Александр фон Розен: «Безопасность всегда балансирует на грани легитимности, удобства и здравого смысла»

О том, как предоставить своим пользователям высокий уровень безопасности и как найти баланс между свободой, легитимностью и удобством, рассказывает Александр фон Розен, член правления и технический директор ЕДИНОГО ЦУПИС. 

Предъявляются ли к уровню безопасности ИТ-инфраструктуры такого платежного сервиса индустрии развлечений, который обслуживает российские букмекерские конторы и "Национальную Лотерею", и где оборачивается, без преувеличения, колоссальный объем денежных средств, особые требования?

Требования, которые предъявляются к платежной платформе такого уровня, как ЕДИНЫЙ ЦУПИС, можно разделить на несколько условных групп. К первой относятся требования регуляторов, которые должны выполнять все участники индустрии. Вторая группа – требования, диктуемые хорошими практиками. Их надлежит исполнять любой платежной платформе, хотя в стандартах они явно не оговариваются. И третья группа – уникальные для каждого бизнеса требования, проистекающие из характерных именно для него рисков.

Любой традиционный финтех, который собирает, обрабатывает и хранит данные платежных карт – ценные, критичные сведения, – должен соблюдать стандарты, регламентирующие работу с такими данными. Сохранность персональных данных регламентирует закон №152-ФЗ. Кроме того, любой бизнес может собирать данные, которые, в терминологии РФ, не относятся к категории персональных, но представляют собой значительную ценность. Для любого сервиса массового обслуживания это базы контактных данных пользователей.

Любой финтех обязан исполнять регуляторные требования Банка России. Есть регуляторы, общие для всех интерактивных сервисов, – например, Роскомнадзор, субъекты оперативно-розыскной деятельности и т. д. 

Сколько клиентов сегодня обслуживаете? Каков объем транзакций?

Число кошельков наших клиентов превысило 22 млн. Это колоссальное количество. Точный объем транзакций назвать не смогу – это закрытые данные. Но представление о нем может дать следующий фактор: в сегменте электронной коммерции мы вторые среди лидеров по объему платежей через СБП.

За счет чего вы обеспечиваете не только скорость проведения транзакций, но безопасность и надежность при таких нагрузках? Какие отраслевые стандарты и практики вы используете?

Великое множество. Например, применяемую всеми финтех-отраслями развитых стран группу стандартов PCI DSS. Общие требования, нишевые требования, которым должны отвечать только участники российского рынка, и, кроме того, наши собственные практики. У нас имеется хорошая ИТ-практика, состоящая из огромного множества различных требований, правил, и в совокупности они и создают нормальную полноценную инфраструктуру. Только лишь отраслевые практики могут обеспечить более или менее высокий в среднем по рынку уровень защищенности, но высокого качества сервиса, высокого SLA, они не дадут. Для того чтобы сохранять высокую доступность сервисов, необходимо придерживаться и дополнительных стандартов, в том числе и своих собственных. 

За последние полтора года российская инфраструктура, все, что находится в домене .ru (.ру), подвергалось гигантскому количеству атак. Столкнулись ли вы с возросшим количеством атак на вашу платформу?

Это правда, количество атак возросло. Но каких-то неудобств нам это не доставило. В современном мире бизнес с такой широкой инфраструктурой, как у нашей компании, рано или поздно будут атаковать. Это нужно принять как данность. И если какие-то организации не подвергались массированным атакам, скорее это вопрос везения.

Любая зрелая ИТ-инфраструктура, в том числе и финтех, не может не учитывать современных киберугроз, и любая из них подвергается атакам практически непрерывно. Нашу инфраструктуру атаковали интенсивно и до 2022 года. В 2021 году атаки проводились очень квалифицированно, выросла нагрузка на персонал, но я даже рад этому, потому что мы дополнительно оценили свои контуры безопасности. К таким ситуациям нужно готовится заблаговременно. Рунет все это время остается довольно безопасным сегментом во многом благодаря именно российским регуляторным органам. И, хотя традиционно у участников этого рынка действия регуляторов вызывают неприятие, именно благодаря нормированию регулирования, атак было много меньше, чем могло быть.

Мы сталкивались со всеми возможными типами атак. Наиболее часто – именно с DDоS-атаками, начиная от волюметрических атак, направленных на исчерпание канала и вычислительного ресурса, и заканчивая атаками уровня приложений, которые учитывали особенности работы определенных сервисов и были направлены на их вывод из строя. 

Кто стоит за этими атаками?

