В банках вопросу информационной безопасности уделяется особое внимание. Самое главное в этом вопросе – понимание рисков. При выборе подходящих решений для задач ИБ на первый план выходит их эффективность, уровень которой можно определить только опытным путем, а не изучением различных показателей, предоставляемых производителем решения. Более подробно об этих и других сторонах вопроса информационной безопасности в банках рассказал начальник управления ИБ Златкомбанка Александр ВИНОГРАДОВ.
NBJ: Александр Юрьевич, какие основные задачи стоят перед управлением ИБ в Вашей организации?
А. ВИНОГРАДОВ: Главная задача – это анализ рисков бизнеса нашей организации в информационной сфере и разработка рекомендаций по их контролю, а при возможности и нейтрализации с применением соответствующих защитных мер. В первую очередь на уровне бизнеса – это наиболее эффективная стратегия. А если это затруднительно, то в ход идут дополнительные средства и технологии, например использование систем контроля и мониторинга событий, ужесточение процедур контроля данных и потоков информации, применение стратегий сегментирования и иных архитектурных решений и т.п. Это то, что в нормативных правовых актах ЦБ и ФСТЭК России именуется организационными и техническими мерами защиты информации.
NBJ: По каким признакам Вы определяете, что в ход нужно пускать «тяжелую артиллерию» и прибегать к дополнительным средствам? Главный критерий – это увеличение количества атак?
А. ВИНОГРАДОВ: Немного не так. Это рост количества событий и инцидентов безопасности (только некоторые из них, как правило, являются следствием атак). Событие безопасности – это событие, несущее потенциальный риск, инцидент – это событие с подтвержденным риском и сопутствующим ущербом и/или негативными последствиями.
Так вот, количество и/или тяжесть последствий могут означать, что время пришло и пора задействовать серьезные инструменты. Анализ инцидента может выявить серьезные уязвимости технологий, которые «не закрываются» мерами контроля рисков бизнеса или используемыми средствами защиты. Существенная стохастическая составляющая в этих зонах (наблюдается недетерминированный, случайный процесс) может означать потребность в дополнительных средствах, так как наличие подобных зон в технологиях недопустимо.
Они – потенциальная мишень злоумышленников. В офисных задачах недетерминированная составляющая велика, в техпроцессе – нет.
С другой стороны, рост событий безопасности может и ничего не означать. Пример такой ситуации – серьезные обновления в ИТ-архитектуре или технологиях. Идет процесс «притирки» новых решений, которые могут не совпадать с действующими решениями и контролируемыми политиками безопасности, что, в свою очередь, влечет частые срабатывания. Позже вносятся соответствующие изменения политики и корректируются правила контроля.
NBJ: Какие критерии для вас на первом месте при выборе подходящего решения для обеспечения ИБ?
А. ВИНОГРАДОВ: Эффективность и продуктивность, стоимость владения (обслуживания), наличие поддержки производителя.
NBJ: А как определяется эффективность продукта? Вы основываетесь исключительно на тех данных, которые предоставляет производитель?
А. ВИНОГРАДОВ: Маркетинговая составляющая в данных, предоставляемых производителем, сейчас как никогда велика. Если ориентироваться только на них, то голова пойдет кругом: у каждого нового разработчика данные лучше, чем у предыдущего. Поэтому мы по возможности стараемся знакомиться с каждым «кандидатом» на основе опыта эксплуатации подобных решений у коллег.
Однако это не всегда возможно. Понимая это, производители/поставщики, уверенные в практической востребованности их решений, предлагают «знакомиться лично»: предоставляют опытную эксплуатацию, демо-версии. На основе этих действий и принимается решение об оснащении банковских систем новым продуктом.
Эффективность и продуктивность – это то, что мы должны получать «на выходе» эксплуатации. Если результаты не отвечают ожидаемым потребностям, например не позволяют сформировать обоснованное суждение о состоянии дел, так как выдают на-гора слабо интерпретируемые показатели, то это не лучшая ситуация. Однако в силу дефицита предложений порой приходится использовать и подобные решения. Например, для защиты технологий виртуализации (на них основываются всем известные так называемые облачные вычисления), в принципе, пока что еще очень немного решений, тем более решений сертифицированных. Поэтому работать приходится с тем, что есть.
NBJ: Как санкции повлияли на обеспечение ИБ?
