Вход Регистрация
 

Аналитика и комментарии

11 ноября 2015

информационная безопасность в финансовом секторе

УЧАСТНИКИ КРУГЛОГО СТОЛА, ОРГАНИЗОВАННОГО NBJ СОВМЕСТНО С АРБ:

Алексей АЗАРКИН, начальник отдела информационной безопасности Национального Резервного Банка; Евгений АКИМОВ, директор по развитию бизнеса Центра информационной безопасности компании «Инфосистемы Джет»; Александр АЛЕКСЕЕВ, CEO Social Links; Глеб АЛЬТЕР, ведущий менеджер по развитию бизнеса компании «Информзащита»; Дмитрий БАЙКОВ, специалист Службы информационной безопасности «Миллениум банк» (ЗАО); Зоя БОРОВКОВА, заведующий сектором Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, Главное управление безопасности и защиты информации Центрального Банка Российской Федерации; Александр БОРОДИН, начальник управления информационных технологий КБ «Международный Банк Развития» (АО); Алексей БУРАНОВ, инженер ИТ ПАО КБ «Верхневолжский»; Марат ВОЛКОВ, руководитель агентства «Соратник»; Александр ВИНОГРАДОВ, начальник Управления ИБ в ЗАО КБ «Златкомбанк»; Павел ГОЛОВЛЕВ, бизнес-партнер по информационной безопасности ПАО «Сбербанк России»; Андрей ГОЛЯШИН, начальник отдела информационной безопасности АКБ «ФОРА-БАНК» (АО); Анна ГОЛЬДШТЕЙН*, директор по развитию бизнеса компании «Информзащита»; Вадим ГРИЦЕНКО, начальник отдела информационной безопасности КБ «Альта-Банк» (ЗАО); Андрей ДРОЗДОВ, эксперт ассоциации ABISS; Александр ДУНЕЦ, начальник службы информационной безопасности НКО «МОСКЛИРИНГЦЕНТР»; Сергей ИВАНОВ, начальник отдела информационной безопасности банк «Прайм Финанс» (АО); Евгений КАЛАШНИКОВ, начальник Управления защиты информации ПАО «БИНБАНК»; Денис КИРИЛЛОВ, заместитель начальника Службы информационной безопасности АО «РФИ БАНК»; Николай КЛЕНДАР, начальник Управления информационной безопасности ООО «Хоум Кредит энд Финанс Банк»; Дмитрий КНЯЗЕВ, руководитель направления Департамента планирования продуктов и работ Компании BSS; Николай КОЧЕТКОВ, директор Департамента по информационным технологиям НКО «МОСКЛИРИНГЦЕНТР»; Николай КУЗЬМИН, начальник Управления внутренней защиты ПАО «Росгосстрахбанк»; Алексей КУРАЖОВ, ответственный секретарь Экспертно-методического центра банковской безопасности при Ассоциации российских банков;  Андрей КУРИЛО, руководитель по направлению информационной безопасности в финансовом секторе компании INLINE Technologies; Михаил ЛЕВАШОВ*, советник банка ФК «Открытие»; Иван ЛИЧМАНОВ, руководитель департамента информационной безопасности банк ОАО «Уралсиб»; Александр МАРКОВ, специалист по информационной безопасности банка «ВТБ Капитал»; Олег МАРТЫНОВ, специалист Службы информационной безопасности «Миллениум банк» (ЗАО); Дмитрий МИХАЙЛОВ, заместитель начальника Управления – начальник Отдела информационной безопасности АБ «Россия»; Алексей ПЛЕШКОВ, начальник управления режима информационной безопасности «Газпромбанк» (АО);  Анна РЫЖЕНКОВА, ведущий консультант-аналитик Отдела консалтинга и аудита АО «ЭЛВИС-ПЛЮС»; Андрей САМОРОДОВ, пресс-служба Центрального Банка РФ; Армен САФАРЯН, начальник управления по информационной безопасности в Департаменте информационной и технической безопасности в Центральном Банке Республики Армения; Александр СИНЕОК, заместитель начальника службы информационной безопасности банк «Возрождение» (ПАО); Дмитрий СУШКОВ, руководитель службы информационной безопасности АО «МСП Банк»; Михаил ТАВРОЛОВ, начальник службы информационной безопасности ООО «Первый Чешско-Российский Банк»; Дмитрий ТАЙГИНД, инженер Отдела решений по управлению ИБ АО «ЭЛВИС-ПЛЮС»; Александр ТИМОФЕЕВ, начальник службы информационной безопасности «Морской банк» (ОАО); Алексей ТИХОМИРОВ, главный аналитик ПАО «Сбербанк России»; Александр ТРОХИМЮК, начальник отдела защиты информации ОАО «Фондсервисбанк»; Ярослав ТРУХАЧЕВ, начальник отдела сопровождения банковских систем АО «Банк Жилищного Финансирования»; Александр ТУРКИН, независимый эксперт; Дмитрий ФРОЛОВ, начальник Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, Главное управление безопасности и защиты информации Центрального Банка Российской Федерации; Руслан ХАУСТОВ, вице-президент АКБ «Тамбовкредитпромбанк»; Александр ЧЕБАРЬ, консультант Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, Главное управление безопасности и защиты информации Центрального Банка Российской Федерации; Василий ЧЕРКАШИН, начальник отдела информационной безопасности АКБ «ПЕРЕСВЕТ»; 
Сергей ЩЕГЛОВ, начальник Отдела информационной безопасности КБ «БФГ-Кредит» (ООО).

