В банках информационной безопасности уделяется особое внимание. Самое главное в этом вопросе – понимание рисков. При выборе подходящих решений для задач ИБ на первый план выходит их эффективность, уровень которой можно определить только опытным путем, а не изучением различных показателей, предоставляемых производителем решения. Более подробно об этих и других сторонах вопроса информационной безопасности в банках рассказал начальник управления ИБ Златкомбанка Александр ВИНОГРАДОВ.

NBJ: Александр Юрьевич, какие основные задачи стоят перед управлением ИБ в вашей организации?

А. ВИНОГРАДОВ: Главная задача – это анализ рисков бизнеса нашей организации в информационной сфере и разработка рекомендаций по их контролю, а при возможности и нейтрализации с применением соответствующих защитных мер. В первую очередь на уровне бизнеса – это наиболее эффективная стратегия. А если это затруднительно, то в ход идут дополнительные средства и технологии, например использование систем контроля и мониторинга событий, ужесточение процедур контроля данных и потоков информации, применение стратегий сегментирования и иных архитектурных решений и т.п. Это то, что в нормативных правовых актах Центрального банка РФ и Федеральной службы по техническому и экспортному контролю именуется организационными и техническими мерами защиты информации.

NBJ: По каким признакам вы определяете, что в ход нужно пускать «тяжелую артиллерию» и прибегать к дополнительным средствам? Главный критерий – это увеличение количества атак?

А. ВИНОГРАДОВ: Немного не так. Это рост количества событий и инцидентов безопасности (только некоторые из них, как правило, являются следствием атак). Событие безопасности – это событие, несущее потенциальный риск, инцидент – это событие с подтвержденным риском и сопутствующим ущербом и/или негативными последствиями. 

Так вот, количество и/или тяжесть последствий могут означать, что время пришло и пора задействовать серьезные инструменты. Анализ инцидента может выявить серьезные уязвимости технологий, которые «не закрываются» мерами контроля рисков бизнеса или используемыми средствами защиты. Существенная стохастическая составляющая в этих зонах (наблюдается недетерминированный, случайный процесс) может означать потребность в дополнительных средствах, так как наличие подобных зон в технологиях недопустимо. 

Они – потенциальная мишень злоумышленников. В офисных задачах недетерминированная составляющая велика, в техпроцессе – нет. 

С другой стороны, рост числа событий безопасности может и ничего не означать. Пример такой ситуации – серьезные обновления в ИТ-архитектуре или технологиях. Идет процесс притирки новых решений, которые могут не совпадать с действующими решениями и контролируемыми политиками безо­пасности, что, в свою очередь, влечет частые срабатывания. Позже вносятся соответствующие изменения политики и корректируются правила контроля.

NBJ: Какие критерии для вас на первом месте при выборе подходящего решения для обеспечения ИБ?

А. ВИНОГРАДОВ: Эффективность и продуктивность, стоимость владения (обслуживания), наличие поддержки производителя. 

NBJ: А как определяется эффективность продукта? Вы основываетесь исключительно на тех данных, которые предоставляет производитель?

А. ВИНОГРАДОВ: Маркетинговая составляющая в данных, предоставляемых производителем, сейчас как никогда велика. Если ориентироваться только на них, то голова пойдет кругом: у каждого нового разработчика данные лучше, чем у предыдущего. Поэтому мы по возможности стараемся знакомиться с каждым «кандидатом» на основе опыта эксплуатации подобных решений у коллег. 
Однако это не всегда возможно. Понимая это, производители/поставщики, уверенные в практической востребованности их решений, предлагают «знакомиться лично»: предоставляют опытную эксплуатацию, демо-версии. На основе этих действий и принимается решение об оснащении банковских систем новым продуктом. 

Эффективность и продуктивность – это то, что мы должны получать «на выходе» эксплуатации. Если результаты не отвечают ожидаемым потребностям, например не позволяют сформировать обоснованное суждение о состоянии дел, так как выдают на-гора слабо интерпретируемые показатели, то это не лучшая ситуация. Однако в силу дефицита предложений порой приходится использовать и подобные решения. Например, для защиты технологий виртуализации (на них основываются всем известные так называемые облачные вычисления), в принципе, пока что еще очень немного решений, тем более решений сертифицированных. Поэтому работать приходится с тем, что есть. 

