Аналитика и комментарии
информационная безопасность в банках: допустимо ли в сложившейся ситуации экономить на ней?
Тема обеспечения информационной безопасности является одной из ключевых, когда речь идет о деятельности финансово-кредитных организаций. Потому что в основе успеха любого банка лежит доверие, а это чувство неизбежно «испаряется» в тот момент, когда клиент узнает, что на его банковский счет была проведена успешная хакерская атака. Поэтому без всякого преувеличения можно сказать: ИБ – все для банка!
участники круглого стола, организованного NBJ при содействии АРБ:
Алексей АЗАРКИН, начальник отдела информационной безопасности АКБ «НРБанк» (ОАО); Александр АНУФРИЕВ, руководитель службы информационной безопасности АПБ «Солидарность» (ЗАО); Максим БЕЛОЕНКО, руководитель департамента развития бизнеса QratorLabs; Виктор БИРЮКОВ, начальник департамента информационных технологий АКБ «Япы Креди Банк Москва» (ЗАО); Александр БОЙГИСОВ, начальник управления контроля информационной безопасности ПАО «Росбанк»; Виктор БОНДАРЕНКО, заместитель генерального директора по защите информации компании «БСС-Безопасность»; Алексей БОЧАРНИКОВ, специалист по рискам и контролю ООО «Дойче Банк»; Александр ВЕЛИГУРА, председатель Комитета Ассоциации российских банков по банковской безопасности; Олег ВОЙНАЛОВИЧ, начальник отдела информационной безопасности, службы безопасности ЗАО «Нефтепромбанк»; Мария ВОРОНОВА, заместитель начальника управления информационной безопасности ОАО АКБ «Пробизнесбанк»; Артем ГАВРИЧЕНКОВ, архитектор решений информационной безопасности QratorLabs; Павел ГОЛОВЛЕВ, начальник управления информационной безопасности АО «СМП Банк»; Андрей ГОЛЯШИН, начальник отдела информационной безопасности АКБ «ФОРА-БАНК» (АО); Евгений ГОРБАЧЕВ, заместитель начальника управления по информационной безопасности ОАО «Банк Москвы»; Вадим ГРИЦЕНКО, начальник отдела информационной безопасности КБ «Альта-Банк» (ЗАО); Дмитрий ДАВКИН, начальник отдела методологии департамента информационно-технической защиты АКБ «ИРС» (ЗАО); Алексей ДЕГТЯРЕВ, ведущий специалист отдела информационной безопасности «Центркомбанк» ООО; Дмитрий ДОНСКОЙ, заместитель директора по продажам ОАО «НПО РусБИТех»; Дмитрий ДОРОФЕЕВ, директор департамента информационной безопасности банка «ВТБ Капитал»; Геннадий ЕМЕЛЬЯНОВ, президент МОО «АЗИ» (Межрегиональная общественная организация «Ассоциация защиты информации»); Алексей ЕРМАЧЕНКОВ, начальник отдела информационной безопасности АКБ «МОСОБЛБАНК»; Александр ЕФАНОВ, руководитель направления департамента внедрения компании ИНВЕРСИЯ; Куандык ЖАНАЙДАРОВ, руководитель отдела перспективных разработок управления каналов обслуживания департамента эквайринга и электронных платежей АО «Банк Русский Стандарт»; Юлия ЗАДУБРОВСКАЯ, главный специалист отдела информационной безопасности службы режима и информационного обеспечения ООО «Автоторгбанк»; Олег ИВАНОВ, генеральный директор компании ЦИБИТ; Виктор ИСАКОВ, заместитель председателя правления ПАО «Банк ЗЕНИТ»; Евгений КАЛАШНИКОВ, начальник управления защиты информации ОАО «БИНБАНК»; Кирилл КАЛЕЖНЮК, начальник управления обслуживания клиентов ОАО «АНКОР БАНК»; Дмитрий КАЛЯВКИН, начальник отдела ИТ-защиты управления внутренней защиты департамента экономической и информационной защиты бизнеса ОАО «РОСГОССТРАХ БАНК»; Роман КОСИЧКИН, главный специалист ОАО «Объединенный финансовый капитал»; Сергей КОТОВ, эксперт по информационной безопасности компании «Аладдин Р.Д.»; Вадим КРИВОВЯЗ, заместитель начальника службы безопасности банка «Российская финансовая корпорация» ОАО; Сергей КРУТОВ, руководитель департамента кадрового консалтинга компании ЦИБИТ; Андрей КУЗНЕЦОВ, аналитик компании «Диасофт Платформа»; Евгений ЛАТАШ, директор департамента безопасности и защиты информации АО «Банк Русский Стандарт»; Михаил ЛЕВАШОВ, начальник ИТ-департамента ФК «Банк Открытие»; Алексей ЛИПУНОВ, начальник управления информационной безопасности ОАО «МОСКОВСКИЙ КРЕДИТНЫЙ БАНК»; Георгий ЛЫСОВ, начальник службы безопасности банка «Российская финансовая корпорация» ОАО; Руслан МАГСУМОВ, специалист по защите информации ОАО «Банк АВБ»; Александр МАРКОВ, менеджер по информационной безопасности банка «ВТБ Капитал»; Вячеслав МЕДВЕДЕВ, ведущий аналитик отдела развития компании «Доктор Веб»; Антон МИЛЮГАНОВ, ведущий специалист службы информационной безопасности КБ «Международный коммерческий банк» ПАО; Сергей МОРОЗОВ, начальник службы информационной безопасности ОАО КБ «Региональный кредит»; Дмитрий НИКИТИН, начальник отдела информационной безопасности департамента безопасности АКБ «Держава» ПАО; Василий ОКУЛЕССКИЙ, начальник управления по информационной безопасности ОАО «Банк Москвы»; Александр ОРЛЕНКО, администратор информационной безопасности управления автоматизации и связи АКБ «Тверьуниверсалбанк»; Дмитрий ОРЛОВ, руководитель специальных проектов по взаимодействию с государственными органами компании «Доктор Веб»; Владимир ОСИПЕНКО, менеджер по техническому развитию ООО «Тритфейс»; Сергей ПАВЛОВСКИЙ, начальник управления технических средств безопасности и режима банка ОАО КБ «АГРОПРОМКРЕДИТ»; Павел ПАЗУХИН, начальник службы информационной безопасности АКБ «ВЕК» (ЗАО); Алексей ПЛЕШКОВ, начальник управления режима информационной безопасности АО «Газпромбанк»; Артем ПОПОВ, менеджер по работе с ключевыми клиентами ООО «С-Терра СиЭсПи»; Олег ПРИХОДЬКО, начальник отдела информационной безопасности управления информационной безопасности департамента безопасности ОАО «АК БАРС»; Виктор РУБАНОВ, президент ООО «НТЦ ИТ РОСА»; Ольга РУДАКОВА, д.