IT ManagerБезопасностьУправление ИБ

Не стать блокирующим звеном

Алексей Зиновьев | 06.11.2019

Не стать блокирующим звеном

Наша беседа с директором по информационной безопасности Ассоциации ФинТех Львом Шумским была посвящена наиболее актуальным проблемам, которые возникают при взаимодействии ИТ- и ИБ-подразделений в компаниях.

Как вы пришли в информационную безопасность?

В 2003 году я сменил сферу деятельности, уйдя с госслужбы в ИТ. Карьеру свою начинал с самого низа, с должности инженера-программиста в «Русь-Банке», теперь это «Росгосстрах Банк». Потом, приблизительно через год, мне предложили попробовать себя в области информационной безопасности. Сфера была новой и интересной, и в итоге она меня «съела».

В «Русь-Банке» я проработал семь интереснейших лет, а в 2010 году перешел в новый проект «Связного банка», где возглавил службу информационной безопасности. Я ее строил с нуля, при этом участвовал в реализации множества разноплановых и амбициозных идей, которые были у создателей проекта. Это был один из самых ярких и увлекательных периодов в моей карьере.

Одним из наиболее сложных проектов, над которым мне пришлось работать, стало создание и сертификация процессингового центра на соответствие стандарту PCI DSS. Затем была целая серия проектов, связанных с реализацией мер по соответствию нормам российского законодательства по защите персональных данных (ПДн). Самым амбициозным проектом стало создание системы дистанционного банковского обслуживания для физических лиц. Нам, команде ИБ- и ИТ-специалистов, удалось создать удобную и безопасную систему ДБО, которая получила большое количество наград и признание наших клиентов.

Однако после того, как прекратилась подпитка от акционеров, «Связной банк» в 2015 году потерял лицензию. Я перешел в «Связной», где также реализовал несколько проектов по автоматизации хранения согласий на обработку ПДн. Оно было переведено в безбумажный вид с подтверждением электронной подписью. Были реализованы проекты по повышению осведомленности пользователей, оценке защищенности инфраструктуры и ряд других.

Потом попробовал себя в стартапе «Телеграм Банк». Но после того, как Роскомнадзор заблокировал мессенджер Telegram, финансирование проекта прекратилось. В стартапе я впервые столкнулся с новой для меня методологией ведения разработки Agile – это был полезный и интересный опыт, который позволил познакомится с замечательными разработчиками и технологами, получить благодаря им ценные знания. В 2018 году я перешел в «Ассоциацию ФинТех», где и работаю по сей день. Я занимаюсь вопросами информационной безопасности, включая экспертизу всех проектов, над которыми работает Ассоциация. Напомню, одна из ключевых целей Ассоциации ФинТех – разработка финансовых технологий и подходов к их внедрению. Сейчас, например, мы ведем работу над блокчейн-платформой Мастерчейн. Проект сложный, но в то же время очень интересный. Это первый в своем роде сертифицированный продукт: в начале октября мы получили положительное заключение ФСБ о соответствии разработанной нами платформе требованиям регулятора к СКЗИ.


Кому должны подчиняться ИТ и ИБ организационно?

Есть классическое понимание того, где должна находиться служба ИБ. В небольших компаниях она может быть составной частью ИТ. Но по мере развития и роста компании ИБ должна отделяться от ИТ, поскольку чаще возникают конфликты интересов. ИТ важно, чтобы проекты стартовали как можно быстрее – даже невзиря на мелкие недоработки. ИБ же недостаточно того, чтобы система, внедренная или разработанная ИТ, просто действовала – им нужно, чтобы она была безопасной и функционировала устойчиво. В близкой мне банковской сфере ИБ подчиняется обычно подразделению общей безопасности, несколько реже – управлению комплаенс или рисков, и очень редко – ИТ. Последнее обычно наблюдается в небольших региональных банках. Встречалось мне и такое, когда ИБ была частью службы внутреннего контроля. Бывает и полностью независимая ИБ-служба, которая подчиняется первому лицу – как правило, в крупном банке или холдинге.


Как следует разрешать конфликты между разными подразделениями в процессе эксплуатации ИТ-систем и оборудования?

