Не стать блокирующим звеном

Мы все больше уходим в цифровой мир. И цифровая личность вот-вот станет не фантазией киносценаристов, а реальностью. Разговоры о создании единого цифрового профиля гражданина уже идут, а это практически синонимы. И если такие данные будут украдены, у жертв появится множество сложностей по восстановлению и возврату этой самой цифровой личности.

Наша беседа с директором по информационной безопасности Ассоциации ФинТех Львом Шумским была посвящена наиболее актуальным проблемам, которые возникают при взаимодействии ИТ- и ИБ-подразделений в компаниях.

Как вы пришли в информационную безопасность?

В 2003 году я сменил сферу деятельности, уйдя с госслужбы в ИТ. Карьеру свою начинал с самого низа, с должности инженера-программиста в «Русь-Банке», теперь это «Росгосстрах Банк». Потом, приблизительно через год, мне предложили попробовать себя в области информационной безопасности. Сфера была новой и интересной, и в итоге она меня «съела».

В «Русь-Банке» я проработал семь интереснейших лет, а в 2010 году перешел в новый проект «Связного банка», где возглавил службу информационной безопасности. Я ее строил с нуля, при этом участвовал в реализации множества разноплановых и амбициозных идей, которые были у создателей проекта. Это был один из самых ярких и увлекательных периодов в моей карьере.

Одним из наиболее сложных проектов, над которым мне пришлось работать, стало создание и сертификация процессингового центра на соответствие стандарту PCI DSS. Затем была целая серия проектов, связанных с реализацией мер по соответствию нормам российского законодательства по защите персональных данных (ПДн). Самым амбициозным проектом стало создание системы дистанционного банковского обслуживания для физических лиц. Нам, команде ИБ- и ИТ-специалистов, удалось создать удобную и безопасную систему ДБО, которая получила большое количество наград и признание наших клиентов.

Однако после того, как прекратилась подпитка от акционеров, «Связной банк» в 2015 году потерял лицензию. Я перешел в «Связной», где также реализовал несколько проектов по автоматизации хранения согласий на обработку ПДн. Оно было переведено в безбумажный вид с подтверждением электронной подписью. Были реализованы проекты по повышению осведомленности пользователей, оценке защищенности инфраструктуры и ряд других.

Потом попробовал себя в стартапе «Телеграм Банк». Но после того, как Роскомнадзор заблокировал мессенджер Telegram, финансирование проекта прекратилось. В стартапе я впервые столкнулся с новой для меня методологией ведения разработки Agile – это был полезный и интересный опыт, который позволил познакомится с замечательными разработчиками и технологами, получить благодаря им ценные знания. В 2018 году я перешел в «Ассоциацию ФинТех», где и работаю по сей день. Я занимаюсь вопросами информационной безопасности, включая экспертизу всех проектов, над которыми работает Ассоциация. Напомню, одна из ключевых целей Ассоциации ФинТех – разработка финансовых технологий и подходов к их внедрению. Сейчас, например, мы ведем работу над блокчейн-платформой Мастерчейн. Проект сложный, но в то же время очень интересный. Это первый в своем роде сертифицированный продукт: в начале октября мы получили положительное заключение ФСБ о соответствии разработанной нами платформе требованиям регулятора к СКЗИ.

Кому должны подчиняться ИТ и ИБ организационно?

Есть классическое понимание того, где должна находиться служба ИБ. В небольших компаниях она может быть составной частью ИТ. Но по мере развития и роста компании ИБ должна отделяться от ИТ, поскольку чаще возникают конфликты интересов. ИТ важно, чтобы проекты стартовали как можно быстрее – даже невзиря на мелкие недоработки. ИБ же недостаточно того, чтобы система, внедренная или разработанная ИТ, просто действовала – им нужно, чтобы она была безопасной и функционировала устойчиво. В близкой мне банковской сфере ИБ подчиняется обычно подразделению общей безопасности, несколько реже – управлению комплаенс или рисков, и очень редко – ИТ. Последнее обычно наблюдается в небольших региональных банках. Встречалось мне и такое, когда ИБ была частью службы внутреннего контроля. Бывает и полностью независимая ИБ-служба, которая подчиняется первому лицу – как правило, в крупном банке или холдинге.