э.н., профессор кафедры «Банки и банковский менеджмент» Финансового университета при Правительстве Российской Федерации; Игорь САВЧЕНКО, руководитель службы информационной безопасности КБ «Международный коммерческий банк» ПАО; Дмитрий САМАРЦЕВ, коммерческий директор ООО «Тритфейс»; Алексей СВИРИДЕНКО, начальник управления информационной безопасности ООО КБ «Адмиралтейский»; Андрей СЕРЕДА, начальник отдела информационной безопасности ЗАО АКБ «Алеф-Банк»; Алексей СИЗОВ, руководитель направления по борьбе с мошенничеством центра информационной безопасности компании «Инфосистемы Джет»; Александр СМИРНОВ, заместитель начальника отдела информационной безопасности КБ «Новое время» (ООО); Алексей СУДЬИН, начальник службы информационной безопасности КБ «СОЮЗНЫЙ»; Матвей СУЗДАЛОВ, начальник ИТ-департамента КБ «Альта-Банк» (ЗАО); Дмитрий СУШКОВ, руководитель службы информационной безопасности ОАО «МСП Банк»; Роман ТЕТЮРКИН, менеджер по работе с корпоративными клиентами ЗАО «ИнфоВотч»; Александр ТУРКИН, независимый эксперт; Анна УСТИНОВА, начальник обеспечения режима коммерческой тайны управления информационной безопасности ПАО АКБ «Балтика»; Вадим ФЕДОРОВ, начальник департамента информационных технологий ОАО «АНКОР БАНК»; Максим ФОМИЧЕВ, руководитель отдела информационной безопасности ЗАО «Банк ФИНАМ»; Роман ХАРИТОНОВ, руководитель проектов ООО «С-Терра СиЭсПи»; Дмитрий ХОМЯКОВ, начальник службы информационной безопасности ПАО «Межтопэнергобанк»; Андрей ХОХЛОВ, руководитель направления развития анти-фрод-решений компании BSS; Евгений ЦАЛЬП, вице-президент КБ «НС Банк» (ЗАО); Александр ЧЕБАРЬ, начальник отдела информационной безопасности ООО КБ «Нэклис-Банк»; Василий ЧЕРКАШИН, начальник отдела информационной безопасности АКБ «ПЕРЕСВЕТ» (ЗАО); Роман ШАКУРОВ, директор департамента экономической безопасности ОАО «МОСКЛИРИНГЦЕНТР»; Владимир ШАРПАЙ, директор департамента информационно-технической защиты АКБ «ИРС» (ЗАО); Валерий ШЕВЧЕНКО, начальник управления информационных технологий АКБ «ВЕК» (ЗАО); Сергей ЩЕГЛОВ, начальник отдела информационной безопасности департамента аналитики и банковских технологий КБ «БФГ-Кредит» (ООО); Вадим ШКРЕТ, менеджер по работе с клиентами компании «Диасофт Платформа»; Андрей ШТАБОВ, исполнительный директор ООО «НТЦ ИТ РОСА».
ВЕДУЩИЕ: Елена ЕЛИСЕЕНКОВА, генеральный директор NBJ; Анастасия СКОГОРЕВА, главный редактор NBJ.
NBJ: Очередное заседание нашего круглого стола посвящено анализу вопросов и проблем, возникающих в рамках обеспечения информационной безопасности в банках. Хотели бы сразу отметить, что эту тему мы поднимаем регулярно, не реже двух раз в год. И сейчас мы не видим причин отступать от традиции, поскольку количество рисков в сфере ИБ возросло, проблем у финансово-кредитных организаций с защитой информации наверняка прибавилось.
С учетом этого первый вопрос мы хотим сформулировать следующим образом: как участники круглого стола, представители банков и компаний-разработчиков, видят основные вызовы в сфере ИБ в настоящее время?
Р. ХАРИТОНОВ: «С-Терра СиЭсПи» давно работает с банками, поэтому мы можем поделиться своими наблюдениями. Ни для кого не секрет, что бюджеты, отведенные под развитие ИБ, стараются урезать или оставить без изменений. Так что априори понятно – кредитные организации будут приобретать меньше инструментов ИБ, чем раньше.
В этой связи я хотел бы расширить вопрос модератора: какие выходы для себя из сложившейся ситуации видят банки, на что они готовы пойти ради экономии средств? Поменялись ли взгляды банкиров на такой инструмент, как виртуализация, поскольку, с нашей точки зрения, ее использование – это возможность оптимизировать затраты финансово-кредитных организаций?
В. ОКУЛЕССКИЙ: На мой взгляд, вопрос сформулирован некорректно. И посыл в результате тоже получается неправильным: давайте не будем рассматривать виртуализацию как панацею от всех бед. Между тем ни для кого из присутствующих, я думаю, не является секретом, что в нормальном банке есть и нормальные серверы, и виртуальные серверы, и гросс-серверы, и супер-гросс-серверы. Есть процессы, которые можно и нужно виртуализировать, а есть те, которые являются чисто внутренними, и ни один нормальный «безопасник» не будет призывать к перемещению их в «виртуал». Это надо иметь в виду, когда мы обсуждаем данный вопрос.