Конфликты возникают, я и сам через них проходил. На старте карьеры я обычно говорил, что так нельзя. Но меня «перевоспитал» председатель правления «Связного банка». И в целом частое общение с топ-менеджментом заставило меня пересмотреть свою позицию и не пытаться блокировать какие-то проекты/процессы, а предлагать альтернативные варианты реализации. На такой подход бизнес реагирует положительно, и в целом вокруг ИБ-службы возникает более позитивное реноме. И в выстраивании отношений с бизнесом это реально помогает. Например, когда мне потребовались дополнительные ресурсы, а новую вакансию невозможно было открыть, на помощь пришел руководитель одного из бизнес-подразделений: он отдал свою вакансию в пользу ИБ, чтобы его проекты получали необходимую ИБ-поддержку.

Но в целом тут все очень сильно зависит от личности руководителя, оттого, как выстроены его коммуникации с бизнесом. Если же противопоставлять себя другим функциональным подразделениям, на хорошие результаты рассчитывать не стоит. Ведь ИБ, как и ИТ, – поддерживающее подразделение, которое генерирует затраты, а не прибыль. Но эти затраты можно «перепродать» бизнесу, что называется, под другим соусом: например, как инвестиции. И это реально работает на практике. Также следует показывать и доказывать свою компетентность – тогда коллеги будут чаще прислушиваться к твоим словам и обращаться за советом.


Перевод части сервисов на аутсорсинг или внешнее облако. Как это меняет работу ИТ и ИБ?

Еще лет 5-7 назад было невозможно себе представить, чтобы какие-то ИБ-сервисы будут передаваться на внешнее обслуживание, особенно если речь идет о банках. Но жизнь диктует свои условия, и всем приходится перестраиваться. Тут большую роль играет экономическая составляющая. Сейчас далеко не каждая компания или банк может позволить себе реализовать полноценные ИТ-сервисы внутри. И оборудование, и ПО стоят дорого, важно иметь подготовленный персонал, которого на рынке не хватает. В таких условиях появление сервисов от внешних поставщиков становится отличной альтернативой и выходом из сложного положения.

Мы все уже давно пользуемся облаками и даже не замечаем этого. Та же электронная почта от Google, «Яндекс», Mail.ru имеет облачную природу, и к ней обращается множество людей и компаний. То же самое – мобильная экосистема Google, Apple, Microsoft. Но, тем не менее, вопрос доверия к этим сервисам остается. На прошедшем Уральском форуме «Информационная безопасность финансовой сферы» коллеги рассказывали, как компании взламывают через партнерские связи. Такой канал рассматривают как доверенный, но именно через него в инфраструктуру и попадает вредоносное ПО (в простонародье –вирус, зловред). Примерно в 2014 году мы сами столкнулись с атакой по такому сценарию, через партнеров. Тогда мы ее успешно отбили, к слову, с использованием как раз облачного сервиса.

В любом случае, сервисы надо проверять. И указывать в договорах специальные пункты, которые предусматривают все необходимые контроли. За рубежом уже давно появились документы с перечнем того, что нужно требовать от облачного провайдера для минимизации рисков. Из провайдеров услуг хотелось бы отметить Microsoft – компания очень хорошо продвинулась в организации защиты экосистемы Azure.


Взаимодействие с регуляторами. Кто должен этим заниматься? Кто это делает фактически?

Тут все зависит от отрасли. В финансовой сфере это Банк России, ФСБ, ФСТЭК, Роскомнадзор. И в целом банки, пожалуй, зарегулированы больше остальных. Возможно, наряду с телекомом, где место Банка России займет Минцифры. В других сферах этот перечень будет иным.

В той части, которая так или иначе касается информационной безопасности, взаимодействием с регуляторами занимался я лично. Иногда с привлечением ИТ, точнее, разработчиков. Как правило, это общение происходит на позитивной волне и конструктивно. Мы слышим друг друга и вместе вырабатываем консолидированное решение.

Если говорить применительно к банковской сфере, то общаться с регулятором должны представители ИБ. Прежде всего, общение происходит с ФинЦЕРТ – центром реагирования на инциденты ИБ, который был создан в 2015 году. Банк России достаточно открыт и активно привлекает профессиональное сообщество к разработке нормативных документов. Это происходит внутри технических комитетов, действующих внутри Банка России. Тут особых проблем нет, главное, вносить предложения, которые обязательно рассмотрят.


С какими новыми вызовами и проблемами приходиться сталкиваться в работе?

