Советник банка ФК «Открытие», профессор Высшей школы экономики Михаил ЛЕВАШОВ в интервью NBJ поделился своим взглядом на некоторые особо актуальные на сегодняшний день проблемы обеспечения информационной безопасности. 

NBJ: Какие темы информационной безопасности вы считаете наиболее важными на сегодняшний день?

М. ЛЕВАШОВ: Если говорить о проблемах киберугроз и кибератак на российские банки, то по-прежнему не теряет актуальности тема таргетированных атак, которая началась три года назад с ряда масштабных атак на крупные банки и до сих пор продолжается. Хотя следует отметить, что ее актуальность несколько снизилась по сравнению с прошлым периодом, потому что финансово-кредитные организации научились в какой-то степени бороться с этим злом, подобрали и используют эффективные средства защиты.  

В связи с этим появляются объемные научно-исследовательские задачи, связанные с разработкой и обоснованием методик поиска различных, в том числе и опасных, аномалий в массивах гетерогенных неструктурированных или слабо структурированных больших данных применительно к вопросам обеспечения кибербезопасности. Сюда входят и актуальные задачи совершенствования уже получивших распространение систем фрод-мониторинга различного контента, будь это финансовые транзакции или трафик операторов связи.

Причем поиск аномалий, особенно вредных, мошеннических, уже сейчас постепенно переходит от внешнего по отношению к банку (предприятию) контента к внутрисетевому контенту. Возможно, в скором времени мы будем вынуждены учиться жить и работать в условиях постоянного наличия в сети организации вредо­носного программного обеспечения. К этому выводу мы приходим, анализируя появление новых классов подобных программ, которые образуются из совершенно, казалось бы, безопасных компонентов, прошедших все защитные преграды. При этом сам механизм их образования может быть очень прост. Это, например, элементарная линейная функция от двух или нескольких переменных. То есть каждая компонента в отдельности не является, например, вирусом, а функция от них уже зловред.

Еще одна не новая, но вызывающая в настоящее время повышенный интерес тема – биометрия, о которой массово начали говорить лет десять назад. Потом, правда, интерес к ней несколько поутих, но сейчас, в том числе из-за развития новых биометрических технологий, она опять на гребне волны.

Ранее, когда говорили о биометрии, подразумевали в основном аутентификацию по отпечаткам пальцев и оболочке глаза. Сейчас же к этому добавилось много других личностных параметров: лицо, голос, кардиограмма, параметры процесса дыхания, рисунок вен и т.д.

NBJ: Даже по венам?

М. ЛЕВАШОВ: Да. В настоящее время в научном центре «Сколково» представлен стартап, в котором предлагается использовать идентификацию по ­рисунку вен. 

Я очень осторожно отношусь к биометрической идентификации и аутентификации. Наверное, это связано с давнишним случаем моего испытания специальной компьютерной мышки, которая при ее эксплуатации снимала отпечаток пальца пользователя и сравнивала его (точнее, его хеш-функцию) с хранимым в компьютере образцом. После полуторанедельного испытания компьютер перестал меня пускать и «заперся», так как я предварительно удалил всех остальных пользователей и все другие возможности аутентифицироваться. То есть, выражаясь математическим языком, ошибка 1-го рода оказалась равна единице. Стало понятно, что биометрию в процессе аутентификации можно использовать лишь как дополнительное средство защиты. Далее выяснилось, что биометрические данные можно подделать. В частности, уже давно научились подделывать отпечатки пальцев, в том числе объемные. Голосовые данные, параметры лица также можно подделать. Поэтому, прежде чем применять биометрию, необходимо провести тщательный анализ любой подобной технологии.

Еще одно новое направление, которое также необходимо анализировать с точки зрения информационной безопасности, это блокчейн. Являясь членом технического комитета по стандартизации в криптографии (ТК 26), в рамках которого работает группа по блокчейну, я глубоко вник в эту тему и считаю, что уже реализованные возможности блокчейна, в частности в области виртуальных валют, а также электронного документооборота, фактически стали революционными в своих областях. 

NBJ: Что можно сказать о блокчейне с точки зрения безопасности?