импортозамещение: одних красивых слов и призывов недостаточно
Е. ЦАЛЬП: У меня сложилось впечатление, что мы поддались на провокацию представителя компании-разработчика и стали обсуждать частный вопрос вместо темы, которая была сформулирована в качестве главной. Мы собрались для того, чтобы понять, где мы находимся, что нам угрожает и что нам в этой ситуации делать. Потому как нынешняя ситуация непроста и неординарна: мы вынуждены бороться не только с хакерами и вредоносными программами, но и с вендорами, которые не хотят идти ни на какие уступки по ценовым условиям. Мы боремся за выживание наших коллективов, за решение задач, поставленных перед нами. Вот об этом мы должны говорить, а не о конкретных инструментах или решениях.
NBJ: Не могли бы Вы подробнее объяснить, что означает в нынешнем контексте борьба с вендорами?
Е. ЦАЛЬП: Простой пример – наше сотрудничество с Oracle. Мы задаем представителям этой компании прямой и очевидный вопрос: где гарантии, что вы не развернете против нас санкции? «Никаких гарантий мы дать не можем, – отвечают они, – но лицензионное право вы – российские банки, выступающие в качестве покупателей соответствующих решений, – должны соблюдать». То есть нам ничего нельзя – им можно все. И единственное спасение – нахождение компромисса с российскими продавцами продуктов Oracle.
Р. ХАРИТОНОВ: Наше правительство призывает активнее задействовать импортозамещение. Понятно, что это небыстрый процесс, нельзя за день или за месяц трансформировать те договоренности, которые были наработаны в течение нескольких лет. Но все же очень хочется, чтобы появились наши российские компании, которые поставляли бы решения если не идентичные, то сходные по качеству с теми продуктами, которые поставляют Cisco, IBM и Oracle. Это было бы правильным, потому что совершенно ясно – мы переживаем не первый и не последний кризис, подобные ситуации будут повторяться.
В. ШКРЕТ: Компания «Диасофт Платформа» уже делает конкретные шаги, направленные на формирование полностью отечественного стека. К настоящему моменту мы уже готовы предоставлять аналог решения SAP – многовендорную платформу. Один из наших партнеров предоставляет «железо», по качеству и возможностям не уступающее тому, которое поставляет компания IBM. То есть говорить, что мы не проводим никакой работы в сфере импортозамещения, было бы несправедливо.
А. ЕРМАЧЕНКОВ: Давайте я отвечу всем присутствующим здесь вендорам. Банки никогда не ориентируются исключительно на западные или на российские продукты – все предложения они рассматривают, что называется, по совокупности характеристик.
То, что российские продукты при этом хуже продаются, объяснимо: у них хуже соотношение «цена – качество» – именно оно является ключевым при совершении выбора. Поэтому если они хотят увеличивать свои продажи и расширять круг партнеров, то им нужно работать над улучшением этого соотношения, а не напирать на призывы правительства к импортозамещению.
М. ЛЕВАШОВ: Процесс импортозамещения очень важен, но надо отдавать себе отчет в том, что он затянется на годы. Банки не будут ждать, пока он завершится – им надо работать здесь и сейчас. Поэтому процесс, о котором вы говорите, будет идти плавно, постепенно и очень медленно, поскольку он по определению является достаточно болезненным для наших финансово-кредитных организаций.
Если все же вернуться к первому вопросу, заданному модератором, то я бы оценил главные вызовы в сфере ИБ в следующей последовательности. Первый из них – печально известная атака хакеров, использующих уязвимость нулевого дня. Второй вызов – борьба с фродом в сфере ДБО, соответственно, ответ на него – обмен информацией между банками, использование антифродов. И в качестве третьего вызова я бы выделил развитие мобильного банкинга – выбор и использование решений, связанных с мобильными устройствами.
И еще одно – это использование услуг аутсорсинга. Наверное, это будет отдельный вопрос, который мы будем разбирать в рамках нашего круглого стола, но я позволю себе забежать немного вперед и высказаться по нему сразу. Мы работаем по схеме аутсорсинга, поскольку считаем эту схему прозрачной и эффективной. В рамках нее можно ответить на вопросы: сколько стоят услуги ИБ, что это за услуги, каким образом они предоставляются? Все организации, входящие в группу «Открытие», работают по этой схеме, чего и другим желаем, поскольку наш опыт в данном вопросе исключительно позитивный.
В. РУБАНОВ: Знаете, я хотел бы вернуться к вопросу об импортозамещении. Мне доводилось слышать заявления, что если санкции против России ужесточат и западные разработчики будут отказывать российским банкам в предоставлении своих продуктов, то банкиры будут… «пиратить» софт! Я надеюсь, что это была шутка. Опустим юридическую сторону вопроса, но чисто технически не стоит забывать, что речь идет о закрытом программном обеспечении, в котором невозможно ничего исправить или доработать без поддержки западного производителя. Без этого «бинарная болванка» быстро устареет и обрастет кучей уязвимостей. Наивно думать, что можно использовать закрытое ПО без поддержки оригинального разработчика, уже не говоря о сценарии противодействия с его стороны. К счастью, в России есть ряд решений, разработанных российскими вендорами, в том числе на базе международного открытого ПО. Для них внутри страны есть полные исходные коды, средства разработки и компетентные специалисты, что делает возможным поддержку и развитие такого ПО независимо от самых жестких санкций. Я призываю участников нашего обсуждения обратить пристальное внимание на этот факт.
