Заместитель директора департамента безопасности - начальник управления информационной безопасности Россельхозбанка Артем СЫЧЕВ в интервью НБЖ изложил свою точку зрения на проблемы информационной безопасности, возможные пути их решения и на то, какую роль в преодолении этих проблем призваны сыграть законодатели, правоохранительные структуры, банки и регуляторы рынка.
В прошлом году о проактивныхмеханизмах только начинали задумываться. В этом году они уже представлены на рынке.
НБЖ: Артем, скажите, пожалуйста, какие вопросы наиболее актуальны на сегодняшний день для ИБ-специалистов банковской сферы?
А. СЫЧЕВ: Актуальные вопросы ИБ в банках я бы расставил в следующем порядке. Во-первых, проблема покушения на хищение денежных средств клиентов с использованием систем дистанционного банковского обслуживания (ДБО). Во-вторых, вопрос инсайдерства и внутреннего фрода. В-третьих, вопросы соответствия регулятивным требованиям и нормам различных стандартов и законодательства РФ.
НБЖ: Насколько зрелыми и эффективными, на ваш взгляд, являются сегодня проактивные механизмы в средствах обеспечения ИБ?
А. СЫЧЕВ: Как бы ни старались разработчики и заказчики служб безопасности банков, все равно проактивные механизмы слегка запаздывают, что вполне понятно, особенно если речь идет о хищениях в ДБО. Здесь объектом атаки является не банк и даже не система «банк - клиент», а клиент финансово-кредитной организации, использующий эту систему в удобной для себя среде, которая, как правило, небезопасна. Естественно, что на стороне клиента возникают основные проблемы: он подхватывает различные вирусы и оказывается втянутым в составы бот-сетей. Вследствие этого у клиента либо воруют «ключи», либо мошенники получают доступ к его информации в полном объеме и к управлению его рабочей станцией. В итоге происходит хищение денег.
Мы прекрасно понимаем, что на стороне преступников работают не одиночки, а вполне сплоченные, хорошо организованные преступные группы, противостоять которым сложно. Если посмотреть в ретроспективе на ситуацию год назад и сейчас, то в прошлом году о проактивных механизмах только начинали задумываться, а в этом году такие механизмы хоть в какой-то степени уже представлены на рынке. Замечу, что вскоре они перестанут быть проактивными, их начнут весьма успешно обходить. Так, ряд наших коллег в банковской отрасли применяет рассылку одноразовых паролей по SMS. Они уже столкнулись с тем, что у клиентов уводят деньги путем дублирования SIM-карт, причем абсолютно без ведома клиентов. Операторы каким-то образом выдают эти дубли, пренебрегая всеми правилами безопасности. Это яркий пример того, как действенный механизм проактивной защиты уже начинает давать сбой.
Если говорить о внутреннем фроде и инсайдерстве, то с проактивными механизмами здесь дело обстоит лучше, поскольку модель нарушителя отличается. В данном случае также можно говорить об умышленных действиях, но встречаются они гораздо реже. Как правило, это действия неумышленные, поэтому проактивные механизмы работают лучше. Хотя их тоже можно обойти, поскольку люди, пытающиеся реализовать инсайдерские действия и внутреннее мошенничество, используют те лазейки, которые эти механизмы оставляют.
Уверен, что в части противодействия внутреннему фроду, мошенничеству и инсайдерству надо говорить не столько о проактивных механизмах, сколько о внимательном отношении к технологической составляющей безопасности. Необходимо анализировать технологии на предмет таких «дырявых» мест и выстраивать бизнес-процессы и бизнес-технологии именно с учетом безопасности. Только в этом случае можно говорить о полноценной проактивности, что, кстати, соответствует требованиям стандарта Банка России, PCI DSS.
Проблема в том, что, к сожалению, не все коммерческие банки это понимают - они стремятся быстро реализовать определенные технологии и лишь потом «навешивают» на них какие-то механизмы защиты.
НБЖ: Как вы считаете, достаточное ли внимание уделяется вопросам И Б в банках?
А. СЫЧЕВ: На мой взгляд, этому вопросу уделяют недостаточное внимание, несмотря на то, что уровень данной части операционного риска достаточно высок, ведь латентность преступлений на почве инсайдерства и внутреннего фрода у нас ничуть не меньше, чем на Западе.
К сожалению, защита клиента, особенно в системах ДБО, оставляет желать лучшего. С собственной защитой у банков все обстоит хорошо: практически у всех установлены межсетевые экраны, антивирусные средства защиты, многие используют системы обнаружения вторжений. А проблемой защиты клиента озабочены в основном лишь крупные банки. Понятно, что у них больше денег и выше уровень рисков. Но это не значит, что средние и небольшие банки не должны думать о вопросах ИБ на стороне клиента. Безусловно, это стоит денег. Но первичные вложения банков в ИБ в дальнейшем обязательно окупятся.
