IT ManagerБезопасностьУправление ИБ

Не запрещать, а искать альтернативу

Григорий Рудницкий | 29.11.2018

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Не запрещать, а искать альтернативу

Информационная безопасность является одним из важнейших элементов работы любой финансовой организации. Защищаться нужно от любых типов угроз: не только внешних атак, но и инсайдерских инцидентов. Сами злоумышленники тоже не стоят на месте, в их техническую оснащенность вкладываются значительные средства, а человек был и остается самым слабым звеном. Какие задачи сегодня стоят перед банковским директором по информационной безопасности (СISO)? О них мы побеседовали с Вячеславом Касимовым, директором Департамента ИБ Московского кредитного банка.

Расскажите о себе, чем вы занимались до того, как пришли работать в Московский кредитный банк?

Я окончил Московский технический университет гражданской авиации по специальности «Информационная безопасность телекоммуникационных систем». До прихода в МКБ длительное время был вице-президентом по информационной безопасности в банке «Открытие». Затем недолго проработал в «Национальной системе платежных карт» (НСПК), где также отвечал за ИБ. Тем же самым занимаюсь сегодня и в МКБ.

Какие задачи, связанные с информационной безопасностью, сегодня приходится решать вам и вашим коллегам в МКБ?

Наш банк можно назвать универсальным, каких-то новых процессов, для меня здесь не наблюдается. Но у МКБ есть большая терминальная сеть, большое количество банкоматов, распределенных в нашем регионе. В остальном везде похожие процессы, направленные в итоге на противодействие мошенничеству. Причем неважно, какому мошенничеству. Это может быть клиентское мошенничество, происки киберпреступников, атаки на банк, атаки на клиентов, атаки на ДБО, а также инсайдерские инциденты. Словом, мы должны интеллектуально реагировать на любые угрозы, позволяющие украсть деньги. Всего мы поддерживаем 72 ИБ-процесса, начиная от антивирусной защиты и заканчивая расследованиями самых различных инцидентов.

Как изменились за последний год угрозы и киберпреступники?

Цикличность здесь не годовая, а чуть больше, от двух до пяти лет. Если посмотреть на предыдущие пять лет, то можно вспомнить, что злоумышленники тогда были более наивными, угрозы менее совершенными технически, а мы, как противодействующая сторона, тоже менее опытными. Где-то в 2008–2010 годы основными целями атак становились сами клиенты. Если это физическое лицо, то атаке подвергалась его карта, а если юридическое, то в мишень превращалась система ДБО на стороне клиента. В 2010 году как раз пошли волны таких атак на юридических лиц. С годами киберпреступники становились умнее и в конце концов решили, что им незачем гоняться за мелкими клиентами и воровать у них по несколько миллионов рублей, в то время как можно украсть у самого банка, где сосредоточены сотни миллионов. Это дало ощутимый скачок и для развития банковской информационной безопасности в целом в России. В 2014 году мы зафиксировали первую серьезную атаку на банк, я тогда еще работал в «Открытии». С того момента потенциальные злоумышленники стали действительно серьезными соперниками. Их техническое оснащение было намного лучше, чем у банка, поскольку в него напрямую инвестируются средства, как в бизнес, а маржинальность бизнеса преступников феноменальна. Она по размеру сопоставима с наркоторговлей. 

Преступный мир развивается, и нам нужно не отставать. Получается «гонка вооружений». К тому же приходится бежать быстрее конкурентов на рынке, чтобы твой банк взломать было сложнее, чем другой банк. Что касается самих целей атак, вряд ли они претерпят изменения, они по-прежнему будут направлены на клиентов и на сами банки, но пропорции могут меняться в зависимости от того, что будет лучше защищено. Конечно, полным «сюрпризом» для рынка, и не только российского, было появление шифровальщиков. Все организации, а не только кредитные, поняли, что информационной безопасности нужно уделять время и тратить на нее ресурсы.

Сегодня услуги ИБ все чаще предлагаются системными интеграторами из облака, по подписке. Насколько такая модель интересна для вашего банка?