А. ЕФАНОВ: Если посмотреть на статистику, то можно убедиться – и международные, и российские эксперты сходятся в том, что сейчас главным вызовом для ИБ являются киберпреступления. Это логично, если учесть, что объем транзакций в Интернете растет и что на острие атаки оказываются в первую очередь платежные системы. Совсем недавно был опубликован прогноз, в соответствии с которым масштабным атакам будут подвергаться в 2015 году системы ДБО и мобильные платформы.
сокращение бюджетов на ИБ - это не вызов, а состояние нашей экономики
Г. ЕМЕЛЬЯНОВ: На самом деле я бы разделил вопрос о главных вызовах в сфере ИБ на две части, в зависимости от того, о ком идет речь – о производителях или о потребителях их решений. Они будут разными, но в то же время полностью их разделить никому не удастся, потому что вызовы, с которыми сталкиваются производители, будут проецироваться на потребителей и наоборот.
Для производителей сейчас главными вызовами, безусловно, являются сокращение бюджетов заказчиков на ИБ и снижение количества заказов. Что они вынуждены делать в такой ситуации? Сокращать людей, снижать зарплаты. Это, к сожалению, реальность.
Второй вызов – импортозамещение. Мне приходилось принимать участие во многих обсуждениях по данному вопросу, в том числе и в заседании Совета безопасности РФ. К сожалению, независимо от формата, никаких конкретных шагов в этом направлении не предпринимается, хотя красивых и вдохновляющих слов говорится немало.
Так давайте мы хотя бы в рамках нашего круглого стола скажем: да, надо обращать внимание на отечественную продукцию! Пусть она уступает пока по своим качествам западным аналогам, но она всегда будет уступать, если ее игнорировать. Я могу сказать с полной ответственностью – есть решения, разработанные национальными компаниями, которые можно эффективно использовать и которые намного привлекательнее по цене, чем импортные.
П. ГОЛОВЛЕВ: Думаю, сокращение бюджетов банков на ИБ – это не вызов. Это общее состояние нашей экономики – все компании, независимо от рода деятельности, сейчас уменьшают свои расходы. Так что, на мой взгляд, нет смысла останавливаться на данном пункте.
Я, можно сказать, собираю коллекцию ответов вендоров, к которым обращаюсь с теми или иными запросами. И почти в 100% случаев слышу от российских поставщиков одно и то же: наш продукт является программным комплексом, а не информационной системой. Безопасность данных при обработке в информационной системе обеспечиваете вы, то есть банк-покупатель. Мы, вендоры, ничего делать не будем и ни за что отвечать не будем!
А. ВЕЛИГУРА: До выступления Павла (Головлева. – Прим. ред.) у меня сложилось впечатление, что банкам не хватает информации о тех решениях и продуктах, которые предлагают им российские вендоры. Если это так, то, возможно, эту проблему следует решать организованно, а не по принципу «каждый за себя». Это один момент, который хотелось бы отметить.
Второй момент, точнее, вторая важная проблема: поставщики ИТ-продуктов и руководители бизнес-подразделений банков считают, что главное в решениях – это их функционал. А выполнение требований к соблюдению информационной безопасности, к защите данных, в том числе и регуляторных требований, должны обеспечивать банковские «безопасники». Пусть у них об этом голова болит! Я думаю, от этого надо уходить, и тут нам поможет и регулятор рынка, и, как ни странно, Запад, вводящий сейчас санкции против нашей страны.
В. ОКУЛЕССКИЙ: Что несет в себе термин «импортозамещение»? Нас призывают активнее обращать внимание на разработки отечественных компаний. Хорошо, тогда я задам очень простой вопрос: мы можем здесь и сейчас заменить IBM-серверы на российские аналоги? Мы можем что-либо поменять в АIX? Нет! Так о чем мы тогда говорим? О том, что наша страна выбирает для себя новую дорогу? Да, конечно. И мы пойдем этой дорогой, когда она ее выберет, а сейчас мы должны решать конкретные задачи сегодняшнего дня.
Давайте я поставлю на повестку дня такой вопрос: сокращение бюджетов на ИБ влечет за собой сокращение персонала? Специалисты уходят, мягко говоря, недовольные, а значит, повышаются риски нежелательного использования полученных ими знаний об ИТ-инфраструктуре и о системах ИБ в банках. В то же время растет нагрузка на оставшихся сотрудников, следовательно, возникает необходимость внесения корректировок в системы прав доступа. Нужно усиливать контроль за тем, что выносится из банков, и неважно как – в головах, портфелях, через Интернет, на флешках.
NBJ: Подобные каналы всегда были защищены – другое дело, что какие-то банки обеспечивали эту защиту более эффективно, а какие-то – менее эффективно.
В. ОКУЛЕССКИЙ: Безусловно. Но сейчас, в тех условиях, которые я описал, и на фоне жесткой конкуренции, актуальность этой задачи многократно возрастает. Я уже не говорю о том, какие риски могут возникнуть в случае, если увольняют – или увольняются – ключевые сотрудники ИБ-департаментов и управлений, люди, которые фактически являются идеологами ИБ в тех или иных банках. На самом деле эта проблема существует не в теории, она актуальна, и здесь, что называется, мы все под Богом ходим. Это своего рода «розовый слон» – все его видят, но никто не хочет в этом признаваться.
Есть еще другие проблемы: увеличение в три раза объема мошеннических операций в 2014 году по сравнению с 2013 годом, появление новых технологий, которые пока непонятно, как защищать, например технология использования мобильных телефонов в качестве платежных карт. Понятно, что данное направление будет развиваться, что банкам это выгодно, но именно это развитие добавляет головной боли руководителям департаментов информационной безопасности. Это действительно вызов, и ни один из вендоров на сегодняшний день не может дать удовлетворяющий нас ответ на вопрос, как бороться с угрозами и рисками в данном направлении.