Имеющаяся в настоящий момент судебная практика - на стороне банков. Но с началом действия ФЗ №161 ситуация в этом вопросе будет резко меняться.
Есть еще один нюанс - разработчики систем, как правило, о вопросах безопасности думают в последнюю очередь или не думают вообще. Мы очень часто сталкиваемся с ситуацией, когда, пытаясь поставить нам какое-то решение, разработчики даже не вспоминают о том, что есть требования информационной безопасности, и система должна им соответствовать. Приведу пример парадоксального отношения к этой проблеме. Мы год назад поставили перед разработчиками вопрос о необходимости проведения превентивных проверок на стороне клиента с точки зрения информирования его о возможных рисках нарушения информационной безопасности. Тогда разработчики скептически отреагировали на нашу инициативу. Мало того, к этому вопросу мы привлекли и ряд антивирусных вендоров, которые тоже отнеслись к этой идее очень скептически. Прошел год серьезного обсуждения, после чего наши партнеры пришли к выводу, что это действительно интересный рынок.
Разработчики софта следят за изменением законодательства только в той части, которая прямо касается их деятельности. На смежное законодательство они не смотрят. Они знают, например, что поменялись отчетные формы Банка России. Но ведь кроме этого есть еще вопросы, связанные с требованиями стандартов ИБ, с законодательством по Национальной платежной системе, с законодательством по персональным данным.
Реалии сегодняшнего дня: воры в законе в тишине и спокойствии контролирую "куски" высокотехнологичного криминального бизнеса
НБЖ: Почему так активно растет количество преступлений в сфере ДБО?
А. СЫЧЕВ: Нужно смотреть на мотивировочную часть: такие преступления очень выгодны с экономической точки зрения. Доходы от торговли наркотиками, оружием и проституции значительно уступают доходам от этого вида бизнеса. Первоначальные вложения преступных группировок окупаются после первых двух-трех удачных покушений.
Для того чтобы вы оценили масштабы бедствия, приведу пример. По российским банкам работают специализированные бот-сети. Средний улов такой бот-сети - это примерно полмиллиона клиентов. Представим, что на четверть из них была реализована атака и в половине случаев эта атака была успешной. Средняя сумма покушения составляет порядка 400 тыс рублей. Подсчитайте доход преступников! Это при том, что они потратили на организацию такой работы от 30 тыс рублей до 200 тыс рублей.
Наша озабоченность масштабами проблем совпадает с точкой зрения МВД, с которым мы очень плотно взаимодействуем. Если два года назад на этом криминальном рынке работали единичные профессионалы, то сейчас его полностью контролируют преступные группировки. Образно говоря, если раньше вор в законе размышлял над тем, на кого бы «наехать рэкетом», то теперь он в тишине и спокойствии контролирует этот «кусок» высокотехнологичного криминального бизнеса. Сформировалась полноценная трансграничная структура преступного бизнеса, где существует очень четкое распределение ролей. Люди, выполняющие эти роли, между собой не знакомы, они работают при полной конспирации, поэтому обезвредить преступное сообщество целиком очень сложно. Усилий только МВД и отдельно взятых банков явно недостаточно.
Кроме того, оперативное реагирование на такого вида преступления ограничено очень сжатыми временными рамками. Если злоумышленники уже добрались до компьютера жертвы, то время от момента отправления фиктивной платежки до того, как деньги будут обналичены, составляет от двух часов до одних суток.
Все крупные банки, в том числе организации с государственным участием, прикладывают очень много усилий для того, чтобы государство осознало: данный вопрос - это не проблема отдельных банков или только банковского сообщества. Это проблема уже совершенно иного порядка, и она должна быть в фокусе пристального внимания Банка России, как регулятора банковского рынка, Минфина, законодателей, Прокуратуры, Следственного комитета, ФСБ. Ведь хищение средств происходит в основном у среднего и малого бизнеса. Подрыв этого сектора экономики - серьезный удар по общегосударственной политике. Можно с уверенностью сказать, что часть этих денег идет, используя уголовную терминологию, на «подогрев» зоны, часть на финансирование незаконных бандформирований. Кроме того, деньги уводятся в серый оборот, их легализация - отдельная проблема, которой вообще пока никто не занимался.
НБЖ: А есть ли какой-то прогресс во взаимодействии банковского сообщества и государственных органов?
А. СЫЧЕВ: Определенный прогресс есть, но идет он очень туго. Если год назад Центробанк отмахивался от этой проблемы, то сейчас он начинает обращать на нее внимание. Госдума, в свою очередь, озадачилась этими вопросами. МВД предпринимает серьезные шаги для того, чтобы обеспечить неотвратимость наказания преступников. Пока все эти усилия разрозненны и находятся в зачаточном состоянии. Если бы этой проблемой государство занялось 1,5-2 года назад, то речь шла бы о предотвращении точечных явлений. Сейчас уже нужно ликвидировать преступные сообщества, что гораздо сложнее.