NBJ: Как санкции повлияли на обеспечение ИБ?

А. ВИНОГРАДОВ: Прямо – никак. Косвенно – да. Сократилось число ниш с легкими деньгами, и бездельники устремили взгляд на другие объекты и способы обогащения, обеспечивающие их дальнейшее собственное безбедное существование. Это одна из причин роста числа атак на клиентов и наметившегося увеличения количества атак на сами банки и платежные системы (инцидент на 486 млн рублей с платежной системой ОРС и пр.).

NBJ: Это как-то повлияло на бюджет? Возросли ли затраты на ИБ? Имеет ли сейчас место импортозамещение в ИБ?

А. ВИНОГРАДОВ: Бюджет на обеспечение информационной безопасности – это часть бюджета банка. В условиях снижения прибыльности всего сектора банковских услуг идет оптимизация издержек в том числе и по линии оснащения подразделений безопасности. Однако, если в информатизации иногда можно повременить (отсрочить) модернизацию ИТ-инфраструктуры, то обновления парка по сроку службы это не касается. Отвечать на новые вызовы и угрозы в сфере безопасности приходится в том числе и по линии регуляторов. Поэтому в относительном выражении где-то отмечается эпизодический рост, но это не тенденция. Издержки эксплуатации не должны приводить к убыткам, ведь тогда зачем в принципе нужен такой бизнес? 
Что касается импортозамещения в ИБ, то оно происходит объективным эволюционным образом. Отечественные производители постепенно покрывают те или иные ниши, например задачи мониторинга ИБ на уровне организации, и в силу стоимостных, языковых и иных преимуществ вытесняют зарубежные решения.

NBJ: Как все же на практике происходит сокращение расходов в связи с ­кризисом?

А. ВИНОГРАДОВ: Политика экономии известна, ее главный принцип «сэкономил – значит заработал». Более тщательно планируются закупки, тендеры и спецификации приобретаемых средств. Ряд задач мы стараемся решать собственными силами, то есть силами штатных сотрудников.

NBJ: Как вы считаете, иметь штат своих достаточно высоко оплачиваемых специалистов – это эффективнее, чем использовать аутсорсинг? 

А. ВИНОГРАДОВ: Как вы знаете, банковский бизнес специфичен. И это не пустые слова. В международных стандартах по обеспечению информационной безопасности сформулирован ряд принципов, включая принципы «знай своего клиента» и «знай своего служащего». Эти же принципы присутствуют и в Стандарте информационной безо­пасности Центрального банка РФ (СТО БР ИББС). 

Доверие к персоналу – крае­угольный камень безопасности. От персонала зависит как прибыльность бизнеса, так и его убытки. Не всегда можно регламентировать все практические ситуации, поскольку велика роль человеческого фактора. Добросовестный сотрудник поступит ответственно, менее добросовестный – как ему будет удобнее. Немаловажным фактором является и лояльность персонала к работодателю. Чтобы понимать и прогнозировать это, формулируются принципы. 

С другой стороны, держать много высокооплачиваемых специалистов, конечно же, трудно, особенно в нынешних условиях. Поэтому выделяются критические участки и принимаются соответствующие решения. Что касается аутсорсинга, то мне хотелось бы привести, наверное, уже подзабытый пример. В начале 2000-х годов – а это, как всем хорошо известно, был период потребительского бума и шумихи вокруг маркетинговой идеи аутсорсинга – один из ведущих американских банков с помпой анонсировал контракт на 5 млрд долларов с «голубым гигантом» (IBM. – Прим. ред.) по аутсорсингу своей ИТ-инфраструктуры, включая передачу в штат другой компании своего ИТ-подразделения. Но не прошло и года, как уже без излишней шумихи и тихо прошла новость о расторжении банком этого контракта. 

NBJ: И что же стало главной причиной расторжения? Дороговизна услуг аутсорсера?

А. ВИНОГРАДОВ: Нет. Риски оказались за пределами возможности управления ими со стороны финансово-кредитной организации, и это было главной проблемой. И как раз этот аспект особенно подчеркивает ЦБ, когда речь идет об обеспечении информационной безопасности в банках. Финансово-кредитные организации должны иметь возможность управлять своими рисками, минимизировать их для своих клиентов – это фундаментальный постулат банковского бизнеса, и это краеугольный камень, на который следует опираться при решении всех вопросов, касающихся аутсорсинга в сфере ИБ. 