А. ВИНОГРАДОВ: Прямо – никак. Косвенно – да. Сократилось число ниш с легкими деньгами, и бездельники устремили взгляд на другие объекты и способы обогащения, обеспечивающие их дальнейшее собственное безбедное существование. Это одна из причин роста атак на клиентов и наметившегося роста атак на сами банки и платежные системы (инцидент на 486 млн рублей с платежной системой ОРС и пр.).
NBJ: Это как-то повлияло на бюджет? Возросли ли затраты на ИБ? Имеет ли сейчас место импортозамещение в ИБ?
А. ВИНОГРАДОВ: Бюджет на обеспечение информационной безопасности – это часть бюджета банка. В условиях снижения прибыльности всего сектора банковских услуг идет оптимизация издержек в том числе и по линии оснащения подразделений безопасности. Однако, если в информатизации иногда можно повременить (отсрочить) модернизацию ИТ-инфраструктуры, то обновления парка по сроку службы это не касается. Отвечать на новые вызовы и угрозы в сфере безопасности приходится в том числе и по линии регуляторов. Поэтому в относительном выражении где-то отмечается эпизодический рост, но это не тенденция. Издержки эксплуатации не должны приводить к убыткам, ведь тогда зачем в принципе нужен такой бизнес?
Что касается импортозамещения в ИБ, то оно происходит объективным эволюционным образом. Отечественные производители постепенно покрывают те или иные ниши, например задачи мониторинга ИБ на уровне организации, и в силу стоимостных, языковых и иных преимуществ вытесняют зарубежные решения. Недавняя девальвация национальной валюты также непременно окажет соответствующее влияние на этот процесс.
NBJ: Как все же на практике происходит сокращение расходов в связи с кризисом?
А. ВИНОГРАДОВ: Политика экономии известна, ее главный принцип «сэкономил – значит заработал». Более тщательно планируются закупки, тендеры и спецификации приобретаемых средств. Ряд задач мы стараемся решать собственными силами, то есть силами штатных сотрудников.
NBJ: Как вы считаете, иметь штат своих достаточно высоко оплачиваемых специалистов – это эффективнее, чем использовать аутсорсинг?
А. ВИНОГРАДОВ: Как Вы знаете, банковский бизнес специфичен. И это не пустые слова. В международных стандартах по обеспечению информационной безопасности сформулирован ряд принципов, включая принципы «знай своего клиента» и «знай своего служащего». Эти же принципы присутствуют и в Стандарте информационной безопасности Центрального банка РФ (СТО БР ИББС).
Доверие к персоналу – краеугольный камень безопасности. От персонала зависит как прибыльность бизнеса, так и его убытки. Не всегда можно регламентировать все практические ситуации, поскольку велика роль человеческого фактора. Добросовестный сотрудник поступит ответственно, менее добросовестный – как ему будет удобнее. Немаловажным фактором является и лояльность персонала работодателю. Чтобы понимать и прогнозировать это, формулируются принципы.
С другой стороны держать много высокооплачиваемых специалистов, конечно же, трудно, особенно в нынешних условиях. Поэтому выделяются критические участки и принимаются соответствующие решения. Что касается аутсорсинга, то мне хотелось бы привести, наверное, уже подзабытый пример. В начале 2000-х годов – а это, как всем хорошо известно, был период потребительского бума и шумихи вокруг маркетинговой идеи аутсорсинга – один из ведущих американских банков с помпой анонсировал контракт на 5 млрд долларов с «голубым гигантом» (IBM. – Прим. ред.) по аутсорсингу своей ИТ-инфраструктуры, включая передачу в штат другой компании своего ИТ-подразделения. Но не прошло и года, как уже без излишней шумихи и тихо прошла новость о расторжении банком этого контракта.
NBJ: И что же стало главной причиной расторжения? Дороговизна услуг аутсорсера?
А. ВИНОГРАДОВ: Нет. Риски оказались за пределами возможности управления ими со стороны финансово-кредитной организации, и это было главной проблемой. И как раз этот аспект особенно подчеркивает ЦБ, когда речь идет об обеспечении информационной безопасности в банках. Финансово-кредитные организации должны иметь возможность управлять своими рисками, минимизировать их для своих клиентов – это фундаментальный постулат банковского бизнеса, и это краеугольный камень, на который следует опираться при решении всех вопросов, касающихся аутсорсинга в сфере ИБ.
