люди, которых приходится нанимать в большом количестве, не дороги? Особенно в условиях, когда налицо дефицит квалифицированных кадров. Посмотрите сами: институты выпускают максимум три тысячи подобных специалистов, а минимальная потребность составляет 4,5 тысячи человек. Подавляющее большинство новоиспеченных «спецов» – менеджеры по ИБ, которые способны видеть дыры разве что в бумагах, а не в системах.
М. ЛЕВАШОВ: Я согласен с тем, что здесь в рамках обсуждения уже были подняты очень важные вопросы, но хотел бы вернуться к теме, которую обозначил наш модератор – есть ли новые вызовы в сфере ИБ? На мой взгляд, очевидно, что они есть, например геополитический вызов. Вряд ли, конечно, этот фактор будет оказывать долгосрочное влияние, но он имеет место. Надо думать, как организовать противодействие этому вызову.
Второй вызов – лавинообразный рост новых информационных технологий и реализующих их устройств, прежде всего мобильных гаджетов. В близкой мне финансовой отрасли это особенно заметно – нужно организовать и постоянно совершенствовать защиту против мошеннических действий в данной сфере.
Третий вызов трудно назвать новым, скорее следует говорить о том, что он вечный, – персонал. Из практики изучения нарушений, произошедших в разных компаниях, именно действия сотрудников способны привести к серьезным убыткам, если персонал не воспитывать, не контролировать и не направлять его активность на пользу бизнесу.
И еще один момент: если говорить о e-banking, центр тяжести решений по безопасности платежей находится в банке и в промежутке между банком и клиентом. Мы в некоторых случаях должны предполагать, что клиентская площадка занята противником. Наша задача заключается в том, чтобы отличить транзакцию настоящего клиента от транзакции противника – это фрод-мониторинг транзакций.
NBJ: Проверить валидность цифровой подписи – один из вариантов.
М. ЛЕВАШОВ: Этого недостаточно. Понятно, что, если площадка занята противником, то штатная подпись может быть поставлена им под мошенническим документом.
Что касается уже поднятого здесь вопроса о расходах на обеспечение ИБ, есть всем известное, но регулярно игнорируемое средство – аутсорсинг. Он может быть дешевле и заведомо эффективней, чем обеспечение информационной безопасности собственными силами. И можно найти специализированные компании, имеющие высококлассных сотрудников, которые в рамках аутсорсинга за умеренную плату выполнят эту работу.
NBJ: Если все, как Вы говорите, периодически забывают об аутсорсинге, возможно, дело в том, что он не так привлекателен на практике, как в теории?
М. ЛЕВАШОВ: Мне, честно говоря, причины этого неясны. Для малых и некоторых средних банков аутсорсинг будет предпочтительней, чем формирование дорогой собственной службы ИБ. Такой подход согласован в том числе с регулятором.
А. САБАНОВ: На мой взгляд, один из новых вызовов – это тот факт, что сейчас мошенники пользуются дырами в законодательстве. Чтобы не быть голословным, приведу только один пример: у нас нет закона об идентификации и аутентификации. К чему это приводит на практике? Человек приходит в банк и говорит, что хочет обнулить счет, после чего удаляется с мешком денег. И ничего сделать с этим нельзя: паспорт был предъявлен, фото фальшивое и т.д. Какой отсюда вывод? Надо действовать комплексно и укреплять все три составляющие ИБ: законодательство, оргмеры и «железо».
Что касается аутсорсинга, то позволю себе маленькую ремарку: в конце мая состоялось обсуждение рекомендаций Банка России относительно ресурсного обеспечения информационной безопасности. В этих рекомендациях очень грамотно прописано, что аутсорсинг предлагается как средство ресурсного обеспечения на пятом этапе развития защиты информации в финансово-кредитной сфере. Я считаю, что это абсолютно правильный подход.
ГОТОВЫ ЛИ БАНКИ, ГОТОВЫ ЛИ КЛИЕНТЫ?
В. МЕДВЕДЕВ: У нас несколько странное отношение ко всему происходящему. Априори подразумевается, что вся проблема в дырах в законодательстве. А на мой взгляд, она в другом: законы есть, а проблемы возникают на уровне исполнителя, то есть пока нет готовности со стороны банков выполнять в полном объеме то, что предписывает им законодательство.