NBJ: Какие требования по обеспечению ИБ предъявляются к вам со стороны регулирующих органов? Вносились ли в них коррективы за последние полгода-год? Если да, то насколько ­существенные?

А. ВИНОГРАДОВ: Требования регуляторов перманентно меняются. Мы адаптируемся к ним, это нормальная практика. Что касается принципиально новых требований, то нет, за последние год-полтора они не выдвигались, вполне достаточно тех мер, которые банки должны реализовывать в сфере ИБ в соответствии с более ранними предписаниями и рекомендациями регулятора.

Для покрытия дефицита информации в этой части на постоянной основе организуются встречи с представителями регулятора для разъяснения сути и содержания установленных норм, вновь вводимых или уже действующих. Последний год основной площадкой для организации проведения таких встреч является Торгово-промышленная палата, любезно представляющая такую возможность на безвозмездной основе. На эти мероприятия приглашаются как представители профильных департаментов Банка России, так и представители правоохранительных органов, Федеральной службы безо­пасности и иных структур исполнительной власти и, конечно же, участники рынка (как правило, это свыше 50 компаний). Эти встречи мы воспринимаем как инструмент самообучения и самоподготовки, так как их содержание не сможет заменить ни один курс из тех, которые предлагают нам образовательные учреждения.

NBJ: Какие основные составляющие ИБ вы можете назвать?

А. ВИНОГРАДОВ: Понимание рисков бизнеса и их природы. Содействие бизнесу в поиске максимально эффективных стратегий управления рисками. Весь банковский бизнес – это управление рисками. 

В то же время есть компонента «комплаенса» – соответствия нормам регулятора, которые в части обеспечения ИБ банков зачастую не столь избирательны. Главная задача в этих условиях – поиск компромисса между формальными требованиями, потребностями банка и при этом того, что реально будет применяться и отвечать уровню так называемого аппетита к риску нашей организации. 

NBJ: Можете ли вы назвать основные типы атак на вашу организацию? Какие атаки были самыми сильными за последнее время?

А. ВИНОГРАДОВ: Атаки идут постоянно. Мы информируем о них ЦБ по установленной форме (203-я форма отчетности, которая подается ежемесячно). Публичные комментарии и сведения по этой части давать бессмысленно, так как основные векторы отражены в официальной обезличенной статистике ЦБ РФ. 

NBJ: Какой тип мошенничества, по вашему мнению, самый опасный?

А. ВИНОГРАДОВ: Качественная ­имитация клиента /поль­­зователя электронных тран­­закций  и внедрение в АБС банка (удаленное управление от имени легального пользователя АБС). Это самые неприятные атаки, в особенности если речь идет об атаках второй категории (Управление счетом от имени легального пользователя АБС. – Прим. ред.). С их помощью можно очистить корсчет банка и/или счета клиентов, что называется, под ноль.

NBJ: Как у злоумышленника появляется возможность имитировать пользователя банка, каким образом он внедряется в АБС?

А. ВИНОГРАДОВ: В АБС можно внедриться различными способами – как используя специально разработанные для этого вирусы, так и с помощью обычных инструментов администратора, используемых злоумышленником. 

Приведу в качестве примера способы использования бытового ножа: с его помощью можно как приготовить обед, так и нанести вред другому человеку. Разнообразие современных программных средств порождает ту же ситуацию. Например, существуют средства удаленного администрирования компонентов инфраструктуры. Удобная практичная вещь, позволяющая экономить время и деньги. Но использование ее злоумышленником в обход действующих политик открывает широкие возможности для манипуляций. Если в организации недостаточно жесткие инструменты контроля запущенных приложений и недостаточно строгие процедуры санкционирования действий по конфигурации/реконфигурации компонентов ИТ-инфраструктуры, то это и есть те самые условия, которые делают атаку возможной и делают возможным ее успех. Злоумышленник через портированную программу удаленного контроля спокойно открывает для себя тот или иной порт оборудования и извне входит в АБС. После периода изучения, захватив себе определенные права, он реализует свой замысел. При этом атака, как я уже говорил, может строиться на том, что имитируются действия пользователей (имитация запросов от АБС ДБО в АБС core banking). 