NBJ: Какие требования по обеспечению ИБ предъявляются к вам со стороны регулирующих органов? Вносились ли в них коррективы за последние полгода-год? Если да, то насколько существенные?
А. ВИНОГРАДОВ: Требования регуляторов перманентно меняются. Мы адаптируемся к ним, это нормальная практика. Что касается принципиально новых требований, то нет, за последние год-полтора они не выдвигались, вполне достаточно тех мер, которые банки должны реализовывать в сфере ИБ в соответствии с более ранними предписаниями и рекомендациями регулятора.
Для покрытия дефицита информации в этой части на постоянной основе организуются встречи с представителями регулятора для разъяснения сути и содержания установленных норм, вновь вводимых или уже действующих. Последний год основной площадкой для организации проведения таких встреч является Торгово-промышленная палата, любезно представляющая такую возможность на безвозмездной основе. На эти мероприятия приглашаются как представители профильных департаментов Банка России, так и представители правоохранительных органов, Федеральной службы безопасности и иных структур исполнительной власти и, конечно же, участники рынка (как правило, это свыше 50 компаний). Эти встречи мы воспринимаем как инструмент самообучения и самоподготовки, так как их содержание не сможет заменить ни один курс из тех, которые предлагают нам образовательные учреждения.
NBJ: Какие основные составляющие ИБ вы можете назвать?
А. ВИНОГРАДОВ: Понимание рисков бизнеса и их природы. Содействие бизнесу в поиске максимально эффективных стратегий управления рисками. Весь банковский бизнес – это управление рисками (вспомните недавнее откровение главы Сбербанка Германа Грефа).
В то же время есть компонента «комплаенса» – соответствия нормам регулятора, которые в части обеспечения ИБ банков зачастую не столь избирательны. Главная задача в этих условиях – поиск компромисса между формальными требованиями, потребностями банка и того, что реально будет применяться и будет отвечать уровню так называемого аппетита к риску нашей организации.
NBJ: Можете ли вы назвать основные типы атак на Вашу организацию? Какие атаки были самыми сильными за последнее время?
А. ВИНОГРАДОВ: Атаки идут постоянно. Мы информируем о них ЦБ по установленной форме (203-я форма отчетности, которая подается ежемесячно). Публичные комментарии и сведения по этой части давать бессмысленно, так как основные векторы отражены в официальной обезличенной статистике ЦБ.
NBJ: Какой тип мошенничества, по Вашему мнению, самый опасный?
А. ВИНОГРАДОВ: Имитация клиента/пользователя электронных транзакций и внедрение в АБС банка (удаленное управление от имени легального пользователя АБС). Это самые неприятные атаки, в особенности если речь идет об атаках второй категории (Управление счетом от имени легального пользователя АБС. – Прим. ред.). С их помощью можно очистить корсчет банка и/или счета клиентов, что называется, под ноль.
NBJ: Как у злоумышленника появляется возможность имитировать пользователя банка, каким образом он внедряется в АБС?
А. ВИНОГРАДОВ: В АБС можно внедриться различным образом – как используя специально разработанные для этого вирусы, так и с помощью обычных инструментов администратора, используемых злоумышленником.
Приведу в качестве примера способы использования бытового ножа: с его помощью можно как приготовить обед, так и нанести вред другому человеку. Разнообразие современных программных средств порождает ту же ситуацию. Например, существуют средства удаленного администрирования компонентов инфраструктуры. Удобная практичная вещь, позволяющая экономить время и деньги. Но использование ее злоумышленником в обход действующих политик открывает широкие возможности для манипуляций. Если в организации недостаточно жесткие инструменты контроля запущенных приложений и недостаточно строгие процедуры санкционирования действий по конфигурации/реконфигурации компонентов ИТ-инфраструктуры, то это и есть те самые условия, которые делают атаку возможной и делают возможным ее успех. Злоумышленник через портированную программу удаленного контроля спокойно открывает для себя тот или иной порт оборудования и извне входит в АБС. После периода изучения, захватив себе определенные права, он реализует свой замысел. При этом атака, как я уже говорил, может строиться на том, что имитируются действия пользователей (имитация запросов от АБС ДБО в АБС core banking).
NBJ: Можно ли сказать, что систему ИБ невозможно взломать без участия инсайдеров? Как Вы считаете, насколько велика роль человеческого фактора в этих процессах?