ВЕДУЩИЕ: Игорь ЕЛИСЕЕВ, заместитель директора по развитию Академии информационных систем; 
Елена ЕЛИСЕЕНКОВА, генеральный директор NBJ; Анастасия СКОГОРЕВА, главный редактор NBJ. 

 

NBJ: Тема «информационная безопасность в финансовом секторе» является одной из традиционных для нашего издания, и в этом нет ничего удивительного, если учесть, какие риски несут для банков пробелы и «узкие места» в защитных системах. Любой инцидент, сколь угодно серьезный, чреват репутационными издержками, некоторые инциденты приводят к существенным финансовым потерям, а некоторые – к тому, что банковские системы оказываются парализованными. 

Если же мы будем говорить о видах мошенничества, то легко придем к выводу, что атаки на банки в последнее время совершают и хакеры-одиночки, и преступные группировки, и даже так называемые государственные кибервойска. Плюс к этому, нельзя сбрасывать со счетов такой фактор, как внутреннее мошенничество – нелояльные сотрудники, специалисты, вступающие в сговор с враждебными внешними силами, и т.д. Что касается статистики, то, проанализировав ее, можно убедиться в том, что в этом году особую популярность приобрели вредоносные программы для мобильных устройств, а одним из главных объектов атаки становятся платежные системы и платежная инфраструктура финансовых организаций.

С учетом этого мы хотели бы предложить в качестве первой темы обсуждения следующую – есть ли сейчас способы и возможности противостоять целевым атакам на платежные инфраструктуры. Что можно предпринять, чтобы не допустить печальных последствий и для финансовых организаций, и для их клиентов? 

З. БОРОВКОВА: Одна из ключевых проблем, конечно, в бурном росте инсайда. Мы уже сейчас видим, что «на рынке» продаются базы данных банков – причем в этих базах можно найти информацию не только о клиентах финансово-кредитных организаций, но и об их сотрудниках. Причем, что особенно тревожно, сейчас можно говорить о том, что на нашем рынке начинают работать не только русскоговорящие хакеры, но и европейские, и азиатские преступные группировки. Так что тут можно констатировать следующее – банкам следует быть готовыми к тому, что атаки на их информационные системы и платежные сервисы станут более массированными и целенаправленными.

Д. ФРОЛОВ: Я бы хотел сказать несколько слов о Центре/FinCERT, созданном при Главном управлении безопасности и защиты информации Банка России. Понятно, что если на государственном уровне создается система противодействия и ликвидации компьютерных атак, то это говорит об актуальности данной проблемы. 

С 1 июня этого года Центр начал работу, одна из главных задач, которую мы ставим перед собой – это создание доверительной среды между финансовыми организациями, налаживание взаимодействия между ними, в том числе, и с точки зрения обмена информацией об инцидентах. К настоящему моменту к нашей системе подключились 80 банков, и мы полагаем, что число наших партнеров в рамках Центра будет и дальше расти. Тем более что первые положительные результаты такого сотрудничества уже налицо: мы предупредили ряд банков о готовящихся на их информационные системы атаках, помогли нескольким некредитным финансовым организациям во взаимодействии с МВД. 

