Не запрещать, а искать альтернативу

Вячеслав Касимов (МКБ): "Я никогда не понимал ситуацию, в которой ИТ воюет с ИБ. Это совершенно неконструктивно".

Информационная безопасность является одним из важнейших элементов работы любой финансовой организации. Защищаться нужно от любых типов угроз: не только внешних атак, но и инсайдерских инцидентов. Сами злоумышленники тоже не стоят на месте, в их техническую оснащенность вкладываются значительные средства, а человек был и остается самым слабым звеном. Какие задачи сегодня стоят перед банковским директором по информационной безопасности (СISO)? О них мы побеседовали с Вячеславом Касимовым, директором Департамента ИБ Московского кредитного банка.

Расскажите о себе, чем вы занимались до того, как пришли работать в Московский кредитный банк?

Я окончил Московский технический университет гражданской авиации по специальности «Информационная безопасность телекоммуникационных систем». До прихода в МКБ длительное время был вице-президентом по информационной безопасности в банке «Открытие». Затем недолго проработал в «Национальной системе платежных карт» (НСПК), где также отвечал за ИБ. Тем же самым занимаюсь сегодня и в МКБ.

Какие задачи, связанные с информационной безопасностью, сегодня приходится решать вам и вашим коллегам в МКБ?

Наш банк можно назвать универсальным, каких-то новых процессов, для меня здесь не наблюдается. Но у МКБ есть большая терминальная сеть, большое количество банкоматов, распределенных в нашем регионе. В остальном везде похожие процессы, направленные в итоге на противодействие мошенничеству. Причем неважно, какому мошенничеству. Это может быть клиентское мошенничество, происки киберпреступников, атаки на банк, атаки на клиентов, атаки на ДБО, а также инсайдерские инциденты. Словом, мы должны интеллектуально реагировать на любые угрозы, позволяющие украсть деньги. Всего мы поддерживаем 72 ИБ-процесса, начиная от антивирусной защиты и заканчивая расследованиями самых различных инцидентов.

Как изменились за последний год угрозы и киберпреступники?

Цикличность здесь не годовая, а чуть больше, от двух до пяти лет. Если посмотреть на предыдущие пять лет, то можно вспомнить, что злоумышленники тогда были более наивными, угрозы менее совершенными технически, а мы, как противодействующая сторона, тоже менее опытными. Где-то в 2008–2010 годы основными целями атак становились сами клиенты. Если это физическое лицо, то атаке подвергалась его карта, а если юридическое, то в мишень превращалась система ДБО на стороне клиента. В 2010 году как раз пошли волны таких атак на юридических лиц. С годами киберпреступники становились умнее и в конце концов решили, что им незачем гоняться за мелкими клиентами и воровать у них по несколько миллионов рублей, в то время как можно украсть у самого банка, где сосредоточены сотни миллионов. Это дало ощутимый скачок и для развития банковской информационной безопасности в целом в России. В 2014 году мы зафиксировали первую серьезную атаку на банк, я тогда еще работал в «Открытии». С того момента потенциальные злоумышленники стали действительно серьезными соперниками. Их техническое оснащение было намного лучше, чем у банка, поскольку в него напрямую инвестируются средства, как в бизнес, а маржинальность бизнеса преступников феноменальна. Она по размеру сопоставима с наркоторговлей.

Преступный мир развивается, и нам нужно не отставать. Получается «гонка вооружений». К тому же приходится бежать быстрее конкурентов на рынке, чтобы твой банк взломать было сложнее, чем другой банк. Что касается самих целей атак, вряд ли они претерпят изменения, они по-прежнему будут направлены на клиентов и на сами банки, но пропорции могут меняться в зависимости от того, что будет лучше защищено. Конечно, полным «сюрпризом» для рынка, и не только российского, было появление шифровальщиков. Все организации, а не только кредитные, поняли, что информационной безопасности нужно уделять время и тратить на нее ресурсы.

Сегодня услуги ИБ все чаще предлагаются системными интеграторами из облака, по подписке. Насколько такая модель интересна для вашего банка?