А. САБАНОВ: Здесь я не соглашусь с вами. И в мире, и у нас в стране принят следующий порядок. Создаются новые технологии – мобильная связь, электронная сеть и т.д. Это сопровождается появлением неких рекомендаций, которые впоследствии могут перерасти в стандарты, причем, что особенно важно отметить, в стандарты обязательные для выполнения. У нас же все стандарты носят рекомендательный характер, и мы не шевелимся, пока не выйдет профильный закон. А он часто выходит после длительных согласований и «дырявый».
А. ВЕЛИГУРА: Получается какой-то замкнутый круг: пока не заставят, никто безопасность обеспечивать не будет. И как из него можно выйти? Будем ждать, пока совесть проснется? Мне кажется, что эффективный механизм – показывать на реальных примерах, что обходить рекомендации и стандарты по ИБ экономически невыгодно. Когда банки это осознают, я думаю, количество подобных попыток обхода резко сократится.
Д. БЕЗКОРОВАЙНЫЙ: Я бы хотел поговорить об инновационных решениях. Даже в рамках этого обсуждения мы видим, что характер угроз несколько изменился, целевых атак стало больше, это подтверждается исследованиями, проведенными как в России, так и в других странах. В связи с этим, естественно, возникает вопрос, сколько внимания банки уделяют инновационным решениям? Можно, конечно, создать систему ИБ на основе старых решений, но в этом случае мы получим не реальную защиту, а ее имитацию. Например, старые антивирусные системы пропускают примерно 80% угроз, с которыми пользователи сталкиваются в реальной жизни.
В. МЕДВЕДЕВ: Тут надо разобраться, что такое новые, а что такое старые средства.
Е. СОКОЛОВ: На мой взгляд, дело тут не в новых или старых средствах защиты, а в технологии. А технология одна – фрод-мониторинг, и ничего нового в этом вопросе мы не придумаем. Надо отслеживать трафик, постоянно анализировать, не появилось ли что-нибудь странное и неординарное. Конечно, для этого нужны люди, иначе проблему противодействия мошенникам не решить.
С. ПАНКРУХИН: Можно поставить хорошую антивирусную защиту и нанять квалифицированных специалистов, но что делать с клиентами? Как должны выстраиваться отношения между ними и банками. Пожалуйста, есть Письмо № 209-Т, изданное ЦБ РФ. В нем финансово-кредитным организациям рекомендуется включать в договоры следующий пункт: если что-то происходит на стороне клиента, то ответственность за это несет клиент.
В. МЕДВЕДЕВ: Если опираться на статистику, то в 60% случаев клиент не имеет никаких необходимых средств защиты – в частности установленного антивируса.
С. ПАНКРУХИН: О том и речь. При таком раскладе наши усилия оказываются по большей части бесплодными. Можно нанять массу специалистов, чтобы они осуществляли мониторинг инцидентов. Но как заставить клиента поставить по рекомендации банка антивирусную защиту? А когда происходит хищение, люди обижаются и уходят, обвиняя во всем кредитную организацию. Возможно, это не самая острая проблема для крупных организаций, но она безусловно очень болезненная для малых и средних игроков, которые и так на фоне кризиса страдают от оттока клиентов.
К. МАЛЮШКИН: Я бы хотел озвучить предложение, которое, возможно, покажется несколько экстравагантным. Для того чтобы клиент стал соблюдать рекомендации по безопасности по доброй воле, его надо чем-то заинтересовать. Просто твердить ему, что так надо, бесполезно – возможно, лучше подумать над повышением ставки по вкладу или понижением ставки по кредиту для тех людей, которые ведут себя ответственно с точки зрения соблюдения рекомендаций ИБ.
С. КОТОВ: У меня есть, как мне кажется, более конструктивное предложение. Хорошо известно, что, прежде чем пустить человека за руль автомобиля, его обязывают сдать экзамен и получить права. Возможно, самое время вводить права клиента банка по результатам того, соблюдает пользователь банковских услуг или нет рекомендации по ИБ.
NBJ: Боюсь, что при таком раскладе останутся только 200–300 банков – из остальных клиенты просто-напросто уйдут, не желая сдавать экзамены на получение прав.
С. КОТОВ: Встречный вопрос: а зачем нам банки, которые несерьезно относятся к вопросам обеспечения собственной информационной безопасности и которые не требуют ответственного отношения клиентов к этому?