Если говорить о трендах, то мы наблюдаем все более активное использование такого инструмента, как «дропы». Но самой большой проблемой, на наш взгляд, является рост в процентном отношении количества мошеннических действий по отношению к количеству совершаемых транзакций. Иными словами, преступники явно активизируются – это очевидно, когда сопоставляешь квартальные результаты. И я согласен со своими коллегами, что банковским организациям необходимо учитывать факт наличия этой тенденции при выстраивании своих систем безопасности. 

NBJ: А чем вы объясняете этот самый рост? Возможно, он зависит от вступления в силу знаменитой 9-й статьи 161-ФЗ, в соответствии с которой банки обязаны возмещать клиентам убытки, понесенные теми в результате мошеннических операций?

Д. ФРОЛОВ: Мягко говоря, 9-я статья работает не в полную силу, поэтому я бы не стал увязывать одно с другим. Мне кажется, это более системная проблема, и ее невозможно объяснить, только списав все на новации, внесенные в законодательство некоторое время назад.

З. БОРОВКОВА: Дело в том, что сейчас атаки все чаще направляются не на клиентов, а на информационные системы банков, и воруют средства все чаще не с клиентских счетов, а с корреспондентских счетов кредитно-финансовых организаций. Преступники все меньше интересуются перспективой взлома ДБО клиента – будь то физическое или юридическое лицо. Они понимают, что куда большую «прибыль» смогут получить, выводя средства с коррсчета банка или похитив критически важную для организации информацию. При этом – и это я хотела бы особо подчеркнуть – следует понимать, что все чаще критической точкой становится импортное программное обеспечение. А это значит, что самое время задуматься об импортозамещении.

NBJ: А почему, на Ваш взгляд, для мошенников стало более выгодным делом похищение средств с коррсчетов банковских организаций? С одной стороны, понятно, что в этом случае можно больше украсть, но, с другой стороны, очевидно, что взломать банковскую систему – задача совершенно иного порядка, чем взломать защиту конечного пользователя ДБО. Пользователь обычно хуже осведомлен о стандартах защиты информации, ленится выполнять рекомендации, ставит бог знает какую защиту на свой компьютер и мобильные устройства…

З. БОРОВКОВА: С одной стороны, все так, как вы говорите, но в теории. А на практике – вот совсем недавно были совершены мошеннические действия, которые привели к несанкционированному списанию денежных средств, причем невольными соучастниками этого преступления стали операционисты этой кредитной организации. Злоумышленники воспользовались их усталостью, перегруженностью, невнимательностью и добились желаемых для себя результатов.

NBJ: То есть снова сыграл свою роль пресловутый человеческий фактор?

З. БОРОВКОВА: Совершенно верно. Эта ситуация лишний раз подтверждает, что никакие защитные системы не помогут до тех пор, пока все люди – неважно, сотрудники банков или конечные пользователи банковских услуг – не начнут в полной мере осознавать, какими лично для них могут быть последствия действий злоумышленников. 

NBJ: Хотелось бы обратиться и к другим участникам нашего круглого стола с вопросом, изменился ли, по их мнению, в последнее время ландшафт компьютерных угроз? И, если да, то насколько сильно?

Н. КОЧЕТКОВ: Я представляю НКО и могу по нашему опыту сказать, что мы в большинстве случаев сталкиваемся с достаточно традиционными видами мошенничества. Но наряду с этим действительно появляются и новые для нас угрозы – например, атака на программное обеспечение, установленное в нашем оборудовании. Если раньше чаще всего преступники пытались просто вывезти терминал на грузовике, то сейчас они начинают действовать интеллектуально – пытаются устанавливать «закладки», с помощью которых можно осуществлять хищение денежных средств. Это серьезный вызов для нас и для компаний, занимающихся аналогичной деятельностью.

А. СИНЕОКА: Знаете, я бы сказал, что новые угрозы появляются и в сфере «неинтеллектуального» мошенничества. Наглядный тому пример – накачка банкомата газом с последующим его подрывом. Никаких особых технических познаний здесь не требуется, что не мешает мошенникам достигать желаемого для них результата.