Тестирование необходимо, но площадок для него нет
Д. САМАРЦЕВ: За последние пять-шесть лет, во всех организациях было внедрено огромное количество новых решений. Но беда в том, что в эти годы мало кто думал о проблемах защиты и информационной безопасности. Сейчас наступил тот момент, когда данные вопросы оказались на повестке дня.
На наш взгляд, тут было бы правильным активнее использовать тестирование, причем оно должно производиться полностью на предмет информационной безопасности. Есть необходимые компетенции, высококлассные специалисты и компании (конечно, в первую очередь крупные), которые с помощью использования этого инструмента избавляются от многих проблем в сфере ИБ. Но, понятно, что для проведения тестирования нужны площадки…
В. ОКУЛЕССКИЙ: То есть Вы хотите, чтобы их предоставляли реально работающие банки? Как Вы себе это представляете? Мы должны часть бизнес-процессов выделить из общей массы и перевести их в некие тестовые среды?
М. ЛЕВАШОВ: Группа «Банк Открытие» может себе это позволить, Сбербанк – тоже, а малые и средние игроки, которые нуждаются в повышении качества ИБ, безусловно, нет.
А. ВЕЛИГУРА: Дискуссия о тестировании априори сложная, похоже, в рамках нее всегда смешиваются несколько направлений. Первое из них – тестирование заявленного функционала той или иной системы. Почему это должны делать потребители? Почему они должны рисковать, приобретая тот или иной продукт? Мне кажется, что данный вопрос надо решать, но тоже системно, возможно, путем создания некоего сообщества потребителей и производителей.
В. ОКУЛЕССКИЙ: Тестированием надо заниматься, но при условии, что у вас четко определены процессы, сформулированы стандарты тестирования. Пока программирование у нас живет «на уровне коротких штанишек», говорить об этом бессмысленно. И уж совсем бессмысленно пытаться во все банки направить одинаковое предложение о создании тестовых сред.
Е. ЦАЛЬП: Вопрос о тестировании принципиально важен, но давайте не будем забывать то, о чем я уже говорил – банковская система сейчас борется за выживание. Многим ее участникам не до того, чтобы спокойно в данной ситуации создавать некие среды для внедрения и проверки эффективности и безопасности новых решений. Это утопия.
А. ГАВРИЧЕНКОВ: Коллеги, наверное, ни для кого не секрет, что основная проблема российского вендора – дефицит доверия. Мы за последние годы участвовали в десятках проектов по внедрению, каждый из них длится годами, потому что тестирование проходит максимально подробно. Когда мы говорим банкам – дайте площадку для тестирования, это не помогает решить проблему. Нам нужно приходить в кредитные организации с продуктом, который отработан, за который мы можем отвечать. А тестировать его нужно в других местах.
С. КОТОВ: Мы, когда говорим о внедрении тех или иных решений, так лихо оперируем термином «банки», как будто речь идет о продукции некоего консервного завода. А ведь всем хорошо известно, что двух одинаковых финансово-кредитных организаций в природе не существует. Более того, внутри каждого банка свой «зоопарк» систем, и надеяться на то, что промышленно или еще как-то написанный софт будет отлично работать и в одном, и в другом, и в третьем, и в десятом учреждении – это иллюзия. Поэтому, конечно, можно не предоставлять тестовые площадки вендорам. И что из этого получится? Вендор, если речь идет об ответственной компании, не может быть стопроцентно убежден в том, что его гениальное решение будет работать у вас на ура, если не было проведено тестирование. Так что площадки для данной цели вам, уважаемые банкиры, предоставлять все равно придется, независимо от того, хочется вам этого или нет.
П. ГОЛОВЛЕВ: Проблема, наверное в том, что у нас крупные вендоры любят заниматься «вкусными» и дорогими проектами, а вот «мелочевка» никому не интересна. Для того чтобы заставить вендора заниматься ею, необходимо каждый раз устраивать танцы с бубнами.
А. ЕФАНОВ: Как-то невольно по ходу нашей дискуссии напрашивается вывод – во всем всегда виноваты вендоры. А на практике все выходит несколько иначе. Банки обычно нам говорят: «Ребята, вы за нас что-то отстройте. Сами решите за нас, а мы потом будем работать». Решить за вас даже элементарные вопросы доступа к информации?
аутсорсеры и заказчики: почему так важно научиться говорить на одном языке?
NBJ: Один из вопросов, которые мы хотели бы поднять в рамках нашего круглого стола, – передача некоторых задач в сфере ИБ на аутсорсинг. Михаил Левашов уже затронул эту тему, есть предложение вернуться к ней и обсудить различные аспекты данного явления.
М. ЛЕВАШОВ: Лично я вижу в передаче на аутсорсинг задач, связанных с обеспечением ИТ-безопасности, как плюсы, так и минусы. Главный плюс заключается в следующем: если человек работает в штате, то он, как ни странно это, наверное, прозвучит, может заниматься чем угодно. Руководству сложно будет проверить, является ли он специалистом в области информационной безопасности.
А вот когда речь идет об аутсорсинге, то подрядчик должен каждый день доказывать заказчику, что он компетентен. Ведь постоянно идет борьба между заказчиком и аутсорсером, постоянно разгораются дискуссии, что нужно заказчику, а что ему не нужно, какие риски в сфере ИБ являются актуальными, а какие нет. То есть налицо непрерывное перетягивание каната, и это, по моему убеждению, самый большой плюс аутсорсинга.
NBJ: Ну тогда для гармонии укажите, пожалуйста, и главный минус аутсорсинга ИБ.
М. ЛЕВАШОВ: Он очевиден. Как это – отдать какие-то секреты посторонней компании, которая, как ни крути, является внешним юридическим лицом по отношению к банку? Но тут можно возразить: господа, а вы знаете, что эта компания наверняка будет лучше хранить ваши секреты, чем собственные сотрудники, которые в любой момент могут уволиться и забрать секреты с собой «в головах». И что вы с этим сделаете? На мой взгляд, куда безопаснее иметь дело с компанией, которая дорожит своим реноме.