Те, кто недоволен самим фактом существования Рунета. Собственно, у любой большой организации, как и у любого большого государства, всегда имеется множество врагов, которые рано или поздно попытаются навредить. Частота атак зависит не только от геополитической и экономической ситуации, есть категория людей, которые всегда будут пытаться совершать преступления, а DDоS-атака – это такое же преступление. 

Эксперты считают, что организация DDоS-атаки само по себе дело не дешевое?

Практически все DDоS-атаки, которые были направлены против российских организаций, обошлись их устроителям очень недорого. Такие атаки были организованы по принципу крауд-фандинга, когда большое число инспирированных физических лиц добровольно предоставляли свои вычислительные мощности для атаки на государственные и негосударственные ресурсы в РФ. Соответственно, объемы вредоносного трафика критично выросли. 

Есть ли какие-то особенности у DDоS-атак, направленных на ИТ-систему участника регулируемого рынка развлечений?

Такая DDоS-атака проходит как и любая другая. Если она организована профессионально, то начинается с «прощупывания почвы», с выявления потенциальных уязвимостей. За этим идет волюметрическая атака, создающая фон нервозности и нагружающая оборудование и специалистов, а за этим уже следуют атаки более тонкие, рассчитанные на конкретику определенной инфраструктуры.

Мы сталкивались и с профессиональными атаками, и с атаками «школьного» уровня. В принципе не имеет значения, как они проводятся. Скорее всего, будут использоваться разные их комбинации. Мы видели до восьми идущих одновременно атак совершенно разного характера, направленных на эксплуатацию совершенно разных потенциальных уязвимостей. И к таким событиям нужно быть готовыми. 

Изменились ли ландшафты угроз, характер, сложность, интенсивность DDоS-атак и утечек данных? Появились ли какие-то новые методы?

Интенсивность атак выросла, при этом методов, которых не было раньше, не появилось. Некоторые стали использоваться чаще. К примеру, атаки с использованием большого количества компьютеров конечных пользователей, которым нужно скачать определенный скрипт. Такие атаки фиксировались все последнее десятилетие, но сегодня появилось большое количество энтузиастов-вандалов, которые хотят не просто что-то украсть или взломать – им важно обрушить инфраструктуру. Они серьезно убеждены в необходимости своих действий, они очень энергичны, и при построении систем защиты эти факторы необходимо учитывать.

Как происходят утечки? Как правило, по одному из трех основных каналов. Первый – это собственные сотрудники компании, которые негативно настроены по отношению к работодателю и, в основном, сливают какие-то данные. Бороться с этими утечками очень сложно. Второй канал – это злоумышленники, которые целенаправленно взламывают, зачищают, торгуют украденными данными. И третий – эксплуатация халатно оставленных уязвимостей, открытых доступов. О какой бы системе мы не говорили, человеческий фактор проявляется всегда, рано или поздно. Взлом любой системы – вопрос вероятности. И чем больше ее владельцы стараются не допустить такого взлома, тем его вероятность ниже. Но есть один фактор, о котором все время забывают. Злоумышленники используют разный инструментарий – весь, который доступен им. Правда, статистики по действиям злоумышленников нет, и мы не можем точно сказать, чем руководствовался тот или иной из них. Раньше многие DDos-атаки носили хулиганский характер. Одни злоумышленники просто развлекались таким образом, другие – пробовали свои силы, кто-то разрабатывал и шлифовал инструментарий, еще кто-то хотел отомстить компании, выведя ее из строя. Были и атаки со стороны конкурентов. Заказные DDos-атаки часто встречаются в сегменте e-commerce. Например, атака на сайт интернет-магазина во время распродажи, чтобы обрушить его и занять долю рынка конкурента на какое-то время. По роду своей деятельности я сталкивался и с атаками, которые проводились с целью вымогательства. Правда, почти все они были организованы на очень низком уровне и проходили почти незамеченными, и тем удивительнее было получать от вымогателей какие-то финансовые требования. 

Кто основные инициаторы атак, киберпреступлений?

Во-первых, это организованные преступные группы. Кибер-инструментарий для них – разновидность рабочего воровского инструмента. Когда-то хулиганы громили телефонные будки, резали спинки сидений в автобусах, сейчас они атакуют сайты… Здесь ничего не поменялось, мотивация у них осталась прежней.

Во-вторых, это разведки иностранных государств. Таким путем они зарабатывают деньги либо стараются целенаправленно воздействовать на экономику атакуемой страны. Но и здесь тоже ничего нового нет, просто сменился инструментарий. Как говорит история, во время Первой мировой войны германское правительство печатало фальшивые деньги. 