Что касается импортозамещения, а этот вопрос поднимался выше, то, не критикуя отечественных разработчиков, я должен сказать, что пока предлагаемые ими системы не могут сравниться с западными аналогами по уровню защищенности. 

Воспользовавшись случаем, я хотел бы задать вопрос представителям регулятора, принимающим участие в заседании круглого стола: планируется ли разработка некоторой отраслевой модели, в рамках которой перечислялись бы основные новые угрозы, рекомендации по противодействию им и т.д.

Д. ФРОЛОВ: Что касается стандарта Банка России, то к концу 2015 года мы должны подготовить проект стандарта, связанный с расследованием инцидентов в платежных системах. Этот стандарт будет соответствовать международным аналогам в данной сфере. После того, как проект пройдет первую «обкатку», он будет обсуждаться банковским сообществом, и мы планируем, что к концу следующего года он будет утвержден. Но я хотел бы особо подчеркнуть: в нем не будет идти речь о моделях угроз, в первую очередь будут перечислены уязвимости.

NBJ: Вы сказали, что представители банковского сообщества будут обсуждать стандарт, а будут ли они участвовать в его разработке?

Д. ФРОЛОВ: Безусловно. Более того – они уже сейчас принимают участие в этом процессе.

А. ВИНОГРАДОВ: Насколько мне известно, тот стандарт, который сейчас пишется Банком России, рассматривает в качестве модели угроз только персональные данные клиентов. Банковская тайна в перечень угроз не входит. Соответственно, все банки должны делать свою модель угроз, которую должны выстраивать либо с учетом данных ФСБ, либо на основании документов ФСТЭК. Существует Технический комитет № 122, в котором присутствуют как банки, так и интеграторы. Вход для всех свободный – достаточно подать заявление об участии в работе комитета. Соответственно, у каждого, кто принят в состав комитета, появляется возможность вносить свои предложения и озвучивать свои рекомендации для выработки новой общей модели угроз.

Теперь я хочу сказать несколько слов о рисках. Действительно, вектор немного изменился или, скорее, расширился. Если раньше атаки и впрямь были в основном направлены на клиентов, то теперь они направлены и на клиентов, и на банки. Например, сотрудникам стали приходить письма с вирусами, причем не на основные ящики банков, а на личные адреса. Понятно, что мы обучаем специалистов работе с такими письмами, но надо понимать: всего предусмотреть невозможно, кто-то забывает выполнять рекомендации, компьютеры заражаются, и в системах защиты возникают «дыры».

М. ЛЕВАШОВ: Несколько слов по поводу стандартизации. Я совершенно согласен с Александром (Виноградовым. – Прим. ред.) в той части, которая касается Технического комитета № 122. Кроме него, есть различные некоммерческие партнерства и ассоциации, есть Национальный Совет финансового рынка (НСФР), есть площадки Ассоциации российских банков, Национального Платежного Совета. Так что Вы сами можете убедиться в том, что различные форматы для обсуждения и выработки коллективных решений и рекомендаций существуют.

Теперь что касается видов угроз. Три года назад очень опасной угрозой были мошеннические электронные платежные документы (транзакции) в системе ДБО. Внешне они выглядели абсолютно нормально – были зашифрованы и подписаны должным образом, но отправлялись при этом мошенниками. Это вызвало настоящий бум возникновения и использования различных систем антифрода, особенно там, где речь шла о попытках совершения мошеннических транзакций в ДБО юридических лиц. Потом, возросла актуальность угроз нулевого дня, и мы наблюдаем их реализацию во многих банках.

Противоядие против первого вида угроз мы нашли в создании системы антифрода, которая практически свела к нулю реализацию мошеннических транзакций. Второй вид угроз успешно купировался путем внедрения в практику интеллектуальных программ, способных делать поведенческий анализ подозрительного ПО и вылавливать неизвестный ранее «зловред». Должен сказать, что наш опыт показал эффективность этой борьбы.

NBJ: Тем не менее враг вряд ли успокоился, и затих.

М. ЛЕВАШОВ: Конечно, не успокоился. Злоумышленники никогда не дремлют. Появляются действительно сложнейшие системы, на производство которых были затрачены огромные деньги, и не всегда удается сразу справляться с ними. Но это закон борьбы: противник всегда изобретает что-то новое, а нам приходится его догонять.