NBJ: Думаю, в рамках круглого стола мы не ответим на вопрос, кто виноват. Тем более что его уже тысячу лет не могут решить по другим поводам. Давайте перейдем к вопросу, возможно ли выполнение всех стандартов, всех требований, которые регулятор и законодатель выдвигают в этой сфере?
С. КОТОВ: Никогда. Потому что в моей, если так можно выразиться, коллекции стандартов насчитывается по пять-семь определений одного и того же явления. Они переходят из стандарта в стандарт, при этом слабо между собой коррелируются. Как можно в таких условиях выполнять все предписанное? Спасибо Центральному банку за то, что он решил навести порядок в этой сфере, что он пытается сформулировать более или менее ясные и четкие правила игры.
А. ЕРМАЧЕНКОВ: Работа, проводимая ЦБ в области стандартизации, – действительно очень интересный аспект. Только надо учитывать тот факт, что регулятор рынка вырабатывает рекомендации, которые не являются требованиями, обязательными к выполнению. 15 лет назад мы вынуждены были заниматься фактически тем же самым в масштабах банков, где мы тогда работали. Сейчас решение данной задачи взял на себя регулятор рынка, и это не может не радовать. Мое резюме таково: полностью соответствовать всем имеющимся стандартам в области ИБ, конечно, нельзя. Но они играют важную роль, поскольку позволяют банкам и вендорам говорить на одном языке.
И еще я хотел бы коснуться темы аутсорсинга. Мы пользуемся этим инструментом уже много лет в совершенно разных ипостасях и сферах – в инкассации, при использовании процессинговых центров, при выстраивании отношений «банк-реципиент и банк-донор». Проблема в том, что в каждом конкретном случае надо определять меру ответственности аутсорсера и то, что вы хотите от него получить. Надо, чтобы цена услуги соответствовала той прибыли, которую вы рассчитываете получить от использования этого механизма.
С. КОТОВ: По моему убеждению, проблема аутсорсинга – это по большому счету проблема того, готов ли аутсорсер нести ответственность перед банком-заказчиком. Если он готов возместить весь ущерб, который кредитная организация может понести из-за его некачественной работы, то нет проблем – все банки будут за такой аутсорсинг. Но, к сожалению, подобных предложений на рынке мало, а то и вообще нет.
NBJ: Давайте ближе к завершению нашего заседания обсудим вопрос о человеческом факторе. Стал ли он более весомым с учетом всего, о чем мы говорили – в условиях сокращения бюджетов, вынужденного увольнения сотрудников или вынужденного понижения им зарплат и т.д.?
Р. МАГСУМОВ: Человеческий фактор, по моим наблюдениям, это приоритетный вопрос в информационной безопасности – важнее, чем, например, решение вопроса о выборе маршрутизатора или файервола. Причина проста: если я злоумышленник, то мне проще воспользоваться безграмотностью или недостаточной компетентностью пользователя, чем воздействовать на продукт, который создавался хорошими специалистами в области информационной безопасности. И мы видим, что в большинстве случаев причинами успеха тех или иных атак является человеческий фактор.
В. БОНДАРЕНКО: Я хочу поддержать предыдущего оратора. В последние годы существенно возросла так называемая гаджетозависимость людей. Сами понимаете, персонал банка, приходя на работу, приносит с собой кучу мобильников, планшетов и т.д. У финансово-кредитной организации может быть отличная защита, но что толку, если рядом с ними находится гаджет, информация с которого может рассылаться в любой момент времени направо и налево?
Следующий момент, на который я хотел бы обратить внимание участников дискуссии: количество угроз в сфере ИБ не увеличилось – изменилась их структура. Они стали более интеллектуальными. На этом фоне все мероприятия, которые проводятся в банках, должны сводиться к управлению человеческим фактором.
Можно потратить кучу денег на техническое оснащение безопасности банка, но, если этого не хотят люди, они пройдут любую стену, они сломают любую систему безопасности. Если персонал банка правильно воспитан и соблюдает все установленные в организации регламенты и требования, то не надо тратить большие деньги на обеспечение системы безопасности.
Поэтому я считаю, что человеческий фактор – это очень важная вещь. Необходимо воспитание компетентности, обучение сотрудников и тогда можно будет сказать, что при ограниченном финансировании и техническом обеспечении мы смогли создать максимальную защиту нашей информации.
С. КРУТОВ: Присоединюсь к дискуссии про человеческий фактор. Есть такая интересная статистика инцидентов, в соответствии с которой из десяти случаев один приходится на злобного внешнего хакера, один – на обиженного сотрудника и восемь – на необученный персонал, халатность и т.д. Понятно, что в нынешних условиях эта статистика будет меняться.
NBJ: За счет чего?
С. КРУТОВ: За счет роста доли, приходящейся на обиженных сотрудников, а о причинах этого мы сегодня уже много говорили. Понятно, что развитие новых технологий потребует разработки новых подходов к защите информации и к обеспечению информационной безопасности. Мы никуда от этого не уйдем.
Мария ЛУРЬЕ,
руководитель отдела маркетинга ООО «С-Терра СиЭсПи»
Импортозамещение – одна из самых популярных сегодня тем для обсуждения. В России вводится национальная платежная система, создаются новые ЦОД для хранения данных, в то же время участились сообщения информационных агентств о более масштабных киберпреступлениях. В этих условиях необходимо обеспечить надежную и легитимную с точки зрения российских стандартов защиту данных не только в местах их хранения и обработки, но и в процессе их передачи. То есть без построения виртуальных частных сетей (VPN) не обойтись.