С. АНТИМОНОВ: Отношение кредитных организаций к проблемам обеспечения ИБ так или иначе изменится. Оно уже меняется, в том числе после вступления в силу девятой статьи ФЗ № 161, обязавшей банки возмещать средства, похищенные у клиентов. И если еще пять лет назад они не уделяли большого внимания средствам защиты, воспитанию клиентов и т.д., то теперь их подходы меняются, это естественно, если учесть, что появились новые риски. Вся эта ситуация наглядно демонстрирует, какую роль может сыграть вступление в силу нового закона.
Отмечу второй момент. Недавно руководитель одной из крупнейших в мире компаний – производителей средств защиты информации признался, что их новый антивирус пропускает порядка 50% всех атак. Компания, по его словам, сделала выводы и сейчас выстраивает свою стратегию по следующему принципу: мы должны предположить, что враг уже сидит внутри нашей корпоративной сети, нужно его искать по тем действиям, которые совершает вирус.
Д. КОЗЫРЕВ: Разрешите все-таки развить тему взаимодействия с клиентом. Прозвучало несколько замечаний о правильности финансовой ответственности банков в случае потери денег клиентом. Хотелось бы резюмировать: проблема ДБО сейчас имеет в себе несколько бизнес-противоречий и противоречий информационной безопасности.
Во-первых, мы эксплуатируем систему, которая состоит из двух компонентов – банковского и клиентского. За клиентский компонент банк не отвечает, не контролирует то, что там происходит. Мы можем только дать клиенту рекомендации в договоре, которые он совершенно не обязан соблюдать. Получается, что эксплуатируется система, имеющая дыру на стороне клиента. О какой защите может идти речь в данной ситуации?
Во-вторых, Центральный банк предъявляет к кредитным организациям требования, касающиеся консультирования клиентов по вопросам информационной безопасности. Это совсем другой бизнес. Мы не консалтинговое агентство, не располагаем call-центром, у нас нет ресурсов, чтобы дополнительно этим заниматься.
В-третьих, безопасность построена на рисках. Риски клиентов могут отличаться от рисков кредитной организации. Клиент снижает свои издержки, экономит на безопасности. Основное противоречие банковского бизнеса – клиент воспринимает ДБО как услугу, соответственно, он не хочет воспринимать банк как куратора, не хочет слушать его рекомендации, платить дополнительные деньги за страховку и уходит. С этим приходится работать.
ВЫПОЛНЕНИЕ РЕКОМЕНДАЦИЙ ПО БЕЗОПАСНОСТИ КАК ВЫПОЛНЕНИЕ ПРАВИЛ ЛИЧНОЙ ГИГИЕНЫ
К. МАЛЮШКИН: Знаете, здесь можно сказать о том, что и клиент, и банк заинтересованы в решении этого вопроса, потому что клиент несет деньги в кредитную организацию не для того, чтобы они там просто лежали – он стремится получить выгоду. Банк, в свою очередь, взимает комиссию за обслуживание. Это взаимный интерес. Говорить о том, что клиент не обязан выполнять предписаний, – значит по меньшей мере упрощать ситуацию. Нужно привлекать клиента к исполнению обязательств, чтобы он действовал самостоятельно, а не надеялся на великий и могучий банк. Возможно, необходимо заинтересовать по принципу кнута и пряника. Также хотелось бы, чтобы законодательная власть приняла документы, регламентирующие данную ситуацию.
В. МЕДВЕДЕВ: Боюсь, что использовать пряник не получится. Тот, кто придумает маркетинговый ход, заставляющий клиента понять, для чего нужна информационная безопасность, может сразу рассчитывать на получение Нобелевской премии. Клиенты не понимают и не хотят ничего понимать, для них потери от несоблюдения требований информационной безопасности гораздо меньше, чем возможные потери от других видов бизнеса. Более того, если банки потребуют от своих клиентов соблюдения требований ИБ, то клиенты просто начнут уходить.