Е. АКИМОВ: Важно комплексно представлять то, как можно противодействовать атакам нулевого дня. Есть системы, которые условно называют песочницами, в них просматривается весь трафик и выявляются сообщения и ссылки, которые несут в себе вредоносный код. Кроме этого, есть хостовые сенсоры, которые фиксируют уже состоявшиеся заражения. И третий эшелон защиты – детектирование выхода зараженных на связь с центрами управления где-то вне сети. Я думаю, что рано или поздно все банковские организации придут к тому, чтобы на основе перечисленных компонентов выстроить трехуровневую защиту (кстати, Gartner выделяет еще два компонента обеспечивающих расследование постфактум плюс к вышеперечисленным, работающим в режиме real-time. Всего их пять).

Что касается отраслевой модели угроз, то, к сожалению, процесс ее выработки объективно занимает немало времени. В рамках нашего мероприятия уже говорилось о том, что нам теперь противостоят не только и не столько хакеры-одиночки, сколько организованные преступные группировки. И тут промедление в случае ожидания внесения изменений в модель угроз может очень дорого стоить, мы рискуем понести серьезные потери, потому что преступность не дремлет. И правы те, кто призывает постоянно взаимодействовать друг с другом, обмениваться как положительным, так и отрицательным опытом. Как уже упоминалось, мы ждем настоящее цунами в сфере киберпреступности и рискуем оказаться не готовыми к нему, потому что – будем говорить откровенно – когда наступает сложная экономическая ситуация, то преступность растет не только в сфере ИТ, но и в целом, и это, увы, объяснимо.

NBJ: Это связано с кризисом?

Е. АКИМОВ: Безусловно. Смотрите, час-то люди вынуждены искать новую работу, и, не находя ее, они «переходят на сторону зла». Это даже в большей степени относится к сфере ИБ, так как общество до сих пор продолжает считать преступления в компьютерной сфере не столь уж достойными осуждения.

NBJ: Вряд ли кто-то будет оспаривать как важность тщательного отбора кадров и их подготовки с точки зрения ИБ, так и взаимодействия между банками в этой сфере. Еще одним вопросом, который мы хотели бы затронуть в рамках нашего круглого стола, является вопрос взаимодействия с правоохранительными органами. Очевидно, что от эффективности их работы во многом зависит то, насколько успешной будет борьба с киберпреступностью. Ни для кого не секрет, что раньше они не хотели заводить дела по данным видам преступлений, ссылались на то, что банки не предоставляют им необходимой информации для проведения расследований и т.д. Появляется ли какой-либо свет в конце тоннеля в данном вопросе?

Д. ФРОЛОВ: Проблема в том, что у правоохранительных органов действительно свое видение ситуации в соответствии с процессуальным и уголовным кодексами, определения места преступления, сомнительных платежных операций и т.д. То есть это во многом вопрос дефицита должной внутренней коммуникации. Как раз это и стало причиной создания FinCERT как площадки, на которой банки могли бы объединяться и обмениваться информацией.

Тем не менее я должен сказать, что есть и положительные сдвиги. По линии FinCERT планируется заключение соглашения между Банком России и Федеральной службой безопасности. У нас также работает соглашение с Генеральной Прокуратурой и соглашение с МВД. Но мы понимаем, что необходимо все это повернуть в практическую плоскость. Проблем здесь очень много, что и неудивительно. Страна у нас большая, много финансовых организаций, мошенничество набирает силу, а специалистов по компьютерной криминалистике, увы, явно недостаточно. Поэтому так часто сталкиваемся с прецедентами, когда дела заводятся неохотно, следователи перебрасывают их друг другу и т.д. Ничего не поделаешь, эти препятствия надо преодолевать.

NBJ: Есть еще и вопрос законодательного регулирования. Мы наблюдаем, как сейчас с завидной регулярностью меняется закон о персональных данных, и при этом всем специалистам хорошо известно, что именно этот закон часто становится препятствием на пути обмена информацией о «дропах». Предпринимаются ли попытки внести в него изменения, которые позволили бы снять эти препятствия?