Не секрет, что в банковских информационных системах предпочитают использовать западные средства безопасности. Можно говорить о том, что западные VPN-продукты обладают большей функциональностью, и работа с ними привычнее и удобнее. Но привычка – дело времени, а времена меняются, требуя иных подходов. Наступает период, когда и финансово-кредитные организации задумываются о том, как удобнее заменить западные алгоритмы защиты каналов связи на российские.
К тому же перечень отечественных средств безопасности с каждым днем становится шире, растет удобство использования и качество обслуживания. Не стоит забывать и о том, что российские производители готовы гибко и оперативно реагировать на потребности заказчика, создавая специализированные решения для конкретных проектов. Кроме того, их продукция отвечает всем требованиям российского законодательства, в частностии СТО БР ИББС, согласно которому рекомендуется применять VPN-продукты, сертифицированные ФСБ России.
Инфраструктура банковской информационной сети, как правило, диктует использование разнообразных решений по защите данных. Необходимо обеспечить безопасность информации не только внутри сети организации, но и при взаимодействии с отдаленными филиалами, с ЦОД, с мобильными пользователями, с банкоматами и даже с зарубежными представительствами. Все эти задачи полноценно решаются с применением продуктов российских вендоров. В частности, надежную комплексную систему защиты каналов передачи данных в банковских информационных системах обеспечивают средства безопасности «С-Терра».
Закономерным результатом развития рынка в современных экономических условиях стало появление виртуального криптошлюза, который интегрируется непосредственно в виртуальную инфраструктуру. Благодаря его использованию, существенно экономится электроэнергия, место в стойке, снижаются затраты на обслуживание и техническую поддержку. Например, продукт «С-Терра Виртуальный шлюз» имеет минимальные сроки поставки и привлекательную стоимость. Это единственный на текущий момент виртуальный VPN-шлюз, сертифицированный ФСБ России и ФСТЭК России. Являясь, по сути, программным комплексом, он обладает полноценной функциональностью шлюза безопасности на аппаратной платформе, а возможность его установки на одну аппаратную платформу совместно с другими программными средствами (системы обнаружения и предотвращения вторжений, антивирусные программы, почтовый сервис, CRM и пр.) обеспечивает надежную эшелонированную защиту и удобство использования.
Основой повышения безопасности банковского взаимодействия является использование надежных, проверенных временем и регуляторами, соответствующих российским стандартам инструментов защиты, которые при этом обеспечивают оптимальное соотношение удобства, свободы пользователя, степени защиты и понесенных затрат. Не стоит забывать при этом о стремительном развитии технологий, растущем многообразии угроз, увеличивающейся глубине виртуализации информационного пространства, а также о национальной безопасности.
Владимир ОСИПЕНКО,
менеджер по техническому развитию ООО «Тритфейс»
На круглом столе было продемонстрировано различие отношений представителей кредитных организаций и отечественных вендоров к тематике импортозамещения в банковской сфере. Российские производители программного обеспечения и оборудования видят в данном процессе еще один шанс для продвижения на рынок своих решений и новых разработок. Однако рынок в лице банков, стремясь не допустить простоя своих информационных систем и стараясь сохранить вложенные инвестиции, не готов даже в текущих условиях сокращения бюджетов на какие-либо кардинальные и, возможно, сопряженные с некоторым риском движения в сторону замены импортных производителей на отечественных. В результате такого конфликта интересов образуется замкнутый круг: отечественный рынок ИТ-решений не получает необходимого ему импульса для развития продуктов, а потребители в лице банков – качественных и отлаженных решений.
Одна из основных причин данного конфликта, по нашему мнению, отсутствие у банков и производителей возможностей и инструментов для проведения всесторонних и достоверных тестирований (нагрузочных, функциональных, на защищенность и т.д.) отечественных решений, результатам которых можно было бы доверять. Мы видим три возможных параллельных пути решения данной проблемы: создание крупнейшими банками собственных лабораторий, формирование независимой центральной испытательной лаборатории на площадке регулятора телекоммуникационной отрасли и проведение открытых тестирований продуктов в рамках отраслевых конференций и форумов. Наша компания, обладая собственной, уникальной для России испытательной лабораторией, построенной на оборудовании Ixia, готова участвовать и предлагать свою экспертизу как в проектах по созданию подобных испытательных комплексов под ключ, так и в проведении различных разовых тестирований оборудования и программного обеспечения.
Роман ПРОКОПЬЕВ,
генеральный директор ПАО «Трастед Клауд Компьютерс – Миллионер»
Абсолютное большинство современных хакерских атак основано на использовании одной уязвимости, которая характеризует все современные компьютеры. Упрощая, можно описать проблему так: в компьютерах старых архитектур возможно внедрение вредоносного программного обеспечения в долговременную память (или иная вредоносная модификация команд и данных в этой памяти). Блокировать эту уязвимость можно только с помощью дорогих и сложных в настройке и обслуживании средств защиты.
Сегодня эта логика уже не единственная. Есть новое решение – разработанная российскими учеными защищенная архитектура, лишенная подобных недостатков: неизменность ОС обеспечивается в ней физически, поэтому никакие программные действия хакеров не смогут нарушить целостность, а значит, доверенность программной среды.
Решение защищено 10 патентами с 26 пунктами патентных формул. Основанные на нем компьютеры выпускаются в виде терминалов с док-станцией и отчуждаемым активным блоком (MKT-card), планшета (TrusTPad), телефона (TrusTPhone), блока с кронштейном VESA, в форм-факторе большой флешки (MKT и MKTrusT) и стоят на порядок меньше компьютеров, оборудованных необходимым комплектом средств защиты. Это делает их идеальным решением для доверенного использования как на рабочем месте, так и в защищенных терминальных и облачных инфраструктурах, а также для управления банковским счетом, обработки персональных данных, телемедицинских консультаций.
Максим БЕЛОЕНКО,
руководитель департамента развития бизнеса Qrator Labs
Проблема импортозамещения в различных сферах экономики является сейчас, наверное, одной из самых обсуждаемых. Информационные технологии не являются в данном контексте исключением. Но когда мы говорим об этом, надо иметь в виду два важных момента.