Используете ли вы в своей работе Bag Bounty?

Ограниченно. Многие организации, чья деятельность сопряжена с высокими регуляторными рисками, к Bag Bounty относятся очень осторожно. Считают, что лучше не привлекать к этому внимание. Скорее, это вопрос моды. Защита должна быть комплексной, учитывать все возможные инструментарии злоумышленника и великое множество сценариев. И если участник рынка делает ставку на какой-то один инструмент, скорее всего, он окажется в проигрыше, потому что злоумышленники, скорее всего, пойдут другим путем. Универсального решения здесь нет. 

Часто ли ваша инфраструктура подвергается хакерским, в том числе DDоS-атакам?

Атаки высокой интенсивности проводятся против нашей компании несколько раз за полугодие. Это атаки заметные, они заставляют срабатывать разноплановые инструменты защиты, и мы их дополнительно разбираем. Есть атаки более мелкие, направленные на прощупывание и поиск открытых портов, уязвимостей, устаревших версий ПО, попытки фишинга – с этим мы, как и любой крупный бизнес, сталкиваемся каждый день. Но ни одна из них своих целей не достигла. 

Какие методы и инструменты защиты от DDоS-атак вы практикуете?

Мы используем эшелонированные системы. Начиная от систем защиты, которые предоставляют операторы связи и магистральных каналов, и заканчивая специализированным аппаратным и программным обеспечением, которое предназначено для отражения атак разного уровня. В нашей системе защиты сейчас выстроено 8 таких эшелонов, они объединяют все. Этот вопрос решается только комплексно. Для построения эффективной системы защиты нужно работать с операторами связи, конкретно оговаривая с ними условия доступности и профили атак, которые могут вызвать проблемы. Необходимо устанавливать соответствующее аппаратное и программное обеспечение, благо, сейчас на рынке много предложений, в том числе и российского производства. Необходимо соответствующим образом выстраивать собственную инфраструктуру, сконфигурировать серверное ПО таким образом, чтобы оно стало менее чувствительным к атакам. Настраивать свои собственные приложения, писать их в расчете на DDоS-атаки. И необходимо обеспечить высокую пропускную способность каналов связи, чтобы небольшие DDоS-атаки не представляли проблем – этому фактору незаслуженно уделяется мало внимания.

Наша компания разрабатывает исключительно финтех-продукты. Поэтому готовых решений для защиты от DDоS-атак у нас нет. Они и не нужны. Гораздо более важную роль играет набор хороших практик, начиная с обучения персонала и заканчивая подготовкой технической инфраструктуры, и мы могли бы поделиться набором подходов и собственным опытом.

Инструментов для защиты от DDоS-атак на рынке великое множество. Даже сейчас, когда многие мировые вендоры ушли из России. Вопрос только в том, как их правильно применить, собрать именно то, что нужно конкретному игроку. И здесь решающую роль играет профессиональная, компетентная команда, которая умеет комбинировать готовые инструменты, внедрять, сопровождать, поддерживать, настраивать, отлаживать и совершенствовать их и создавать на их основе защищенную инфраструктуру.

Сегодня хорошие специалисты по ИБ высоко востребованы. Впрочем, как и любые профессионалы – их мало в любой области. 

Каков вклад ЕДИНОГО ЦУПИС в дело защиты регулируемой индустрии развлечений?

Наша компания – без преувеличения, один из столпов этой индустрии, единственный финтех, который может работать в сфере индустрии развлечений. Мы обеспечиваем функционирование всех финансовых потоков. И для того, чтобы работать бесперебойно, безопасно, мы сделали все, что смогли, делились практиками с нашими партнерами, чтобы предоставлять им сервис высокого качества.

Кроме того, мы постоянно поддерживаем контакт с государственными органами, делимся с ними своим видением регулирования этой сферы. Наша компания достаточно давно работает в сфере идентификации пользователей, верификации их данных. Изначально государство предоставляло очень широкий набор сервисов, но не все они работали так, как хотелось бы. За последние три года индустрия серьезно продвинулась вперед, появилось множество простых и удобных сервисов идентификации, процедура подтверждения аккаунта пользователя сократилась до считаных минут. Яркий пример – мы используем очень удобные сервисы ЕСИА, сервисы пенсионного фонда, ФНС. Государство принимает какие-то изменения медленно, процесс занимает год и более. Но, если сравнивать с рынком Европы, можно сказать, что у нас эти изменения происходят просто с ураганной скоростью. 

Используете ли вы биометрические технологии для идентификации пользователей?