Д. ФРОЛОВ: В 2014 году Банк России и ряд профильных ассоциаций подготовили законопроект о внесении изменений в Уголовный Кодекс и Уголовно-процессуальный кодекс с целью детализации таких понятий, как место совершения преступления, несанкционированная платежная операция и т.д. К сожалению, есть опасения, что наши предложения не будут приняты, потому что процесс согласования идет очень сложно. С другой стороны, мы надеемся на то, что если регулятор рынка и участники рынка объединят свои усилия в этом вопросе, то нам все же удастся добиться положительных результатов, хотя, конечно, это потребует определенного времени.

Я. ТРУХАЧЕВ: Мне кажется, что при рассмотрении темы мошенничества главное, что нужно сделать, это ответить на вопрос, а кто, собственно говоря, является конечным бенефициаром мошеннических действий? Чтобы пояснить, что я имею в виду, приведу конкретный пример. Совершается атака на ДБО юридического лица, она предотвращается, по реквизитам платежа уточняется учредитель фирмы, в пользу которой осуществляется платеж, и выясняется, что на того же учредителя зарегистрировано еще пять фирм. Мы внесли в свой черный список и этого учредителя, и все его фирмы… и все! Дальше эта информация никуда не пошла.

Другой сценарий: пришла целевая рассылка, содержащая спам-вирус. Известен IP-адрес, хостеру направляется письмо. Ноль реакции, а через день приходит рассылка с модифицированным вирусом. На мой взгляд, тут все понятно. Но опять-таки – нет возможности обменяться этой информацией с коллегами, нет возможности передать им данные «дропов». И в результате получается, что мы все вынуждены бороться со следствиями, а не с причинами, то есть с атаками, а не с их выгодоприобретателями. 

А. КУРАЖОВ: Очень сложно формально отразить все те проблемы, которыми сейчас озабочено банковское сообщество, и грамотно изложить их для законодателей и правоохранителей. Многие термины для наших депутатов, сотрудников МВД и ФСБ недоступны. Это первое препятствие. Второе препятствие заключается в том, что в очень многих местах сосредоточены силы, которые пытаются изменить ситуацию к лучшему, велико количество площадок, и это тоже затрудняет процесс. 

Должен быть какой-то центр, некая организация, которая представляла бы интересы банков в этом вопросе. Поэтому я надеюсь, что и наш круглый стол внесет свою лепту в то, чтобы такая организация возникла. 

А. ВИНОГРАДОВ: Я выскажу исключительно свое личное мнение, не представляя в данном случае свою организацию. Мы собирались вместе с представителями правоохранительных органов и с законодателями, и мы видим, что и те, и другие придерживаются в данном случае позиции «не навреди». Это можно понять, как можно понять и стремление банковских «безопасников» создать досье «дропперов». 

Надо понимать: злоумышленники любую ситуацию поворачивают в свою пользу. Как только появится возможность без решения суда, без какого-либо значимого закона блокировать операции, так сразу же это станет питательной почвой для недобросовестной конкурентной борьбы. Представим себе ситуацию, что мой конкурент подает заявку на участие в тендере и должен внести залог. Я отправляю на его счет 10 тыс. рублей и начинаю кричать, что у меня эти деньги украли. В результате конкурент вылетает из тендера, да еще и платит гигантскую неустойку. Возможно ли это? Да. А что это означает на практике? Что мы рискуем в борьбе со злом породить не меньшее, а, может, даже большое зло не только для отдельных участников рынка, но и для экономики страны в целом.
Так что вопрос очень сложный и тонкий. Возможно, лучше все же продолжать бороться со следствиями, чем с причинами, потому что в противном случае борьба может завести нас слишком далеко.

NBJ: В нашем круглом столе принимает участие представитель Центрального Банка Армении. Было бы интересно узнать, отличается ли чем-либо опыт его страны с точки зрения противодействия мошенничествам в финансовой сфере от нашего опыта.

А. САФАРЯН: Скажем так, те проблемы, которые здесь озвучиваются, в той или иной мере актуальны и для нас. Что я хотел бы сказать, так это следующее: благодарите Евросоюз за то, что он ввел против России санкции, потому что благодаря этому у вас появится своя национальная платежная система. Не факт, что при ином любом раскладе она бы родилась, а это действительно революционное преобразование для России.

NBJ: Мы все много говорили о необходимости выработки некой единой для банков модели угроз. Как известно, до санкций мы привыкли ориентироваться в сфере ИБ на международные стандарты. Сейчас у нас появляется собственная платежная система, идут разговоры о том, что может появиться и собственный национальный стандарт под НСПК. Как полагают участники обсуждения, есть ли необходимость в таком стандарте или это просто дань нынешней моде?