Д. КАРПОВ: Ситуация, мягко говоря, противоречивая. С одной стороны, чем проще и удобнее клиенту – тем ему лучше, с другой стороны, чем проще клиенту – тем хуже банку. Мне понравилась идея о том, что нужно заинтересовать клиента информационной безопасностью. В настоящее время существует множество мелких фирм, которые зачастую грубо нарушают правила информационной безопасности. Система ИБ работает только тогда, когда она соблюдается на каждом участке цепочки, от начала до конца, иначе она развалится. Почему бы в таком случае не рассмотреть идею использования каких-либо платежных терминалов, тех же самых карточных верифонов, кассовых аппаратов – устройств, выполняющих одну и ту же функцию банковского платежа? Также можно начать использовать доверенные персональные рабочие места кассира, бухгалтера, которые выполняют одну-единственную функцию. Пусть это сертифицированное устройство будет написано на компилируемом языке, не будет иметь никаких портов, кроме питания. Можно просто изготовить и начать устанавливать подобные объекты.
С. КОТОВ: Мне известен один реальный пример, когда руководство кредитной организации, внедрив одну из систем информационной безопасности, затем сказало клиентам: «Господа, если вы не можете потратиться на собственную систему ИБ в таком-то размере – значит вы не клиенты нашего банка». Кредитная организация продолжает работать по сей день, клиенты не разбежались. Модель бизнеса банка должна быть привязана к модели развития ИБ – по-другому не бывает.
А. ВЕЛИГУРА: Хотел бы сообщить, что в прошлом году мне довелось готовить материал по анализу состояния ИБ в финансовых организациях за рубежом. В рамках этой подготовки мне попался обзор, в котором были подробно описаны основные проблемы, вызовы и угрозы в данной сфере. Вот что выяснилось: несмотря на то что в западных странах гораздо раньше появились средства электронного платежа, 85% противоправных деяний происходит по вине клиентов. Разумеется, воспринимать эту цифру надо с поправкой на то, что об этом говорят банки, а они всегда рады спихнуть на клиента ответственность за случившееся. Но если бы клиент был виноват только в 10% случаев, вряд ли финансово-кредитные организации указали 85%.
М. ГОРЧАКОВ: Я работал и в небольших, и в крупных банках – опыт накоплен немалый. Законодательно можно принудить клиента использовать только е-токен, но мы должны отдавать себе отчет в том, что на стороне клиента есть масса других уязвимых мест, которые будут нарушены. Не забывайте, что договор между кредитной организацией и клиентом – это соглашение двух хозяйствующих субъектов. Как вы пропишете в договоре отношения, такими они в дальнейшем и будут. Если все риски будут повешены на банк (в том числе вы установите какой-то стандарт безопасности для клиентов), то где вы в таком случае найдете стороннего аудитора? Кто будет проводить аудит безопасности на стороне клиента?
Возьмем, к примеру, средства хранения ключей – это только один рубеж защиты. Если вы зайдете в любую организацию, где нет защиты доступа в помещение, нет видеонаблюдения, то найдется финансовая информация, в том числе выписка со счета, которая хранится в шкафчике и является доступной для любого желающего. Это, по сути, информация, которая дает понимание о состоянии счета – не нужно взламывать систему. Более того, не успевая сделать работу в офисе, служащие уносят ее домой. В домашних условиях защищенная среда не может быть гарантирована. Вся априори защищенная информация станет доступной.
Задача банка состоит в том, чтобы обеспечить максимальную защиту на своей стороне, чтобы в случае судебных споров при организации комиссии, которая будет разбирать возникшую проблему, доказать, что он исполнил свои обязательства в полном объеме.
Современное законодательство ужесточилось, это большой плюс. Теперь после выхода Положения Банка России № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» появилась необходимость в службе ИБ. Раньше ее представлял человек или группа людей, которые не имели правового статуса.
Теперь можно двигаться вперед. Основной вызов остается всегда – это диалектика безопасности, когда средства нападения всегда опережают средства защиты. Не было бы такого количества атак, которое мы имеем сегодня – не было бы и такого разнообразия способов защиты. Сегодня атаки производятся не только на ДБО, но и на системы исполнения платежей. Раньше это было просто немыслимо.
А. САБАНОВ: Наши законы регулируют взаимоотношения между государством, бизнесом и личностью, создают условия для того, чтобы эти технологии использовались. Безусловно, по нормативно-правовой базе мы отстаем от высокоразвитых стран. Многие законы обсуждаются годами и не принимаются. Сегодня банки могут устанавливать любые правила игры в отношении любых технологий, в том числе ДБО. Я за то, чтобы законы в нашей стране издавались вовремя, чтобы в них было поменьше дыр, только и всего.