М. ЛЕВАШОВ: Здесь есть еще много вопросов. Основной принцип блокчейна – это распределенность. И безопасность строится не путем ограничения доступа к базе данных, а, наоборот, путем расширения этого доступа до максимально возможных пределов – например, посредством копирования этой базы всеми участниками конкретной системы. Каждый участник в любой момент может проверить достоверность данных в базе. При этом, конечно, для сохранения конфиденциальности и целостности информации в блоках могут применяться криптографические методы защиты. Однако так же, как и с биометрией, для каждого нового конкретного применения блокчейна нужно проводить тщательный анализ инфор­мационных угроз и рисков. 

Мы уже можем наблюдать применение этой технологии как в некоторых криптовалютах (биткоин, проект QIWI), так и в области документооборота (проект Сбербанка).

Интересным направлением, на мой взгляд, является область криптографии, возникшая приблизительно в середине 2000-х годов и связанная с новым асимметричным шифрованием, основанным на идентификационных (личностных) данных пользователей, – схема IBE (Identity-Based Encryption). Речь идет об асимметричном шифровании, при котором публичный ключ зашифрования вычисляется с использованием идентификационных данных получателя сообщения. При этом здесь не нужно использовать PKI (Public Key Infrastructure), то есть не нужна инфраструктура открытых ключей, не нужны удостоверяющие центры. Схема IBE активно изучается и развивается специалистами-криптографами в России и других странах.

NBJ: Какие наиболее актуальные проблемы стандартизации вы можете выделить? 

М. ЛЕВАШОВ: На круглом столе, организованном Национальным Банковским Журналом, уже говорилось о стандартах в области безопасности платежных систем. Этим занимается один из подкомитетов технического комитета 122 Росстандарта. Банк России уже давно развивает комплекс стандартов и рекомендаций СТО БР ИББС в области обес­печения информационной безопасности банковской системы РФ. Этот комплекс имеет статус стандарта организации. В настоящее время в ТК 122 готовятся два стандарта в рассматриваемой области, которые будут иметь уже статус национальных ­стандартов. 

Первый стандарт посвящен базовому уровню информационной безопасности. Этот стандарт находится на завершающем этапе разработки – этапе окончания обсуждения на уровне Росстандарта. Второй стандарт устанавливает положения, связанные с оценкой соответствия уровня обеспечения информационной безопасности требованиям первого стандарта. То есть это стандарт аудита вопросов информационной безопасности. Проект этого стандарта обсуждается на уровне подкомитета ТК 122.

Основные новшества, отличающие эти стандарты от соответствующих документов комплекса СТО БР ИББС, заключаются в следующем. В ГОСТах предусмотрены 3 уровня защиты, которые будут применяться к банкам. Впоследствии Банк России, по-видимому, разделит все банки на три категории (крупные, средние, малые) и, соответственно, к ним будут применяться разные категории требований по защите информации. Это первое отличие нового подхода к стандартизации от того, что было в СТО БР ИБСС. 

Второе отличие заключается в том, что введены и узаконены так называемые компенсационные меры по примеру стандарта PSI DSS. Если банк по каким-то причинам – финансовым или техническим – не может исполнить требования, которые прописаны в стандарте, ему разрешается самостоятельно разработать компенсационные меры, которые он может реализовать. При этом он должен доказать, что результат от их внедрения будет такой же, как и от внедрения основных мер. Банк должен обосновать это самостоятельно или заказать такое обоснование у внешней компании. 
В дальнейшем Банк России, издавая обязательные к реализации документы, по-видимому, будет использовать эти стандарты путем ссылки на их конкретные пункты.

NBJ: Как вы считаете, насколько банкам легко или, наоборот, сложно следовать этим стандартам?

М. ЛЕВАШОВ: Одно можно сказать точно: легко не бывает никогда. Но я думаю, что с учетом наличия трех уровней защиты и дополнительных возможностей замены требований стандарта компенсационными мерами указанные стандарты вполне выполнимы. Здесь многое еще будет зависеть от того, в какую из трех категорий попадет банк. Но это уже сфера банковского регулирования, и Банк России будет решать этот вопрос путем создания отдельных нормативных документов.

Кроме того, никто не запрещает – и мы об этом говорим все время, – чтобы малые и средние банки прибегали к механизму аутсорсинга. Ведь они могут обратиться к любой из компаний, которые занимаются аутсорсингом услуг информационной безопасности, вплоть до услуг полного аутсорсинга, когда банку в отдельных случаях не придется получать лицензии по работе с ­криптографией.