Все новое – хорошо забытое старое. В банках с большим количеством клиентов главными проблемами остаются фрод (мошенничество) и социальная инженерия. Мошенники развиваются, отлично владеют психологией и постоянно оттачивают манипулятивные приемы, позволяющие успешно красть деньги у людей. Например, используются методики, близкие к гипнозу, которые работают даже при отсутствии визуального контакта с жертвой. Именно поэтому (хотя памятки о том, что никому нельзя называть CVV-код на банковской корте или передавать код из СМС, висят в каждом подъезде и об этом говорят буквально из каждого утюга) преступникам удается красть деньги с банковских карт. Они виртуозно меняют интонации, громкость, что позволяет добиваться необходимого эффекта, фактически управлять действиями жертвы. Сами люди могут даже не осознавать, что они делают. Все чаще используются в таких схемах сообщения якобы от знакомых, у которых взломали из странички в соцсетях. А дальше эксплуатируются обычные человеческие эмоции: жадность, любопытство, желание помочь. Появляются даже данные о том, что научились синтезировать голос, но это не будет массовым, и еще очень долго. Самое забавное в том, что конечные исполнители таких схем могут уже находиться в следственных изоляторах или местах лишения свободы.

При этом утечки данных, которые используют преступники, происходят, как правило, не из банков. Коллеги на Уральском форуме обратили внимание на то, что часто злоумышленники даже не знают, клиентом какого банка является их потенциальная жертва, и пытаются это определить уже в ходе разговора. Выявлялись также попытки перепродажи «обогащенных» таким образом записей, где удалось выяснить, услугами какого банка пользуются люди, которые попали в такие базы. Иногда людей группируют: клиенты Сбербанка, клиенты ВТБ, Райффайзенбанка, «Альфа Банка» и т. д. В банках в последнее время с безопасностью стало заметно лучше, и Банк России ведет системную работу над тем, чтобы это направление совершенствовалось дальше. Активно внедряются такие современные технологии, как поведенческий анализ, что позволяет с высокой долей вероятности определять подозрительные транзакции.

В целом эта проблема характерна для всего мира. И тут надо работать с клиентами и вкладчиками, рассказывать им о том, какого рода атаки возможны, как у них могут вымогать деньги, что нельзя сообщать никому, а главное – как вести себя в случае «развода».


Чего стоит ждать в ближайшем будущем? Чего опасаться, как защищаться?

Мы все больше уходим в цифровой мир. И цифровая личность вот-вот станет не фантазией киносценаристов, а реальностью. Разговоры о создании единого цифрового профиля гражданина уже идут, а это практически синонимы. И если такие данные будут украдены, у жертв появится множество сложностей по восстановлению и возврату этой самой цифровой личности.

Уже в стадии реализации находится создание единой биометрической системы. Но тут, как мне кажется, неприятных сюрпризов не будет, она грамотно спроектирована и очень хорошо защищена. Естественно, если будут соблюдаться все условия по сбору и передаче биометрических материалов. В любом случае коллеги рекомендуют зарегистрировать свои данные самостоятельно. Иначе есть риск, что вашей учетной записью завладеет злоумышленник. Хотя такой вектор атаки довольно сложен, но все же вполне реализуем. Тут интересен опыт Казахстана, где операционист банка еще в далеком 2005 году физически не мог получить доступ к вводу данных о клиенте, не отсканировав штрихкод в его паспорте. Конечно, сейчас такой подход уже не является достаточно безопасным, но демонстрирует возможные подходы к «снаряду». У нас ничего похожего нет – а это открывает много возможностей перед злоумышленниками, которые располагают чужими паспортными данными.

Серьезной потенциальной проблемой могут стать квантовые вычисления. Широкое распространение квантовых компьютеров вполне может скомпрометировать традиционные средства криптографической защиты информации.

Ключевые слова: финтех, корпоративная информационная безопасность

Журнал: Журнал IT-Manager [№ 10/2019], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Компании сообщают

Мероприятия

19.11.2019 — 20.11.2019
MarTech Expo 2019

Москва, DigitalLoft

20.11.2019
BIS-2019

Санкт-Петербург, отель «Holiday Inn Московские ворота»,

28.11.2019
Второй Северо-Западный Форум

Санкт-Петербург, Гранд Отель Европа

03.12.2019
NetApp Insight Moscow 2019

Москва, Hyatt Regency Moscow Petrovsky Park