Есть ряд сервисов, которые всегда передаются в облако. Например, внешнее сканирование безопасности. Его осуществлять значительно удобнее из облака. Что же касается классических сервиcов, здесь есть своя специфика, связанная, с одной стороны, с выполнением законодательства, а с другой – с качеством работы самих облачных сервис-провайдеров. Если мы говорим о SOC, то это, как правило, коммерческая организация. Нет большого риска в том, чтобы передать ей логи систем, которые обычно не содержат чувствительной информации. Возникает другой вопрос: насколько качественными будут такие услуги? По моему опыту взаимодействия с поставщиками услуг подобного рода могу сказать, что у них не очень сильные аналитики, соответственно, и применяемые правила зачастую слабые. Другой пример связан с требованиями регулятора. Банковскую тайну передавать вообще-то не очень хорошо. Такие сервисы, как Web Application Firewall, раскрывают трафик. Поэтому облачное устройство «видит», какие платежи совершает клиент. Сразу же возникают законодательные сложности. Возьмем другой сервис, DLP. Даже во внутренней почте банка периодически проскальзывают сведения, составляющие банковскую тайну. Эти и другие ограничения создают определенные препятствия для использования облачных ИБ-сервисов. Взять и полностью вывести всю ИБ на аутсорсинг, конечно, можно, но этот проект займет длительное время. Я в «Открытии» многое вывел на аутсорсинг. Но проект был начат в 2010 году, а полноценно все заработало только в 2016-м. В целом же скажу, что все это можно сделать, и, наверное, средние и небольшие банки постепенно будут выводить информационную безопасность на аутсорсинг. Крупные же останутся на классической модели.

У вас есть свой собственный SOC?

У нас собственная команда для мониторинга и реагирования на инциденты. Внешних услуг мы здесь не используем, поскольку достаточно своих внутренних ресурсов. Как я уже говорил, заход во внешний SOC пока не очень оправдан. Стандартный SOC предоставляет шаблонизированный набор правил мониторинга и реагирования, причем реагирует сама организация. Если же мы хотим что-то в нем развивать, это стоит немалых денег. Аналитики выделяются на full-time, а потому экономическая составляющая подсказывает, что лучше иметь свое.

Вы рассказали, что заменили самописную антифрод-систему промышленной. Как вы подходите к выбору ИБ-решений? Какие критерии являются самыми важными?

Если мы говорим о критически важных процессах, то стараемся не использовать собственные разработки. Для business critical это еще возможно, но для mission critical – точно нет. Когда мы понимаем, что решение нужно приобретать на рынке, то смотрим на его возможности, на функции, а затем, исходя из этого, делаем тесты, лучше если не на своей инфраструктуре. Причем моделируем нестандартные ситуации и смотрим, поддержит ли их данное решение. Когда уже шорт-лист сформирован, берем тестовые методики, предлагаемые каждым вендором, а затем на их основе формируем суперметодику и добавляем в нее собственные тесты. Наконец, по той методике выполняем полноценное тестирование уже на своей инфраструктуре и делаем окончательный выбор.

Автоматизация многих банковских процессов выгодна бизнесу и клиентам. Но инновации несут и определенные риски в сфере информационной безопасности. Как соблюсти баланс?

Я всегда запрещаю своим подчиненным что-то запрещать. Если возникают подозрения, что та или иная технология несет в себе риски для информационной безопасности, то всегда должен быть предложен альтернативный вариант, который удовлетворит потребности подразделения, обращающегося с этой инициативой. Любые подобные инициативы могут быть обработаны ИБ таким образом, чтобы полученный продукт был, с одной стороны, безопасен, а с другой – удовлетворял бы требованиям, которые к нему предъявляет бизнес.

Отраслевой регулятор Банк России активно издает документы, регламентирующие информационную безопасность в финансовых организациях. Некоторые из этих документов носят рекомендательный характер. Насколько такие требования покрывают возможные риски и все ли они выполняются в вашем банке?