Речь идет о достаточно длительном процессе, который может растянуться на 10–15 лет. Иными словами, нельзя произвести замену, о которой говорится выше, по мановению волшебной палочки. Российские разработчики должны создать целый комплекс эффективных решений, чтобы банки могли без проблем выбрать из предложенного продуктового ряда то, что им больше всего необходимо.
Второй момент непосредственно связан с первым. Качественные продукты, разработанные российскими вендорами, уже имеются в наличии. Но проблема в том, что банки по природе своей консервативные организации. Они за долгие годы существования привыкли работать с западными производителями, поэтому мало информированы об отечественных вендорах. Здесь положительную роль могли бы сыграть профессиональные объединения, в частности Ассоциация российских банков. Необходимо создать площадку или ряд площадок, на которых отечественные интеграторы и банки могли бы познакомиться поближе.
Еще одна очень важная тема – аутсорсинг в сфере ИТ и ИБ. Нельзя сказать, что это принципиально новое явление: передача банками некоторых задач и функций на сторону осуществляется давно. И это логично, поскольку кредитное учреждение таким образом, с одной стороны, избавляется от головной боли (а она неизбежно возникает, поскольку ему приходится заниматься непрофильной для себя деятельностью), а с другой, сокращает свои расходы. И что принципиально важно: аутсорсерам, по нашему убеждению, можно доверять даже больше, чем собственным сотрудникам. Вторые в случае совершения ошибок или злонамеренных действий рискуют в подавляющем большинстве случаев только своим рабочим местом. Аутсорсер рискует не только им (если речь идет о конкретном специалисте), но и репутацией компании, в которой он работает, и контрактами, которые вряд ли после срыва будут заключены.
Алексей САБАНОВ,
заместитель генерального
директора компании «Аладдин Р.Д.»
В сфере регулирования рынка ИБ по-прежнему доминируют два закона – ФЗ № 63 «Об электронной подписи» и ФЗ № 152 «О защите персональных данных», подзаконные акты становятся более проработанными и реалистичными. В 2014 году регуляторы стали чаще советоваться с участниками рынка. Проработанность и законченность читается в документах по защите персональных данных. Давно назревшие изменения в ФЗ № 63 готовятся, но пока обсуждаемые проекты изменений в полной мере не отвечают требованиям сегодняшнего дня. В частности, по-прежнему не уделяется должного внимания регулированию назревших проблем безопасной организации процессов идентификации и аутентификации участников удаленного электронного взаимодействия, а также продолжается игнорирование проблем использования устройств, безопасно генерирующих закрытые ключи, так называемых устройств с неизвлекаемыми закрытыми ключами.
На мой взгляд, сегодняшняя обстановка должна сплотить всех основных участников рынка. Если регуляторы, крупные заказчики, разработчики и поставщики начнут сообща конструктивно вырабатывать необходимые для регулирования документы, это будет сплав, подобный дамасской стали.
Внешняя обстановка и внутренние трудности вынуждают защитников ИБ быть в полной боевой готовности. Я верю: российские специалисты в области информационной безопасности докажут на деле, что их долголетний труд по созданию систем защиты информации поможет выдержать напор внешних и внутренних атак. Пришло время создания комплексных многорубежных систем обороны информационных ресурсов с применением современных технологий защиты.
Константин ВАРОВ,
управляющий директор компании «Диасофт Платформа»
Необходимость импортозамещения и последствия кризиса на банковском рынке оборачиваются сегодня для финансовых организаций рядом проблем, большинство из которых можно решить силами отечественных вендоров.
Сегодня, когда ресурсы банков ограничены, введенные ЦБ РФ дополнения к текущим стандартам ИБ можно соблюсти только при условии поддержки изменений законодательства разработчиками. Ряд поставщиков банковского ПО, среди которых «Диасофт», снижают нагрузку на внутренние службы кредитной организации, помогая справляться с выполнением новых требований регулятора.
Другой обострившейся в последнее время проблемой информационной безопасности остается инсайдерство. Прошедшая волна сокращений в банках и страховых компаниях резко повысила число сотрудников, которые, прежде чем покинуть свое место, копируют клиентскую базу. И даже если специалист не собирается увольняться, вполне возможно, что он станет мишенью для коммерческого подкупа. «Диасофт Платформа» отреагировала на эту проблему партнерством с разработчиками InfoWatch. Целью сотрудничества стало создание совместного решения, которое, благодаря технологии детекции выгрузок из базы данных, помогает обнаружить незаконное изъятие конфиденциальной информации и пресечь его.
Не стоит забывать и об оборотной стороне медали, именуемой развитием дистанционного банковского обслуживания. Вместе с ним совершенствуются разработки черного рынка, который использует ДБО в качестве канала доступа к средствам на счетах предприятий и физических лиц. При этом законодательные акты регулятора возлагают ответственность за попытку взлома систем ДБО на банк, что в результате удачной попытки злоумышленников ведет к немалым убыткам. Бороться с этим помогают системы Fraud Detection, которые фиксируют подозрительное поведение клиента и либо привлекают к нему внимание сотрудников банка, либо приостанавливают операцию до проведения по ней дополнительного контроля. «Диасофт» интегрирует свои решения с подобными системами, появляющимися на рынке, чем способствует понижению рисков, связанных с ДБО.
Не стоит забывать об угрозе информационной безопасности кредитных организаций и в рамках программы импортозамещения. Многие банки уже начали прорабатывать собственные модели для снижения рисков от использования зарубежного ПО. Некоторые из наших клиентов перевели модули FLEXTERA с иностранного системного ПО на его российские аналоги из стека «Бета». И только работа на опережение может гарантировать банкам безоблачное будущее.
Дополнительные фотографии данного мероприятия смотрите по ссылке