На IV межбанковской конференции «Уральский форум: информационная безопасность банков», который состоялся в феврале этого года, пристальное внимание было уделено проблемам ДБО. Выступали как представители ЦБ, так и представители коммерческих банков, и все отмечали общий тренд: увеличение роста преступлений в системах ДБО.
Уровень осознания вопросов информационной безопасности в обществе крайне низок
НБЖ: Какие основные способы хищения денежных средств с использованием систем ДБО наиболее актуальны в настоящее время?
А. СЫЧЕВ: Существует один очень простой способ. Компьютер клиента заражают вредоносным программным обеспечением. Далее либо у него уводят «ключи» и реквизиты доступа, либо мошенники используют его компьютер с помощью удаленного доступа. Поэтому мы и говорим, что с точки зрения превентивное™ необходимо формирование на стороне клиента доверенной среды техническими средствами и, конечно, разъяснительная работа. На Западе - во Франции, Англии, США - правила безопасного использования платежных карт объясняют еще в школе, и такие программы повышения осведомленности о вопросах информационной безопасности финансируются государством.
У нас ситуация в этом плане плачевная. Уровень осознания вопросов информационной безопасности в обществе крайне низок. Государство должно озаботиться тем, чтобы культуру кибербезопасности начинали воспитывать еще в школе. Почему налицо такое безответственное отношение к «ключам» электронной подписи, к реквизитам доступа, к управлению счетом, к собственным платежным картам? Это ведь кошелек человека или его организации!
Приведу пример такого невнимательного отношения. Клиент банка, получая платежную карту, видит, что на ней указан номер телефона, по которому надо звонить в случае возникновения проблем. Этот же номер указан в памятке, которую получает клиент при выдаче карты. В какой-то момент клиент получает SMS от мошенников о блокировке карты с указанием другого номера телефона, по которому нужно позвонить и решить все проблемы. Соответственно, клиент звонит по номеру, указанному в SMS, игнорируя предписания банка звонить исключительно по номеру, указанному на карте.
Банки, со своей стороны, разъяснительную работу выполняют в полном объеме, используя все доступные им инструменты. На сайтах почти всех банков есть памятки клиентам о безопасном использовании платежных карт, кроме того, эти памятки клиенты получают на руки. Поэтому речь уже должна идти о повышении осведомленности в вопросах ИБ в масштабах всей страны.
НБЖ: На одном из «круглых столов», проводимых НБЖ, вы говорили о необходимости создания киберполиции. Какие функции она должна выполнять? Как вы думаете, почему киберполиции в России до сих пор не существует, хотя такая необходимость, по всей видимости, уже назрела?
А. СЫЧЕВ: Потому что государство не понимает, что преступления в сфере высоких технологий в корне отличаются своим инструментарием от классических преступлений. И те и другие схожи с точки зрения мотивации, результатов. Главное отличие между ними - инструментарий совершения кражи. Одно дело в ходе расследования описать фомку, которой вскрыли гараж, другое дело - описать ботнет, содержащий 4,5 млн банковских акка-унтов. Та же самая проблема возникает в отношении проведения экспертизы. Поэтому для того чтобы продвинуть решение этих вопросов, во-первых, нужно создать законодательную базу. Во-вторых, провести соответствующее финансирование. В-третьих, должна быть решена проблема профессиональных кадров.
Чтобы наглядно проиллюстрировать актуальность вопроса кадров, расскажу маленькую историю. По одному из покушений на хищение средств нашего клиента в ДБО в одном из регионов возбудили уголовное дело. Его переслали для расследования в Москву, потому что согласно уголовно-процессуальному кодексу и разъяснениям Пленума Верховного Суда РФ местом совершения преступления является регион, где деньги оказались на счету преступника. Специалист нашего департамента приходит к следователю в рамках стандартных процессуальных действий. И первое, что спрашивает следователь: что такое ДБО, и как вообще возможно с его помощью украсть деньги? Как говорят, без комментариев.
НБЖ: А что говорит западный опыт в отношении создания киберполиции?
А. СЫЧЕВ: Киберполиция создана в Англии, Австралии, США. Зачем далеко ходить: в законодательстве наших соседей, например в Украине, статей, связанных с преступлениями в сфере высоких технологий, гораздо больше, чем в России, и они шире в толковании.
А мы все пытаемся расширить отдельные статьи УК, и то возникает масса вопросов, причем мнения профессионалов (следователей, оперативников, специалистов по ИБ) считаются не самыми важными. И это при том, что здесь необходимо не просто выследить и поймать преступника, а довести дело до суда.
