Вице-президент, руководитель службы безопасности Тинькофф Банка Станислав ПАВЛУНИН в интервью NBJ поделился свей точкой зрения на проблемы информационной безопасности и рассказал о грядущих структурных изменениях в блоке ИБ. 

NBJ: Какие наиболее актуальные проблемы информационной безопасности вы бы выделили на сегодняшний день? Какие основные тенденции влияют на состояние ИБ в банковской сфере?

С. ПАВЛУНИН: Информационные технологии и информационная безопасность развиваются сейчас стремительными темпами. Поэтому в качестве основной тенденции я бы выделил высокую технологичность всего банковского бизнеса в настоящий момент. В связи с этим следует говорить и о стремительном технологическом прогрессе средств совершения киберпреступлений и угроз, с которыми постоянно сталкиваются и борются банковские организации. И мы, как онлайн-банк, принимаем эти инновационные вызовы.

NBJ: Можно ли констатировать изменение видов хакерских атак, технологий, которые используются для их проведения? Появились ли какие-то новые тренды в сфере киберугроз? 

С. ПАВЛУНИН: Тема киберугроз актуальна уже несколько лет. И наш банк, в силу своей специфики, одним из первых на российском рынке озаботился данной проблемой и возникающими в связи с ней задачами. 

Например, несколько лет назад актуальным трендом было распространение внутри банковской системы через почтовые каналы писем с вредоносной ссылкой  или вредоносным файлом, которые на первый взгляд казались совершенно нормальными. Пользователь открывал ссылку или файл, и дальше происходило заражение. Стандартными антивирусными средствами данное вредоносное содержимое не детектировалось. А дальше уже следовали атаки по различным векторам, и обычно все заканчивалось хищением денег либо заражением всей инфраструктуры.

Самые громкие хищения денежных средств за последние пару лет стали следствием атак на АРМ КБР (автоматизированное рабочее место клиента Банка России). Злоумышленники захватывали контроль над ИT-инфраструктурой банка и машинами, задействованными в платежных процессах, формировали поддельные или модифицировали существующие поручения и выводили с корсчетов сотни миллионов рублей. Регулятор неоднократно предупреждал через свой FinCERT об опасности заражения и вывода денежных средств через АРМ КБР.

Я бы сказал, что в хакерских атаках наблюдается некая цикличность: существует определенный тренд, на основании которого идут атаки и заражения. Как только банки изобретают способы борьбы с данным видом угроз, очень быстро возникают новые.

Преступники постоянно находятся в поиске, используют какие-то новые пути и способы хищения денежных средств с помощью кибератак. На мой взгляд, задача онлайн-безопасности, кибербезопасности – пытаться не только понимать эти тренды, но и предугадывать их, то есть не идти за преступниками постфактум, а быть пусть не на шаг впереди, но хотя бы на одной волне с ними.

NBJ: Чтобы предугадывать действия преступников, надо быть специалистом самой высокой категории, настоящим профи.

С. ПАВЛУНИН: Безусловно. Это новое направление, и таких специалистов в России не очень много. Но они есть. Это, как правило, талантливые ребята – выпускники технических вузов, иногда самоучки. Правда, искать таких специалистов – очень непростое и долгое занятие.

Для противодействия киберугрозам нужны люди, нужны ресурсы, технические средства, которые позволяют все это делать. В целом же прогнозировать действия преступников можно и нужно, и мы этим занимаемся. 

NBJ: Какие банковские системы подвержены атакам ­злоумышленников более всего? 

С. ПАВЛУНИН: Основная задача злоумышленника – нанести ущерб финансовой организации. Это можно сделать либо путем несанкционированного вывода денежных средств, либо посредством получения несанкционированного доступа к клиентским данным. Поэтому и атакам в основном подвержены два вида систем. Во-первых, это системы, которые содержат персональные данные клиентов, составляющие банковскую тайну. Во-вторых, это финансовые системы, которые отвечают за перевод денежных средств вовне. 

NBJ: Каковы основные средства защиты в банке? 