Вероятнее всего, будем. Но и в этой технологии есть определенный люфт между безопасностью и удобством. Традиционно принято считать, что для подтверждения критичных операций следует использовать как минимум два фактора из разных категорий. К примеру, если пользователь хочет верифицироваться «лицом», то было бы нелишним использовать еще и пароль, код подтверждения либо аппаратный токен. При использовании только лишь одного фактора вероятность ошибки, преднамеренной либо непреднамеренной, существенно повышается. Следует помнить, что биометрические системы не предоставляют 100%-ной надежности распознавания. И даже в самых современных биометрических системах всегда имеется средневзвешенная ошибка – своего рода баланс между ошибкой первого рода и ошибкой второго рода. Ее вероятность – около 1%. При распознавании по лицу она будет даже повыше, при распознавании по более экзотическим факторам – рисунку вен ладони, рисунку сетчатки глаза – надежность будет повыше, хотя способы снятия материала менее удобные.

Если вы хотите обеспечить высокую надежность, то многофакторная аутентификация необходима, если хотите обеспечить высокую скорость – нет. Например, плата за проход в метрополитен с использованием системы распознавания только одного фактора – лица – оправданна, учитывая высокую скорость распознавания и скромную сумму оплаты за проезд. Если же речь пойдет об оплате дорогостоящих покупок, однофакторной идентификации будет недостаточно. Кроме того, бывают случаи, когда с первого раза система не распознает пользователя, и это доставит ему несколько неприятных минут.

Многие государственные сайты, испытав на себе прелесть бесконечных попыток взлома, закрыли доступ для пользователей из-за рубежа. Приходилось ли вам это делать?

На постоянной основе таких мер мы не предпринимали. Но во время каких-то масштабных срабатываний защиты, случались ложноположительные срабатывания и в отношении легальных пользователей. Я считаю это практикой вынужденной, жесткой, потому что те, кто может по-настоящему навредить компании, оказываются локализованы только рамками российской юрисдикции, а здесь таких злоумышленников очень быстро находят. С другой стороны, инструментарий определения точного географического положения, географической принадлежности адреса не так идеален, как хотелось бы. И дело даже не в использовании VPN. Историческая принадлежность IP-адреса – вещь спорная, определение местоположения по IP-адресу не дает 100%-ной гарантии. Поэтому возникает дилемма – хотите ли вы закрыться полностью либо использовать более гибкие механизмы, но сохранять высокую доступность для всех клиентов.

Я допускаю, что во время высокоинтенсивных атак с использованием огромного количества ботнетов сервис может временно ограничить доступ, оставив его только для российских абонентов. Но на постоянной основе я бы этого делать не стал.

Мы действуем в рамках российской юрисдикции, и наши пользователи должны находиться на территории РФ либо легально проживать здесь. Для пользователей-резидентов других стран наши сервисы однозначно закрыты.

Изменятся ли природа и характер DDоS-атак в будущем, учитывая непрерывно идущий процесс цифровой трансформации всей экономики?

Идет процесс очередной научно-технической революции, инструментарий для DDоS-атак становится все более сложным, "умным" и изощренным. С другой стороны, инструментарий, который борется с вредоносным инструментом, тоже совершенствуется. С моей точки зрения, в будущем, с развитием аппарата прикладного ИИ, существенно повысится автономность и атакующих систем, и систем защиты. Это будут более сложные инструменты, обладающие каким-то собственным поведением. Но их нужно осваивать. Злоумышленники уже сейчас используют современные генеративные нейронные сети для составления текстов, которые более успешно будут действовать на потенциальную жертву, для составления профиля атаки. Но и системы защиты также могут использовать сложную продвинутую алгоритмику. Пока что главным сдерживающим остается именно человеческий фактор. Но инструментарий будет усложняться, что потребует специалистов с более высокой квалификацией. 

Реально ли снизить риски DDоS-атак на уровне индустрии или государства в целом?

Это реально. Можно повысить уровень безопасности, но для этого придется существенно ограничить свободу личности. Например, разрешить подключаться к сервисам только по номеру паспорта. Количество злоумышленников резко снизится, но будет ли это удобно пользователям? Безопасность всегда балансирует на грани легитимности, удобства и здравого смысла. Можно организовать и абсолютно безопасную систему. Например, такую, где вообще не будет публичных сетей. Но захотят ли люди так жить? Думаю, нет, они будут искать обходные пути, лазейки. С моей точки зрения, нужно жить в данных реалиях, готовиться к сложным атакам, к внедрению нового инструментария, уделять этому внимание, время, и нанимать на работу высококлассных профессионалов.