Есть ряд сервисов, которые всегда передаются в облако. Например, внешнее сканирование безопасности. Его осуществлять значительно удобнее из облака. Что же касается классических сервиcов, здесь есть своя специфика, связанная, с одной стороны, с выполнением законодательства, а с другой – с качеством работы самих облачных сервис-провайдеров. Если мы говорим о SOC, то это, как правило, коммерческая организация. Нет большого риска в том, чтобы передать ей логи систем, которые обычно не содержат чувствительной информации. Возникает другой вопрос: насколько качественными будут такие услуги? По моему опыту взаимодействия с поставщиками услуг подобного рода могу сказать, что у них не очень сильные аналитики, соответственно, и применяемые правила зачастую слабые. Другой пример связан с требованиями регулятора. Банковскую тайну передавать вообще-то не очень хорошо. Такие сервисы, как Web Application Firewall, раскрывают трафик. Поэтому облачное устройство «видит», какие платежи совершает клиент. Сразу же возникают законодательные сложности. Возьмем другой сервис, DLP. Даже во внутренней почте банка периодически проскальзывают сведения, составляющие банковскую тайну. Эти и другие ограничения создают определенные препятствия для использования облачных ИБ-сервисов. Взять и полностью вывести всю ИБ на аутсорсинг, конечно, можно, но этот проект займет длительное время. Я в «Открытии» многое вывел на аутсорсинг. Но проект был начат в 2010 году, а полноценно все заработало только в 2016-м. В целом же скажу, что все это можно сделать, и, наверное, средние и небольшие банки постепенно будут выводить информационную безопасность на аутсорсинг. Крупные же останутся на классической модели.

У вас есть свой собственный SOC?

У нас собственная команда для мониторинга и реагирования на инциденты. Внешних услуг мы здесь не используем, поскольку достаточно своих внутренних ресурсов. Как я уже говорил, заход во внешний SOC пока не очень оправдан. Стандартный SOC предоставляет шаблонизированный набор правил мониторинга и реагирования, причем реагирует сама организация. Если же мы хотим что-то в нем развивать, это стоит немалых денег. Аналитики выделяются на full-time, а потому экономическая составляющая подсказывает, что лучше иметь свое.

Вы рассказали, что заменили самописную антифрод-систему промышленной. Как вы подходите к выбору ИБ-решений? Какие критерии являются самыми важными?

Если мы говорим о критически важных процессах, то стараемся не использовать собственные разработки. Для business critical это еще возможно, но для mission critical – точно нет. Когда мы понимаем, что решение нужно приобретать на рынке, то смотрим на его возможности, на функции, а затем, исходя из этого, делаем тесты, лучше если не на своей инфраструктуре. Причем моделируем нестандартные ситуации и смотрим, поддержит ли их данное решение. Когда уже шорт-лист сформирован, берем тестовые методики, предлагаемые каждым вендором, а затем на их основе формируем суперметодику и добавляем в нее собственные тесты. Наконец, по той методике выполняем полноценное тестирование уже на своей инфраструктуре и делаем окончательный выбор.

Автоматизация многих банковских процессов выгодна бизнесу и клиентам. Но инновации несут и определенные риски в сфере информационной безопасности. Как соблюсти баланс?

Я всегда запрещаю своим подчиненным что-то запрещать. Если возникают подозрения, что та или иная технология несет в себе риски для информационной безопасности, то всегда должен быть предложен альтернативный вариант, который удовлетворит потребности подразделения, обращающегося с этой инициативой. Любые подобные инициативы могут быть обработаны ИБ таким образом, чтобы полученный продукт был, с одной стороны, безопасен, а с другой – удовлетворял бы требованиям, которые к нему предъявляет бизнес.

Отраслевой регулятор Банк России активно издает документы, регламентирующие информационную безопасность в финансовых организациях. Некоторые из этих документов носят рекомендательный характер. Насколько такие требования покрывают возможные риски и все ли они выполняются в вашем банке?

Важно понять, какой подход исповедует Центробанк. Изначально выпускаемые им документы действительно носят рекомендательный характер. Но с течением двух-трех лет из рекомендательных они превращаются в обязательные для исполнения. И вполне разумно, что этот временной отрезок дается не просто так, а для того, чтобы кредитная организация привела свою работу в соответствие требованиям регулятора. Что касается нас, мы оперируем риск-ориентированной моделью управления ИБ. При адекватной обработке каждого риска, требования так или иначе начинают выполняться, независимо от того, кем они выпущены. Все, что остается, – это правильно задокументировать процессы, реализующие данные требования и своевременно предоставлять регулятору соответствующие свидетельства их выполнения. Стопроцентного идеала нет нигде, недочеты есть у всех, но главное, чтобы регулятор увидел, что информационной безопасностью действительно серьезно занимаются. У Центробанка вполне адекватные требования и стандарты, причем на уровне мировых.