А. БЕЛКИН: Как правило, объем хищений прямо пропорционален стремлению банка применять технические средства и средства информационной безопасности. Как только вырастает объем хищений, соответственно увеличивается желание банка покупать защиту для сети, e-токены и т.д. Поэтому стремление Центробанка, который предлагает ввести законодательно какие-либо средства и методы, мы обычно встречаем с радостью, для нас это некий ориентир. Без оглядки на ориентир игроки финансового рынка уходят в полноценное маскирование данной деятельности. Организации, которые интенсивно защищаются, – это отличные банки, они выступают лидерами развития информационной безопасности.
И. УСАЧЕВ: Крупные игроки могут позволить себе защиту от угроз, которые только возникают или могут возникнуть. Но службы безопасности организаций, не имеющих ресурсов, в большей степени ждут ценных указаний от регулятора и нормативных документов, чтобы иметь возможность прийти к руководителю, рассказать о требованиях закона и заложить определенный бюджет под нужды ИБ. Это проблема. Не все регуляторы прислушиваются к мнению экспертного сообщества банков, которые действительно работают с кейсами инцидентов.
На мой взгляд, еще один очень важный аспект нашей темы – взаимодействие банков в сфере ИБ. Известно, что вывести деньги в никуда нельзя. Есть перечень людей, которые этим занимаются, организации, которые открываются с этой целью. Обмена подобной информацией на законных основаниях быть не может, потому что имеет место передача персональных данных. Банки в рамках правового поля ничего сделать не могут, потому что есть бюро кредитных историй, а вот бюро мошенников не существует. Никто не хочет взять на себя смелость и ответственность за создание подобной структуры, никто не хочет тратить собственные средства на ее организацию. И это также проблема.
М. БОЛЫШЕВ: Мне кажется, мы стоим на пороге возникновения новых проблем с безопасностью. Давайте не будем забывать о росте продаж мобильных девайсов – в прошлом году был продан первый миллиард планшетов. В России за первый квартал текущего года продано около 50 млн смартфонов. Банки обязательно ринутся закрывать эту нишу, предоставлять услуги на мобильных устройствах, при этом они постараются вынести в системы ДБО все, что можно, в том числе и заключение договоров. Это неизбежно создаст отдельную зону риска.
Законодательство должно регулировать те возможности и средства безопасности, которые будут предоставлять банки. Но при этом мы должны понимать, что оно всегда будет отставать от реальной жизни и к нему следует относиться как к средствам личной гигиены. Чистишь зубы – не будет кариеса, выполняешь требования и рекомендации регулятора в сфере ИБ – значит сможешь избежать огромного вороха проблем. Но при этом необходимо учитывать, что каждый банк уникален, каждый будет находить свои средства обеспечения информационной безопасности.
Дмитрий ДЕМИДОВ, руководитель департамента CRM компании НОРБИТ
В банках CRM-система является одним из главных хранилищ персональной информации, утечка которой способна нанести организации непоправимый ущерб, поэтому вопрос защиты информации в системе взаимодействия с клиентами является приоритетным.
При внедрении CRM в банках эксперты компании НОРБИТ руководствуются принципами комплексного подхода безопасности и применяют технические и административные средства. С целью обеспечения конфиденциальности информации при ее передаче настраивается шифрование на базе защищенного протокола Secure Socket Layer (SSL). Это позволяет исключить утечку сведений при удаленном подключении к CRM-системе. Также шифрованию подвергается клиентская база данных и ее резервная копия, что гарантирует безопасность клиентской информации в CRM-системе.
Экспертами компании НОРБИТ отработана методология административного подхода выстраивания многоуровневой архитектуры защиты информации. Все пользователи CRM разделяются на группы, соответствующие типовым ролям. Доступ к каждому из разделов данных осуществляется строго по правам, настроенным для конкретной роли, – можно скрывать и открывать данные для групп пользователей, выставлять ограничения с детализацией до поля в карточке клиента, гибко разделять права на чтение и запись, отслеживать и ограничивать действия сотрудников.
Формула безопасности CRM-проекта – это сочетание комплексного подхода к защите и обеспечение баланса между удобством пользования CRM и безопасностью. Кроме того, для реализации максимально эффективного проекта важен профессионализм и отраслевой опыт команды. К примеру, практика CRM НОРБИТ является одной из наиболее опытных и крупнейших на российском рынке. Отработана гибкая методология внедрения отраслевых решений на базе Microsoft Dynamics CRM 2013 с учетом индивидуальных требований клиентов.