Отмечу, что даже если дело доводится до суда, то варианты развития событий бывают подчас непредсказуемыми. Например, человеку, который методично грабил банки с помощью высоких технологий на огромные суммы, был определен условный срок наказания. А сумма хищений там серьезная. А человеку, который на Садовом кольце разместил на экране порноролик, дали реальный срок. Странная ситуация.
Основная задача информационно безопасности - работа с людьми: персоналом, клиентами, руководством банков
НБЖ: Невозможно обеспечить стопроцентную безопасность в банке. И все же какой уровень безопасности, с вашей точки зрения, является приемлемым для банка?
А. СЫЧЕВ: Каждый банк приемлемый для себя уровень безопасности определяет индивидуально. Все зависит от того, какие риски несут те или иные бизнес-технологии банка. На самом деле этот вопрос прекрасно коррелируется с базовыми стандартами ИБ, в том числе со стандартом Банка России.
НБЖ: 0 каких инновационных средствах защиты информации в банковском секторе можно говорить в настоящее время?
А. СЫЧЕВ: Каждый вендор, который выводит на рынок свой продукт, всегда считает его инновационным и на этом тезисе строит рекламную кампанию. Я считаю, что продукты надо подбирать все-таки не по степени их инновационное™, а с учетом того, как они реализуют механизмы защиты от существующих в каждой конкретной бизнес-технологии рисков. Отмечу только, что рынок очень большой, спектр продуктов гигантский. Сейчас довольно трудно провести грань между продуктами исключительно по безопасности и теми, которые базируются на ИТ-функциях.
НБЖ: Человеческий фактор был и остается самым слабым звеном информационной безопасности. Согласны ли вы с этим тезисом? Объясните, пожалуйста, свою точку зрения.
А. СЫЧЕВ: Согласен, человек - это самое слабое звено, причем во всех отношениях. Даже если технологии выстроены почти безупречно, многие моменты зависят от администратора, оператора, контролера.
Если говорить про ДБО, то здесь слабое понимание вопросов безопасности приводит к тому, что клиентский компьютер полностью находится во власти преступников. Слабое понимание важности ИБ руководителями банка может привести к тому, что этим вопросам вообще не будет уделяться внимания. Слабое понимание вопросов ИБ айтиш-никами и разработчиками является причиной того, что они свои продукты делают без учета требований безопасности. Слабое осознание важности вопросов ИБ у пользователей приводит к тому, что они игнорируют элементарные требования безопасности, а потом удивляются, что у них украли деньги.
Поэтому основная задача информационной безопасности заключается в работе именно с людьми: с персоналом, клиентами, руководством. Повышение осведомленности и уровня осознания важности информационной безопасности - один из важнейших приоритетов.
НБЖ: Можно ли как-то минимизировать эти риски?
А. СЫЧЕВ: Можно - с помощью технологий ухода от ручных операций, постановки дополнительных точек контроля.
НБЖ: Обеспечение безопасности облачных вычислений - насколько это реальная задача?
А. СЫЧЕВ: Сейчас принято говорить об опасности публичных «облаков». Замечу, что при этом сервисами Yandex, Google, Mail.ru все активно пользуются и как-то мало задумываются над тем, что это фактически тот же самый облачный сервис. Даже бизнес пользуется облачными сервисами, не задумываясь, безопасны они или нет. Яркими тому примерами являются биржевая игра, валютный рынок.
Безусловно, проблема обеспечения безопасности облачных вычислений существует, и пока над ее решением только начали задумываться. Но варианты решения этой проблемы можно найти, особенно учитывая рискоориентированный подход.
Внутренние приватные «облака» существуют давно, и банки, особенно крупные, их активно используют. И от того, называется сервис центром обработки данных или «облаком», суть операции не меняется. На мой взгляд, важнее иная проблема, а именно проблема виртуализации.
НБЖ: Что будет актуальным для ИБ в ближайшие год-два?
А. СЫЧЕВ: Актуальными, безусловно, останутся проблема защиты клиента и проблема создания доверенной среды в предоставлении дистанционных услуг. Причем это касается как юридических, так и физических лиц. Второй важный тренд - это обеспечение безопасности использования личных мобильных устройств в бизнесе. Здесь существуют свои нюансы. Устройство можно потерять, оно может быть, как и компьютер, захвачено. Информация, которая находится на этом устройстве, может содержать значимые сведения, но при этом быть за пределами контролируемой зоны. Если это устройство не банковское и на него не распространяется корпоративная политика безопасности, возможен риск использования на нем потенциально опасных приложений.
Рынок будет развиваться также с точки зрения виртуализации, где традиционные средства безопасности подчас не работают. Это отдельная большая тема для разговора.
Начать дискуссию