С. ПАВЛУНИН: У нас в банке применяется большое количество разнообразных средств защиты. Неправильно было бы называть конкретных вендоров, поэтому я скажу так: в банке есть все самые современные системы, которые используются на российском и зарубежном рынках. 

Кроме того, следует подчеркнуть, что у нас используется доктрина эшелонированной защиты. Здесь можно провести параллель с антивирусной защитой. Вспомним, как было раньше. Один антивирус стоял на серверах и ловил соответствующие вирусы, другой антивирус стоял на рабочих станциях и представлял собой уже иной рубеж защиты. Третий антивирус сканировал предыдущие два контура защиты. 

Сейчас у нас система защиты построена подобным образом: на каждом участке есть различные средства защиты, каждое из которых детектирует угрозы по-разному. Бывает и так, что они срабатывают одновременно. 

С помощью определенных автоматизированных средств, которые позволяют собирать всю информацию с сенсоров, обрабатывать ее в режиме онлайн, операторы информационной безопасности имеют возможность быстро реагировать на тот или иной факт угроз.

Мы верим в эффективность эшелонированной защиты. 

NBJ: Как решается в банке проблема защиты данных? 

С. ПАВЛУНИН: В банке существует большое количество средств контроля, как внутренних, так и внешних. Весь контроль осуществляется исходя из двух составляющих защиты – организационной и технической.

Организационная составляющая реализуется на уровне политик, процедур, приказов, где четко прописано, кто и к чему может иметь доступ, как эти доступы предоставляются, кем согласовываются и т.д. Это, кстати, обязательное требование Центрального банка РФ.

Техническая составляющая предполагает реализацию организационных мер техническими средствами. Для контроля доступа к базам данных и другим источникам используются специальные системы.

Все вместе это представляет собой огромный концепт с большим количеством данных, которые необходимо обрабатывать. Наша SIEM-система в автоматическом режиме обрабатывает всю информацию и на основе заложенных в нее ранее правил выдает нам какие-то сигналы, на которые мы ­реагируем. 

NBJ: Расскажите, пожалуйста, о системах контроля персонала, внедренных в банке. 

С. ПАВЛУНИН: На мой взгляд, в банке очень интересная корпоративная культура. Отношения с персоналом у нас строятся не совсем так, как в классической банковской организации. В Тинькофф Банке горизонтальная структура подчинения, очень лояльная дружественная атмосфера. Организация рабочего пространства в виде open space у нас реализована как в прямом, так и в переносном смысле. Ко мне, к любому другому представителю руководства сотрудник может подойти с каким-то вопросом, мы полностью открыты для общения.

Как таковых систем контроля у нас мало, потому что мы все-таки надеемся на сознательность взрослого человека, который пришел в банк на работу. Мы ждем от сотрудников определенной отдачи, и, следует сказать, в общем мы ее получаем. Я считаю, в этом заслуга нашего НR-подразделения.

Конечно, в нашем банке есть классические системы контроля доступа, видеонаблюдения, как и в любой другой финансово-кредитной организации, поскольку это неотъемлемая составляющая любой системы безопасности. 

Контроль за техническими каналами передачи информации обеспечивает наша DLP-система, как и в других банках. 

NBJ: Как осуществляется контроль привилегированных пользователей? 

С. ПАВЛУНИН: В Тинькофф Банке реализовано одно из лучших на рынке решений, через которое входят администраторы информационных систем. 

Специфика банка заключается в том, что у нас много администраторов, людей с привилегированными полномочиями, которые заходят непосредственно на сервера и выполняют там какие-то действия. Мы работаем с определенным числом аутсорсеров, которые тоже удаленно заходят к нам. Есть мобильные пользователи, которые через ноутбуки также имеют доступ внутрь сети банка. Но все доступы реализуются через определенный девайс, который позволяет идентифицировать пользователя, записывать его сессию, логировать, что происходит на серверах, куда авторизованный пользователь попал. 

У нас достаточно давно реализована система контроля администраторов, и она хорошо работает. Соответственно, уполномоченный сотрудник информационной безопасности мониторит ситуацию.