Как следует разрешать конфликты между разными подразделениями в процессе эксплуатации ИТ-систем и оборудования?

Конфликты возникают, я и сам через них проходил. На старте карьеры я обычно говорил, что так нельзя. Но меня «перевоспитал» председатель правления «Связного банка». И в целом частое общение с топ-менеджментом заставило меня пересмотреть свою позицию и не пытаться блокировать какие-то проекты/процессы, а предлагать альтернативные варианты реализации. На такой подход бизнес реагирует положительно, и в целом вокруг ИБ-службы возникает более позитивное реноме. И в выстраивании отношений с бизнесом это реально помогает. Например, когда мне потребовались дополнительные ресурсы, а новую вакансию невозможно было открыть, на помощь пришел руководитель одного из бизнес-подразделений: он отдал свою вакансию в пользу ИБ, чтобы его проекты получали необходимую ИБ-поддержку.

Но в целом тут все очень сильно зависит от личности руководителя, оттого, как выстроены его коммуникации с бизнесом. Если же противопоставлять себя другим функциональным подразделениям, на хорошие результаты рассчитывать не стоит. Ведь ИБ, как и ИТ, – поддерживающее подразделение, которое генерирует затраты, а не прибыль. Но эти затраты можно «перепродать» бизнесу, что называется, под другим соусом: например, как инвестиции. И это реально работает на практике. Также следует показывать и доказывать свою компетентность – тогда коллеги будут чаще прислушиваться к твоим словам и обращаться за советом.

Перевод части сервисов на аутсорсинг или внешнее облако. Как это меняет работу ИТ и ИБ?

Еще лет 5-7 назад было невозможно себе представить, чтобы какие-то ИБ-сервисы будут передаваться на внешнее обслуживание, особенно если речь идет о банках. Но жизнь диктует свои условия, и всем приходится перестраиваться. Тут большую роль играет экономическая составляющая. Сейчас далеко не каждая компания или банк может позволить себе реализовать полноценные ИТ-сервисы внутри. И оборудование, и ПО стоят дорого, важно иметь подготовленный персонал, которого на рынке не хватает. В таких условиях появление сервисов от внешних поставщиков становится отличной альтернативой и выходом из сложного положения.

Мы все уже давно пользуемся облаками и даже не замечаем этого. Та же электронная почта от Google, «Яндекс», Mail.ru имеет облачную природу, и к ней обращается множество людей и компаний. То же самое – мобильная экосистема Google, Apple, Microsoft. Но, тем не менее, вопрос доверия к этим сервисам остается. На прошедшем Уральском форуме «Информационная безопасность финансовой сферы» коллеги рассказывали, как компании взламывают через партнерские связи. Такой канал рассматривают как доверенный, но именно через него в инфраструктуру и попадает вредоносное ПО (в простонародье –вирус, зловред). Примерно в 2014 году мы сами столкнулись с атакой по такому сценарию, через партнеров. Тогда мы ее успешно отбили, к слову, с использованием как раз облачного сервиса.

В любом случае, сервисы надо проверять. И указывать в договорах специальные пункты, которые предусматривают все необходимые контроли. За рубежом уже давно появились документы с перечнем того, что нужно требовать от облачного провайдера для минимизации рисков. Из провайдеров услуг хотелось бы отметить Microsoft – компания очень хорошо продвинулась в организации защиты экосистемы Azure.

Взаимодействие с регуляторами. Кто должен этим заниматься? Кто это делает фактически?

Тут все зависит от отрасли. В финансовой сфере это Банк России, ФСБ, ФСТЭК, Роскомнадзор. И в целом банки, пожалуй, зарегулированы больше остальных. Возможно, наряду с телекомом, где место Банка России займет Минцифры. В других сферах этот перечень будет иным.

В той части, которая так или иначе касается информационной безопасности, взаимодействием с регуляторами занимался я лично. Иногда с привлечением ИТ, точнее, разработчиков. Как правило, это общение происходит на позитивной волне и конструктивно. Мы слышим друг друга и вместе вырабатываем консолидированное решение.