А. ВИНОГРАДОВ: Любая система ИБ взламывается. Вопрос только один: каким количеством ресурсов и знаний об объекте располагает злоумышленник (поэтому и существует требование регуляторов, что должна быть обеспечена защита информации об устройстве системы защиты объекта, технологии, банка).
Любое средство защиты (повторюсь, любое), как и любой современный продукт ИТ, имеет как известные, так и пока еще не известные или известные, но скрываемые уязвимости. Последняя категория – предмет теневого рынка злоумышленников, а также инструмент шпионажа западных спецслужб. Например, компания Microsoft сама публично призналась, что передает в АНБ США всю информацию о найденных во всех ее продуктах уязвимостях, включая те из них, на которые еще не выпущены «заплатки» (патчи), а также те, на которые «заплатки» не будут выпущены никогда.
Таким образом, без инсайдера потенциально можно обойтись, но его наличие и использование на порядки снижает ресурсоемкость успешной атаки: основную информацию зло-умышленник получает «на блюдечке», и у него отпадает необходимость изучать объект с нуля.
При этом известно: человек по своей природе слаб. Кого нельзя купить за деньги, можно купить за большие деньги, ну и т.д. Конечно, есть исключения, но в условиях массовой оптимизации персонала банков, увеличения числа обиженных и недовольных найти подельника несложно. Это большая проблема для безопасности. Роль человеческого фактора всегда была, и она будет только увеличиваться при решении проблемы обеспечения ИБ.
NBJ: Обязательно ли покупать инсайдера? Ведь сотрудники могут помочь злоумышленнику по собственному незнанию некоторых тонкостей сферы ИБ? Вы проводите какое-то обучение специалистов в этом плане?
А. ВИНОГРАДОВ: Вопрос абсолютно уместный и обоснованный. По сути, Вы привели пример, который мы называем угрозой социальной инженерии. Иными словами, злоумышленник, либо маскируясь представителем сервисной организации, либо не маскируясь вовсе, пытается выудить необходимые сведения у персонала банка. Очень наглядно и с массой примеров эта угроза рассмотрена в известной книге бывшего хакера Кевина Митника «Искусство обмана». Эта книга объясняет, как просто бывает перехитрить всех защитников и обойти технические и технологические средства защиты, как работают социоинженеры и как отразить нападение с их стороны.
Для целей противодействия подобным угрозам в банках должны быть приняты программы обучения и осведомленности персонала в части ИБ, а заданный Вами вопрос имеет отношение именно к осведомленности персонала. Кстати, требованиями и Стандарта Банка России, и нормативных актов регулятора предусмотрены такие мероприятия. В частности, персонал основных бизнес-подразделений, а также иной ключевой персонал (секретари, администраторы и др.) на регулярной основе проходят внутренние курсы, организуемые службой безопасности, на которых в том числе рассматривается рекомендуемый им порядок действий в тех или иных практических ситуациях. Так, например, они получают инструкции, когда нужно нажать тревожную кнопку, когда проявить повышенную внимательность или осторожность или же пригласить коллегу и т.д.
NBJ: А есть ли в планах Златкомбанка на будущее увеличение ресурсов, обеспечивающих ИБ?
А. ВИНОГРАДОВ: Ваш вопрос является одновременно и абсолютно уместным, и непростым. С одной стороны, телега не может бежать впереди лошади, но и бежать после лошади без защиты тоже очень рискованно. Бизнес – это то, что ведет вперед, а безопасность в силу своей природы, стремясь уберечь бизнес от рисков, выступает иногда неким якорем. Поэтому приходится предлагать в первую очередь некие компромиссные меры, в том числе и компенсирующие, а позже либо их закреплять, либо пересматривать.
Здесь, кстати, выручает еще одно свойство современных продуктов защиты, которое мы с Вами не затронули, – это их масштабируемость. Они все преимущественно построены на интернет-протоколах и соответствующих технологиях, и производители стараются по максимуму использовать эту возможность, закладывая тот или иной потенциал масштабируемости. Это предполагает масштабируемость как по области применения, так и по номенклатуре контролируемых параметров. Поэтому во всех проектах развития мы в первую очередь оцениваем возможность масштабирования существующих мер и уже далее – возможность применения компенсирующих или дополнительных мер.
Начать дискуссию