NBJ: Какие средства борьбы с инсайдом вы считаете наиболее эффективными? 

С. ПАВЛУНИН: Отвечу коротко – технические и организационные. Кроме того, борьба с инсайдом входит в зону ответственности не только департамента безопасности. Здесь задействованы и другие подразделения – юристы, compliance и т.д.

NBJ: Какие основные проекты в сфере ИБ осуществляются в банке в настоящее время? 

С. ПАВЛУНИН: Сейчас серьезно меняется вся структура нашего блока, что связано с появлением новых вызовов. 

Департамент информационной безопасности переживает серьезные трансформации, открывается много других департаментов, выполняющих разные функции. У нас появилось подразделение кибербезопасности, формируются подразделения инфраструктурной безопасности и аpplication security. Последнее, кстати, будет заниматься внедрением безопасного цикла разработки среди наших айтишных разработчиков, которые генерируют новые продукты банка. Речь идет о внедрении Web Application Firewall, который позволяет защищать наш периметр. 

Во внутренних подразделениях также внедряются проекты по контролю внутренних пользователей. Работы очень много, и, как обычно, постоянно не хватает людей. 

NBJ: Сколько у вас человек?

С. ПАВЛУНИН: Порядка тридцати.

NBJ: И спрос на специалистов, я так понимаю, велик?

С. ПАВЛУНИН: Безусловно. Но у нас и технические требования к специалистам очень высокие. Нам не нужны классические безопасники, которые все запрещают, ссылаясь на какие-то приказы и предписания. Нам нужны люди с техническим образованием, готовые предложить какое-то решение и альтернативу. Они не будут говорить: «Это запрещено, потому что небезопасно». Они скажут: «Давайте подумаем, как это сделать».

Во многих банках главная функция классических безопасников – запрещать. Их так и воспринимают, как людей, вставляющих палки в колеса и просто мешающих работать.

А у нас не обычный банк. Правильно было бы сказать, что у нас айтишный банк. 70% кадрового состава нашего банка – это ИТ-специалисты, которым нужно давать какое-то пространство для маневра. Для того чтобы они работали эффективно, им нужно постоянно креативить, что-то разрабатывать и придумывать. Иначе нельзя – в банке на этом строится бизнес.

NBJ: Обеспечение ИБ в банке – это комплексная задача, которая должна реализовываться как на стороне клиента, так и на стороне банка. Может ли банк повлиять на безопасность на стороне клиента и если да, то каким образом?

С. ПАВЛУНИН: Если брать интернет- и мобильный банкинг, то они уже включают в себя те или иные решения, направленные на обеспечение безопасности самого клиента. Например, двухфакторная аутентификация, защищенный протокол работы и т.д. Кроме того, мы работаем с нашими пользователями: объясняем, что нужно делать и чего делать не следует в том или ином случае, посредством нашего корпоративного блога, специальной вкладки в интернет-банке под названием «Безопасность», где описаны основные способы мошен­ничества и рассказано, как от них ­защищаться. 
Я считаю, что банк, со своей стороны, делает все возможное, чтобы основы безопасности были понятны клиенту.

NBJ: Какие проблемы, связанные с кибербезопасностью клиентов, вы считаете наиболее острыми?

С. ПАВЛУНИН: Последние несколько лет клиенты сталкиваются с проблемами, связанными с социальной инженерией. Это очень опасное явление, которому сложно противостоять. 

Люди оставляют свои персональные данные, номера телефонов в соцсетях. Мошенники с ними связываются, пытаются выведать у них финансовую информацию, номер карты и т.д. Способы мошенничества здесь не меняются: рассылка СМС на мобильные устройства с сообщением о блокировке карты и просьбой связаться, указав номер карты, код и т.д. Бывает, что личные компьютеры либо мобильные устройства заражены, о чем клиенты даже не подозревают.

NBJ: В последнее время много говорят о небезопасности мобильного банкинга.