Если говорить применительно к банковской сфере, то общаться с регулятором должны представители ИБ. Прежде всего, общение происходит с ФинЦЕРТ – центром реагирования на инциденты ИБ, который был создан в 2015 году. Банк России достаточно открыт и активно привлекает профессиональное сообщество к разработке нормативных документов. Это происходит внутри технических комитетов, действующих внутри Банка России. Тут особых проблем нет, главное, вносить предложения, которые обязательно рассмотрят.

С какими новыми вызовами и проблемами приходиться сталкиваться в работе?

Все новое – хорошо забытое старое. В банках с большим количеством клиентов главными проблемами остаются фрод (мошенничество) и социальная инженерия. Мошенники развиваются, отлично владеют психологией и постоянно оттачивают манипулятивные приемы, позволяющие успешно красть деньги у людей. Например, используются методики, близкие к гипнозу, которые работают даже при отсутствии визуального контакта с жертвой. Именно поэтому (хотя памятки о том, что никому нельзя называть CVV-код на банковской корте или передавать код из СМС, висят в каждом подъезде и об этом говорят буквально из каждого утюга) преступникам удается красть деньги с банковских карт. Они виртуозно меняют интонации, громкость, что позволяет добиваться необходимого эффекта, фактически управлять действиями жертвы. Сами люди могут даже не осознавать, что они делают. Все чаще используются в таких схемах сообщения якобы от знакомых, у которых взломали из странички в соцсетях. А дальше эксплуатируются обычные человеческие эмоции: жадность, любопытство, желание помочь. Появляются даже данные о том, что научились синтезировать голос, но это не будет массовым, и еще очень долго. Самое забавное в том, что конечные исполнители таких схем могут уже находиться в следственных изоляторах или местах лишения свободы.

При этом утечки данных, которые используют преступники, происходят, как правило, не из банков. Коллеги на Уральском форуме обратили внимание на то, что часто злоумышленники даже не знают, клиентом какого банка является их потенциальная жертва, и пытаются это определить уже в ходе разговора. Выявлялись также попытки перепродажи «обогащенных» таким образом записей, где удалось выяснить, услугами какого банка пользуются люди, которые попали в такие базы. Иногда людей группируют: клиенты Сбербанка, клиенты ВТБ, Райффайзенбанка, «Альфа Банка» и т. д. В банках в последнее время с безопасностью стало заметно лучше, и Банк России ведет системную работу над тем, чтобы это направление совершенствовалось дальше. Активно внедряются такие современные технологии, как поведенческий анализ, что позволяет с высокой долей вероятности определять подозрительные транзакции.

В целом эта проблема характерна для всего мира. И тут надо работать с клиентами и вкладчиками, рассказывать им о том, какого рода атаки возможны, как у них могут вымогать деньги, что нельзя сообщать никому, а главное – как вести себя в случае «развода».

Чего стоит ждать в ближайшем будущем? Чего опасаться, как защищаться?

Уже в стадии реализации находится создание единой биометрической системы. Но тут, как мне кажется, неприятных сюрпризов не будет, она грамотно спроектирована и очень хорошо защищена. Естественно, если будут соблюдаться все условия по сбору и передаче биометрических материалов. В любом случае коллеги рекомендуют зарегистрировать свои данные самостоятельно. Иначе есть риск, что вашей учетной записью завладеет злоумышленник. Хотя такой вектор атаки довольно сложен, но все же вполне реализуем. Тут интересен опыт Казахстана, где операционист банка еще в далеком 2005 году физически не мог получить доступ к вводу данных о клиенте, не отсканировав штрихкод в его паспорте. Конечно, сейчас такой подход уже не является достаточно безопасным, но демонстрирует возможные подходы к «снаряду». У нас ничего похожего нет – а это открывает много возможностей перед злоумышленниками, которые располагают чужими паспортными данными.

Серьезной потенциальной проблемой могут стать квантовые вычисления. Широкое распространение квантовых компьютеров вполне может скомпрометировать традиционные средства криптографической защиты информации.

Смотреть все статьи по теме "Информационная безопасность"

Журнал IT Manager

Опубликовано 06.11.2019

Информационная безопасность Финтех

Предыдущая
Данные клиентов Альфа-банка и «АльфаСтрахования» выставили на продажу

Следующая
Локализация персональных данных в России. Рациональный подход

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30