Одна из самых серьезных проблем в информационной безопасности – человеческий фактор, недостаток культуры, если можно так сказать. Как вы решаете эту проблему?

В первом сезоне известного сериала «Мистер Робот» хакеры готовились атаковать корпорацию и искали уязвимости. Один хакер показал другому фотографию, на которой было запечатлено здание этой корпорации, и спросил, сколько уязвимостей тот видит. Он ответил, что видит, как минимум шесть уязвимостей, а на фотографии как раз было изображено шесть человек. Сколько ни старайся, человек всегда остается слабым звеном, подверженным и фишингу, и социальной инженерии. По недоразумению, незнанию или недомыслию он может осуществить те действия, которые ожидает от него злоумышленник. Единственный путь решения этой проблемы заключается в обучении сотрудников и повышении их осведомленности. У нас регулярно проводится инструктаж и тестирование по вопросам ИБ. С конца года мы дополним обучение эмуляцией действий, которые осуществляют хакеры. Те, кто не пройдет такое тестирование, будут повторно проходить обучение, акцентированное уже на противодействие внешним атакам.

Есть компании, специально нанимающий хакеров, которые любят взламывать системы, но не являются киберпреступниками. Готовы ли вы пригласить такого человека на работу?

Если в организации выстроены адекватные процедуры приема на работу, то сразу же можно понять, стоит брать такого сотрудника или нет. У меня в команде всегда были специалисты, которые умеют что-то ломать, и у них есть соответствующий опыт. Разумеется, не преступный опыт, они всегда были «белыми» хакерами. Сейчас мы тоже подбираем сотрудников в подобную команду, конечно, к их проверке мы относимся с особо тщательностью. Наконец, эти люди у меня всегда на виду, и я знаю, чем они занимаются. Поэтому держать таких специалистов в штате очень эффективно и полезно. При выводе в продакшн новых систем, без них очень тяжело обойтись. Стандартные сканеры безопасности никогда не дадут такого же результата.

И последний вопрос. Кому в вашем банке подчиняется Департамент информационной безопасности: ИТ-директору или высшему руководству? В чем плюсы и минусы того и другого подхода?

Мы самостоятельная структура. Я напрямую подчиняюсь председателю правления банка. Нормативы регулятора также требуют от организации самостоятельности и независимости ИБ от ИТ. Это понятное и логичное требование, поскольку информационная безопасность с позиций ИТ выглядит как контролирующая сущность. Если контролирующая структура находится внутри контролируемой, такой подход неэффективен. С другой стороны, в случае симбиоза ИТ и ИБ есть свои плюсы. Дело в том, что тогда любые инициативы безопасников выполняются более оперативно и с более внятным выделением ресурсов. Правда, в этом случае у безопасников нет возможности сказать свое веское слово. При возникновении конфликта интересов, всегда выбирается «легкий» путь и закрываются глаза на любые риски.

Я никогда не понимал ситуацию, в которой ИТ воюет с ИБ. Это совершенно неконструктивно. Поэтому, как только я приходил в какую-либо новую организацию, всегда старался наладить с айтишниками хорошие и добрососедские отношения. Мы в МКБ всячески помогаем друг другу. 

 

 

 

Ключевые слова: безопасность

Горячие темы: Угрозы и риски ИБ

Журнал IT Manager    [ Подписка на журнал ]

Об авторах

Григорий Рудницкий

Григорий Рудницкий

Историк по образованию. В ИТ-прессе – бумажной и онлайновой – с 2002 года: публикуется в изданиях, ориентированных как на домашних, так и на корпоративных пользователей. Любимые темы: гаджеты, мобильность, облачные сервисы, свободное программное обеспечение.


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Другие материалы рубрики

Компании сообщают

Мероприятия

10.12.2018
Azure Day Moscow

Москва, Digital October

14.12.2018 — 16.12.2018
Новый год Рождения Клуба

Переславль-Залесский, AZIMUT Отель Переславль

17.12.2018
QIWI Techday make it real

Москва, Loft #2 ул. Ленинская Слобода, д. 26с11

25.02.2019 — 26.02.2019
Teamlead Conf

Москва, Инфопространство