Светлана КОНЯВСКАЯ, заместитель генерального директора ЗАО «ОКБ САПР»
Сейчас очень заметно, как много общего у безопасников и банкиров. И те и другие видят основную причину всех проблем в том, что обеспечение информационной безопасности – это сложная предметная область, которую клиент не вполне понимает и за которую не готов платить достаточно. По репликам участников круглого стола видно, что под клиентами в отдельных случаях некоторые безопасники подразумевают как раз таки самих банкиров. Для клиента чего угодно (банка, ресторана или дистрибьютора средств защиты информации) совершенно нормально стараться минимизировать расходы. Обратное может говорить только о наличии явно выраженной коррупционной составляющей.
На круглом столе заметная часть дискуссии была посвящена тому, как заинтересовать клиента в собственной информационной безопасности тем или иным способом. Отдельное спасибо Константину Малюшкину (начальнику отдела информационной безопасности Алеф-Банка – прим. ред.) за поднятие этой темы. К сожалению, по большей части обсуждение вращалось вокруг того, почему это невозможно. Но обсуждение уже было, а когда мы ставили так вопрос впервые, в начале 2013 года, ничего, кроме недоуменного молчания, это не вызвало. Динамика положительная!
Конечно, клиента нужно мотивировать, например, условиями договора: если он работает в защищенной среде с выполнением рекомендаций банка, то за его средства отвечает банк. А если он не хочет выполнять рекомендации, тогда, если что – он сам виноват.
Но и банк тоже стоит мотивировать. Представляется, что мотив есть: разделение своих услуг на разные классы (защищенные – с ответственностью кредитной организации, незащищенные – с ответственностью клиента) может положительно сказаться на ассортименте предлагаемых банком услуг.
Поддерживая скепсис в отношении предложения об экзамене на права, замечу, что противоестественно ожидать хорошей реакции клиента на предложение заплатить много денег за то, чтобы работать с банком стало сложнее. Нормально – платить за то, чтобы стало лучше, а не хуже.
Средство защиты информации на стороне клиента, конечно, не должно требовать от него никаких знаний, умений и навыков. Оно должно работать само, и его должно быть невозможно испортить попыткой перенастройки и других «улучшений». Не следует привязывать его к одному компьютеру и накладывать абсурдных ограничений, вроде интернет-банкинга без подключения к сети Интернет.
Такие средства есть. Банки обращаются к нам за ними.
Виктор СЕРДЮК, генеральный директор ЗАО «ДиалогНаука», кандидат технических наук, CISSP
На сегодняшний день для большинства кредитно-финансовых организаций одной из наиболее опасных угроз являются целенаправленные атаки (угрозы APT, таргетированные атаки, угрозы нулевого дня и т.д.). Актуальность этих рисков подтверждается реальными инцидентами, произошедшими в российских банках за последние несколько лет, вследствие которых они понесли значительные финансовые потери.
При проведении целенаправленной атаки первоначальное проникновение в сеть банка может осуществляться, например, через Интернет, когда пользователь заходит на скомпрометированный злоумышленником сайт, через который эксплуатируется уязвимость в его интернет-браузере. Другим вариантом реализации атаки является отправка пользователю электронного письма с вложением (например, документа формата MS Office или Adobe Acrobat), при открытии которого эксплуатируется уязвимость в клиентском ПО и на компьютере пользователя запускается вредоносный код. И в том, и другом случае атаку не смогут обнаружить антивирусы и другие средства защиты, уже установленные в банке, так как злоумышленник использует уязвимости, сигнатуры для детектирования которых еще не внесены в базы данных систем безопасности.
Таким образом, для эффективной защиты от такого вида угроз необходимо применять специализированные решения, примером которых является система FireEye.
Решения FireEye реализуются в виде программно-аппаратных комплексов, выделяющих из входящего сетевого трафика те объекты, при помощи которых может реализоваться целенаправленная атака (гиперссылки, вложения в почтовые письма, передаваемые по сети файлы и т.д.). После этого проводится поведенческий анализ этих объектов в специальных виртуальных машинах (представляющих разные версии операционной системы Windows с различными версиями прикладного ПО), которые запускаются на платформе FireEye. В случае появления признаков вредоносной активности атака блокируется. FireEye также позволяет анализировать исходящий трафик банка с целью выявления уже инфицированных узлов внутри корпоративной сети.