А. ДРОЗДОВ: Мое личное мнение: международные стандарты потому и называются международными, что они являются инвариантными по отношению к специфике различных стран. Грубо говоря, пока у нас пользуются картами МПС, будет действовать и стандарт PCI DSS. Другое дело, что надо дополнять лучшие международные практики российскими требованиями, которые являются специфичными для нашей страны, что, собственно говоря, и было сделано в свое время, и результатом этого стало появление на свет стандарта Банка России в сфере информационной безопасности.

Никакого противоречия тут нет, и никакого противопоставления тут быть не может. Международный стандарт не только не препятствует формулировке национальных требований – он настаивает на выполнении национального законодательства. Так что с этой точки зрения как раз все нормально. PCI DSS мог бы как раз послужить основой для выработки стандарта защиты для карт «Мир», которые будет выпускать Национальная система платежных карт. 

А. ГОЛЬДШТЕЙН: PCI DSS был когда-то написан для сервис-провайдеров, а не для финансово-кредитных организаций. И именно это обстоятельство породило большое число проблем, когда этого стандарта стали придерживаться наши банки. Я думаю, все в курсе того, что если попробовать выполнить все требования PCI DSS, то затраты на его выполнение будут значительно превышать те убытки, которые банк может понести в случае реализации тех или иных рисков. 

Второй немаловажный момент, который я хотела бы отметить, – любой стандарт, каким бы совершенным он ни был, нереализуем без безопасности софта. Если это условие не выполняется, то банки становятся заложниками программного обеспечения. То есть они сами могут всей душой стремиться к тому, чтобы выполнять PCI DSS, но если неизвестно откуда полученный софт подведет, то результат будет печальным. 

NBJ: Есть такой документ, как стандарт безопасности приложений. Точнее, пока его трудно назвать стандартом – скорее речь следует вести о сборнике рекомендаций. Как сделать так, чтобы банковское сообщество начало ориентироваться на него?

А. ГОЛЬДШТЕЙН: На мой взгляд, ответ прост — банки должны захотеть этого. То есть они должны осознать, что выполнение этих рекомендаций приносит им пользу, и выработать по этому вопросу единую консолидированную позицию. Тогда, собственно говоря, иначе будут вести себя и разработчики программного обеспечения: ведь мы пониманием, что вендоры не будут чего-то делать, если на это не будет спроса со стороны покупателей ПО.

М. ЛЕВАШОВ: Очевидно, что сформировать консолидированную позицию банков по этому вопросу будет сложно. 

А. ВИНОГРАДОВ: Это верно. К сожале-нию, как в банковском сообществе в целом, так и в отдельных банках в частности присутствует такое явление, как некая феодальная раздробленность. Каждый за себя, у всех свои интересы, и каждый проектный менеджер отвечает только за свой проект, а каждое подразделение – только за свои результаты. Это действительно серьезная проблема, причем как на микро-, так и на макроуровне. 

Д. КНЯЗЕВ: Если говорить о нашей компании, то у нас общее правило – всегда прислушивайся к клиенту. Понятно, что у всех банков разные требования и пожелания, и понятно, что при разработке коробочных продуктов мы вынуждены, с одной стороны, учитывать их, а с другой, создавать некие унифицированные решения. Безусловно, это непросто, но практика показывает, что нам это неплохо удается. Наряду с коробочными продуктами, конечно же, мы разрабатываем и спе-цифические решения, подстроенные под конкретные финансово-кредитные организации. 

М. ВОЛКОВ: Я хотел бы представить взгляд со стороны на те вопросы, которые обсуждались сегодня. Когда я смотрю на нынешнюю ситуацию, она очень напоминает мне ту, которая была характерной для 1990-х годов. Тогда ни одна атака не могла завершиться успехом, если ее не поддерживал кто-то, находящийся внутри атакуемого предприятия. И мы тогда, консультируя руководителей компаний, оперировали таким понятием, как ограниченный круг лиц, и регулировали жизнь входящих в этот круг специалистов так, чтобы никто из злоумышленников не мог «просочиться» и воспользоваться, например, склонностью того или иного руководителя посещать некий сайт в интернете. Я думаю, что и сейчас этот опыт мог бы оказаться вполне востребованным, учитывая то, какая непростая ситуация складывается в сфере обеспечения информационной безопасности.