Важно понять, какой подход исповедует Центробанк. Изначально выпускаемые им документы действительно носят рекомендательный характер. Но с течением двух-трех лет из рекомендательных они превращаются в обязательные для исполнения. И вполне разумно, что этот временной отрезок дается не просто так, а для того, чтобы кредитная организация привела свою работу в соответствие требованиям регулятора. Что касается нас, мы оперируем риск-ориентированной моделью управления ИБ. При адекватной обработке каждого риска, требования так или иначе начинают выполняться, независимо от того, кем они выпущены. Все, что остается, – это правильно задокументировать процессы, реализующие данные требования и своевременно предоставлять регулятору соответствующие свидетельства их выполнения. Стопроцентного идеала нет нигде, недочеты есть у всех, но главное, чтобы регулятор увидел, что информационной безопасностью действительно серьезно занимаются. У Центробанка вполне адекватные требования и стандарты, причем на уровне мировых.

Одна из самых серьезных проблем в информационной безопасности – человеческий фактор, недостаток культуры, если можно так сказать. Как вы решаете эту проблему?

В первом сезоне известного сериала «Мистер Робот» хакеры готовились атаковать корпорацию и искали уязвимости. Один хакер показал другому фотографию, на которой было запечатлено здание этой корпорации, и спросил, сколько уязвимостей тот видит. Он ответил, что видит, как минимум шесть уязвимостей, а на фотографии как раз было изображено шесть человек. Сколько ни старайся, человек всегда остается слабым звеном, подверженным и фишингу, и социальной инженерии. По недоразумению, незнанию или недомыслию он может осуществить те действия, которые ожидает от него злоумышленник. Единственный путь решения этой проблемы заключается в обучении сотрудников и повышении их осведомленности. У нас регулярно проводится инструктаж и тестирование по вопросам ИБ. С конца года мы дополним обучение эмуляцией действий, которые осуществляют хакеры. Те, кто не пройдет такое тестирование, будут повторно проходить обучение, акцентированное уже на противодействие внешним атакам.

Есть компании, специально нанимающий хакеров, которые любят взламывать системы, но не являются киберпреступниками. Готовы ли вы пригласить такого человека на работу?

Если в организации выстроены адекватные процедуры приема на работу, то сразу же можно понять, стоит брать такого сотрудника или нет. У меня в команде всегда были специалисты, которые умеют что-то ломать, и у них есть соответствующий опыт. Разумеется, не преступный опыт, они всегда были «белыми» хакерами. Сейчас мы тоже подбираем сотрудников в подобную команду, конечно, к их проверке мы относимся с особо тщательностью. Наконец, эти люди у меня всегда на виду, и я знаю, чем они занимаются. Поэтому держать таких специалистов в штате очень эффективно и полезно. При выводе в продакшн новых систем, без них очень тяжело обойтись. Стандартные сканеры безопасности никогда не дадут такого же результата.

И последний вопрос. Кому в вашем банке подчиняется Департамент информационной безопасности: ИТ-директору или высшему руководству? В чем плюсы и минусы того и другого подхода?

Мы самостоятельная структура. Я напрямую подчиняюсь председателю правления банка. Нормативы регулятора также требуют от организации самостоятельности и независимости ИБ от ИТ. Это понятное и логичное требование, поскольку информационная безопасность с позиций ИТ выглядит как контролирующая сущность. Если контролирующая структура находится внутри контролируемой, такой подход неэффективен. С другой стороны, в случае симбиоза ИТ и ИБ есть свои плюсы. Дело в том, что тогда любые инициативы безопасников выполняются более оперативно и с более внятным выделением ресурсов. Правда, в этом случае у безопасников нет возможности сказать свое веское слово. При возникновении конфликта интересов, всегда выбирается «легкий» путь и закрываются глаза на любые риски.

Я никогда не понимал ситуацию, в которой ИТ воюет с ИБ. Это совершенно неконструктивно. Поэтому, как только я приходил в какую-либо новую организацию, всегда старался наладить с айтишниками хорошие и добрососедские отношения. Мы в МКБ всячески помогаем друг другу.

Журнал IT Manager

Опубликовано 29.11.2018

Безопасность

Предыдущая
Атака на бренд

Следующая
Товар – ничто, образ – все

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30