Опыт ЗАО «ДиалогНаука» показывает, что внедрение решений класса FireEye значительно повышает общий уровень ИБ кредитной организации.
Александр БОЛГАК, менеджер по продукту ЗАО «РНТ»
Довольно часто успешное вторжение в корпоративную сеть банка обнаруживается постфактум, то есть когда атака на систему уже была произведена. Сегодня сплошь и рядом происходят покушения на безопасность информационных банковских систем, в особенности на ресурсы тех финансово-кредитных организаций, которые вовремя не позаботились об оснащении своей локальной сети современными средствами защиты информации. Чтобы не стать жертвой хакерской атаки, лучше всего строить работу в области обеспечения ИБ по принципу «предупрежден – значит вооружен». Таким средством является система обнаружения компьютерных атак (СОА) «Форпост» от ведущего производителя средств защиты информации ЗАО «РНТ»
СОА «Форпост» предназначена для выявления и предотвращения развития сетевых компьютерных атак в информационных системах банков, направленных на рабочие станции пользователей, серверы и коммуникационное оборудование. Система позволяет одинаково эффективно выявлять и блокировать источники атак со стороны как внешних, так и внутренних нарушителей.
Функциональные возможности
В основу функционирования системы положен сигнатурный метод выявления атак. Он обеспечивает обнаружение атак на основе специальных шаблонов (сигнатур), каждый из которых соответствует конкретной атаке. При получении исходных данных о сетевом трафике информационной системы СОА «Форпост» производит их анализ на соответствие указанным шаблонам атак, имеющимся в базе данных. Кроме того, СОА производит анализ передаваемого трафика на соответствие спецификациям протоколов, описанным в RFC. В случае обнаружения сигнатуры в исходных данных система регистрирует факт обнаружения атаки, оповещает администратора безопасности о событии и производит блокирование источника атаки с помощью соответствующего коммуникационного оборудования.
Достоинства системы: обнаружение атак в режиме реального времени; блокировка источника угрозы ИБ на МЭ; поддержка обновлений базы данных сигнатур атак в системе; наличие подсистемы собственной безопасности; удобный русскоязычный графический интерфейс программы управления СОА; модульная архитектура, позволяющая адаптироваться к требованиям конкретной ИС по производительности и отказоустойчивости; сертификаты ФСТЭК России и ФСБ России.
Александр Веселов, ведущий инженер ЗАО «С-Терра СиЭсПи»
Колоссальный прогресс в ИТ-индустрии зачастую приводит к тому, что средства информационной безопасности отстают от темпов развития технологий. Яркий пример – мобильные платформы, использование которых значительно расширило перечень потенциальных угроз информационной безопасности. Кроме того, следует отметить низкий уровень подготовки большинства рядовых пользователей и, как следствие, непонимание основных принципов интернет-гигиены.
При таких тенденциях необходима непрерывная защита от угрозы: до атаки, в процессе и после атаки. Проактивные механизмы в средствах обеспечения безопасности должны быть не просто статическими и сигнатурными, а в большей степени адаптивными. Интеллектуальный анализ, который сейчас проводится персоналом вручную, необходимо автоматизировать. Это позволит оперативно реагировать на новые угрозы и надежно защитить инфраструктуру.
К сожалению, нормативная база также не успевает за прогрессом. Виртуализация, мобильные платформы – эти и другие аспекты до сих пор не в полной мере отражены в документах регуляторов. В настоящее время продолжается обновление СТО БР ИББС – будем надеяться, что новая редакция документа позволит расставить все точки над «i» в вопросах информационной безопасности финансовых организаций.
Банк – это прагматичный заказчик, который использует только проверенные и хорошо себя зарекомендовавшие продукты для собственной системы защиты. В такой ситуации применение инновационных средств весьма затруднительно. Ставки слишком высоки, чтобы использовать непроверенный рынком продукт. Кроме того, в крупных банках разработка и согласование проекта могут занять достаточно длительное время, поэтому в момент начала использования средство защиты может быть уже обыденным, а не инновационным.
Информационная безопасность финансовых организаций разделена на две составляющие: соответствие стандартам и реальная защищенность. Многие аспекты первого пункта могут выполняться формально. Зато по второму пункту банки значительно опережают компании из других сфер. Зачастую некоторые изменения в нормативной базе, касающиеся ужесточения требований, уже учтены и используются в банковских системах защиты.