С. ПАВЛУНИН: Мобильный банк – это логическое продолжение развития технологического процесса. Ведь сейчас всю информацию о личной жизни человека можно найти в его мобильном устройстве: здесь фото его близких, почтовая переписка, его финансы, бронирование билетов и т.д. 

Наш банк, как один из лидеров в сфере онлайн, развивает свое мобильное приложение, обновляя и совершенствуя его с целью повышения удобства работы с ним клиентов.

В мобильном банкинге очень важно найти золотую середину между безопасностью и удобством. Согласно многочисленным исследованиям, опубликованным в открытом доступе в интернете, мобильное приложение Тинькофф Банка – одно из самых удобных и безопасных на российском банковском рынке.

NBJ: Как изменилась динамика затрат вашего банка на информационную безопасность за последнее время? Возросло ли внимание к проблемам обеспечения ИБ со стороны руководства и акционеров банка? 

С. ПАВЛУНИН: Безусловно, динамика затрат увеличивается, но мы стараемся держать ее в разумных пределах и пополняем свой арсенал только эффективными новыми решениями. Руководство банка в лице акционеров и председателя правления очень серьезно подходит к проблемам информационной безопасности, делает все, чтобы ИБ соблюдалась. По-другому невозможно: на всех площадках и форумах, где участвуют в том числе представители ЦБ РФ, дискутируются вопросы ИБ. Я уверен, что все банковское сообщество заинтересовано в развитии информационной безопасности.

NBJ: Какова ваша позиция по поводу аутсорсинга в сфере ИБ? Какие сферы и задачи в вашем банке отданы на аутсорсинг (если таковые есть)? 

С. ПАВЛУНИН: Если выполнение проекта внутри банка дороже, чем аутсорсинговые услуги, то не вижу причин, препятствующих тому, чтобы к ним прибегнуть. За одним единственным исключением: не отдавать на аутсорсинг критичные системы, они должны быть in-house. А все, что связано с рутиной, с большим объемом некритичных данных, можно спокойно передать на аутсорс.

NBJ: Как много вы отдаете на аутсорс в процентном соотношении?

С. ПАВЛУНИН: Я думаю, около 15% задач у нас находится на аутсорсинге. 

NBJ: Мы уже частично касались этого вопроса – и все-таки, насколько острым является кадровый вопрос в сфере ИБ, с вашей точки зрения? 

С. ПАВЛУНИН: Кадровый вопрос является чрезвычайно острым, потому что кандидатов очень мало и найти их довольно сложно, поскольку хорошие специалисты все на своих местах. 

Я считаю, что отрасль информационной безопасности испытывает недостаток людей. Об этом, кстати, на последнем Уральском форуме по информационной безопасности говорили представители регулятора. Центральный банк РФ сейчас готовит методические рекомендации по аттестации и поиску таких специалистов, что очень своевременно. 

NBJ: Как вы думаете, насколько эффективно законодательство, действующее в настоящее время, с точки зрения противостояния вызовам со стороны хакеров и наказания кибермошенничества? Есть ли необходимость внесения в него изменений, возможно, с целью ужесточения ответственности злоумыш­ленников в рамках УК? 

С. ПАВЛУНИН: Об этом сейчас много говорят, и я согласен с теми, кто считает, что текущее законодательство необходимо менять и ужесточать ответственность. Данную точку зрения я полностью разделяю. Когда за киберпреступление, связанное с хищением больших сумм денежных средств, дают три года условно только потому, что человек ранее не привлекался, у него положительные характеристики и т.д., по моему субъективному мнению, этого недостаточно.

NBJ: Какие задачи в области обеспечения ИБ предстоит решить вашему банку в 2017 году?

С. ПАВЛУНИН: В текущем году у нас в планах создание двух новых подразделений в блоке информационной безопасности. Мы будем брать туда ведущих менеджеров и набирать команды под этих менеджеров. Это те подразделения, о которых я говорил выше – инфраструктурной безопасности и аpplication security.

В 2017 году мы будем решать плановые задачи, связанные с текущими бизнес-процессами.