NBJ: Можно ли сказать, что систему ИБ невозможно взломать без участия инсайдеров? Как вы считаете, насколько велика роль человеческого фактора в этих процессах?

А. ВИНОГРАДОВ: Любая система ИБ взламывается. Вопрос только один: каким количеством ресурсов и знаний об объекте располагает злоумышленник (поэтому и существует требование регуляторов, что должна быть обеспечена защита информации об устройстве системы защиты объекта, технологии, банка). 

Любое средство защиты (повторюсь, любое), как и любой современный продукт ИТ, имеет как известные, так и пока еще не известные или известные, но скрываемые уязвимости. Последняя категория – предмет теневого рынка злоумышленников, а также инструмент шпионажа западных спецслужб. Например, компания Microsoft сама публично призналась, что передает в АНБ США всю информацию о найденных во всех ее продуктах уязвимостях, включая те из них, на которые еще не выпущены «заплатки» (патчи), а также те, на которые «заплатки» не будут выпущены никогда.
Таким образом, без инсайдера потенциально можно обойтись, но его наличие и использование на порядки снижает ресурсоемкость успешной атаки: основную информацию зло-умышленник получает на блюдечке, и у него отпадает необходимость изучать объект с нуля.

При этом известно: человек по своей природе слаб. Кого нельзя купить за деньги, можно купить за большие деньги, ну и т.д. Конечно, есть исключения, но в условиях массовой оптимизации персонала банков, увеличения числа обиженных и недовольных найти подельника несложно. Это большая проблема для безопасности. Роль человеческого фактора всегда была, и она будет только увеличиваться при решении проблемы обеспечения ИБ.

NBJ: Обязательно ли покупать инсайдера? Ведь сотрудники могут помочь злоумышленнику по собственному незнанию некоторых тонкостей сферы ИБ? Вы проводите какое-то обучение специалистов в этом плане?

А. ВИНОГРАДОВ: Вопрос абсолютно уместный и обоснованный. По сути, Вы привели пример, который мы называем угрозой социальной инженерии. Иными словами, злоумышленник, либо маскируясь представителем сервисной организации, либо не маскируясь вовсе, пытается выудить необходимые сведения у персонала банка. Очень наглядно и с массой примеров эта угроза рассмотрена в известной книге бывшего хакера Кевина Митника «Искусство обмана». Эта книга объясняет, как просто бывает перехит­рить всех защитников и обойти технические и технологические средства защиты, как работают социоинженеры и как отразить нападение с их стороны. 

Для целей противодействия подобным угрозам в банках должны быть приняты программы обучения и осведомленности персонала в части ИБ, а заданный вами вопрос имеет отношение именно к осведомленности персонала. Кстати, требованиями и Стандарта Банка России, и нормативных актов регулятора предусмотрены такие мероприятия. В частности, персонал основных бизнес-подразделений, а также иной ключевой персонал (секретари, администраторы и др.) на регулярной основе проходят внутренние курсы, организуемые службой безопасности, на которых в том числе рассматривается рекомендуемый им порядок действий в тех или иных практических ситуациях. Так, например, они получают инструкции, когда нужно нажать тревожную кнопку, когда проявить повышенную внимательность или осторожность или же пригласить коллегу и т.д.

NBJ: А есть ли в планах Златкомбанка на будущее увеличение ресурсов, обеспечивающих ИБ? 

А. ВИНОГРАДОВ: С одной стороны, телега не может бежать впереди лошади, но и бежать после лошади без защиты тоже очень рискованно. Бизнес – это то, что ведет вперед, а безопасность в силу своей природы, стремясь уберечь бизнес от рисков, выступает иногда неким якорем. Поэтому приходится предлагать в первую очередь некие компромиссные меры, в том числе и компенсирующие, а позже либо их закреплять, либо пересматривать. 

Здесь, кстати, выручает еще одно свойство современных продуктов защиты, которое мы с вами не затронули, – это их масштабируемость. Они все преимущественно построены на интернет-протоколах и соответствующих технологиях, и производители стараются по максимуму использовать эту возможность, закладывая тот или иной потенциал масштабируемости. Это предполагает масштабируемость как по области применения, так и по номенклатуре контролируемых параметров. Поэтому во всех проектах развития мы в первую очередь оцениваем возможность масштабирования существующих мер и уже далее – возможность применения компенсирующих или дополнительных мер.