NBJ: Мы полагаем, что нам действительно удалось обсудить в рамках заседания этого круглого стола очень важные проблемы, и очевидно, что так или иначе все они еще не раз будут предметом обсуждения в самых различных форматах. Но вывод, к которому мы пришли, – спасение во взаимодействии всех вовлеченных субъектов (банков, разработчиков, регулятора рынка, правоохранителей и законодателей) – вряд ли может быть оспорен или поставлен под сомнение. 

 

Марат ВОЛКОВ,
руководитель агентства «Соратник»

Искусственные препятствия, созданные на пути доступа к зарубежным рынкам капитала, снижают возможности отечественных финансово-кредитных организаций с точки зрения сохранения темпов и масштабов осуществления кредитных операций. В то же время это приводит к неизбежному росту цен на заемные средства как для бизнеса, так и для потребительской розницы, что особенно болезненно ощущается в ситуации, когда снижение реальных доходов текущих и потенциальных заемщиков оборачивается увеличением доли невозвращенных кредитов и кредитов высокого риска в портфелях банков. 

Естественно, что с учетом всех этих, а также многих других негативных факторов, не упомянутых здесь, но всем известных, некоторые банки оказываются в тяжелой ситуации и нуждаются в услугах по антикризисному управлению. Опираясь на наши практические решения, мы рекомендовали бы привлечение аутсорсинговых организаций для сотрудничества с финансово-кредитными организациями по вопросам антикризисного управления. Такое сотрудничество может развиваться по следующим направлениям:

 заблаговременная разработка всех необходимых прогнозов и процедур деятельности банка в условиях сокращения спроса и иных вредных факторов конъюнктуры;
 создание и реализация долгосрочной программы диверсификации деятельности банка таким образом, чтобы неизбежные потери в одном сегменте бизнеса могли компенсироваться ростом в других сегментах.

Условиями успешного аутсорсинга антикризисного управления будут своевременное привлечение специалистов нашей или подобной организации и отлично скоординированная деятельность всех служб и специалистов банка в процессе разработки и реализации антикризисных процедур.

 

А КУРИЛО,
руководитель направления
информационной безопасности
в финансовом секторе компании
INLINE Technologies

С атаками на мобильные устройства сложно бороться: они совершаются не только на технические инструменты и ПО, но и на организационные процедуры. Вторым главным объектом атак становятся платежные системы и платежная инфраструктура финансовых институтов.

Вероятность реализации длительной целенаправленной угрозы (APT) самая высокая, особенно если в организации такой атаки участвует внутренний персонал, который сам создает и использует уязвимости.

Работа по улучшению нормативной базы, в первую очередь моделей угроз и нарушителей, представляется нужной. Но реально повысить уровень безопасности можно только путем эффективного и непрерывного контроля защищенности. Это же касается применения рекомендаций по разработке. 

Я не стал бы безоговорочно поддерживать тезис о росте мошеннических транзакций. Аналитики фиксируют сокращение объемов похищенных средств. Если это подтвердит статистика, можно сказать, что реализация требований Положения Банка России 382-П начинает давать результаты.

Похищение средств с корреспондентских счетов банков – следствие комбинации нескольких причин: атак типа АРТ, инсайда и процессов, происходящих в экономике и банковской сфере. В последние годы, похоже, появились только угрозы типа АРТ. 

  • Currently 6/10

Всего проголосовало: 1

6.0

Комментировать могут только зарегистрированные пользователи

Мы в сетевых сообществах: 

Голосование

Как вы считаете, новый механизм оздоровления банков, предложенный ЦБ РФ

Загрузка результатов голосования. Пожалуйста подождите...
Все голосования

Календарь мероприятий

Август, 2017
««
«
Сегодня
»
»»
Пн Вт Ср Чт Пт Сб Вс
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31
Ближайшие мероприятия

Видео

Летний Интеллектуальный кубок "Самый интеллектуальный банк" и "Самая интеллектуальная компания в финансовой сфере"

Ведущий - магистр игры «Что? Где? Когда?», шестикратный обладатель «Хрустальной совы», обладатель «Бриллиантовой совы» Александр Друзь.

Яндекс.Метрика