Насколько изменился «портрет злоумышленника» за последние несколько лет, и как это повлияло на те задачи, которые банки ставят перед собой в рамках обеспечения своей информационной безопасности? Как добиться того, чтобы клиент, с одной стороны, чувствовал себя защищенным, а с другой, не тяготился выполнением чрезмерных, с его точки зрения, требований безопасности? Насколько острой является для банков в нынешней ситуации проблема с подбором и удержанием персонала в сфере информационной безопасности (ИБ)? На эти и другие вопросы ответил в интервью NBJ начальник Управления режима информационной безопасности Депар­тамента защиты информации Банка ГПБ (АО) Алексей ПЛЕШКОВ.

NBJ: Алексей, с вашей точки зрения, какие наиболее актуальные проблемы информационной безопасности следует выделить в настоящее время? Насколько критична ситуация с точки зрения ИБ в банковской отрасли?

А. ПЛЕШКОВ: Я не называл бы вопросы защиты информации проблемами, а использовал бы термин «задачи». К наиболее актуальным задачам в области защиты информации российского банка, требующим от специалистов по защите информации комплексного решения и нестандартного подхода, в настоящее время можно отнести следующие: 

• защита активов и интересов клиентов финансовых организаций от противоправных действий злоумышленников (технического и социального характера);
• соблюдение баланса между функциональным удобством и уровнем защищенности предлагаемых клиентам банковских продуктов;
• противодействие высокотехнологическому мошенничеству, сопровождавшему в последние годы внедрение актуальных решений (в том числе на мобильных платформах, также иностранного производства);
• построение комплексной распределенной и тиражируемой на несколько уровней вложенности системы защиты информации;
• актуализация и миграция средств защиты на современные производительные платформы вместе с основными (морально устаревшими) автоматизированными банковскими системами и процессами;
• повышение осведомленности работников и клиентов финансовой организации в вопросах обеспечения защиты информации;
• соблюдение требований отечественных и международных регуляторов в области защиты информации.

По сравнению c другими аспектами банковской деятельности, которыми были красочно наполнены 2014–2016 годы  – флуктуация курсов валют, изменение ставок, отзывы у банков лицензий и пр., – в области защиты информации критической ситуации я не наблюдаю. Текущее состояние можно назвать своеобразной стагнацией.

NBJ: Наверное, есть и такая задача: как обеспечить киберустойчивость банка при взаимодействии с потребителями услуг?

А. ПЛЕШКОВ: По своей сути современный банк со всеми его электронными данными, технологическими платформами и автоматизированными процессами является магазином по продаже денег. Основные потребители банковских услуг – юридические и физические лица – очень требовательны к качеству и безопасности предоставляемых банком технологических продуктов. Киберустойчивость как способность банка противостоять современным угрозам информационной безопасности является обязательной характеристикой, которую принимают во внимание все клиенты при выборе «своего магазина». Обеспечение киберустойчивости напрямую связано с построением комплексной системы защиты информации. Клиенты банков во многом консервативны. Такие неизменные атрибуты, как доступность 24/7, конфиденциальность совершаемых операций и целостность всех хранимых и подписываемых данных, – это те составляющие успеха, без которых сложно представить современный банковский продукт.

NBJ: В последнее время, как хорошо известно, российские банки не раз становились объектами хакерских атак. В связи с этим, как утверждают многие эксперты, возрастает потребность в обмене информацией о прецедентах в сфере ИБ между банковскими организациями. Участвует ли в таком обмене, организованном под эгидой FinCERT, «Газпромбанк» (Акционерное общество)? 

А. ПЛЕШКОВ: Портрет киберзлоумышленника за последние десять лет поменялся кардинально. Если в начале двухтысячных годов это были романтики-одиночки, считавшие своим долгом доказать всему миру свою правоту, то сейчас это чаще всего организованные группы связанных через интернет, проживающих в разных странах и часовых поясах узкоспециализированных умельцев. Они работают в ежедневном режиме, совершая международные преступления. В таких условиях для своевременного и адекватного противодействия кибератакам соблюдение банками полного суверенитета представляется неэффективным. В истории были многократные примеры, когда для противодействия иностранной интервенции локальные, разделенные по разным причинам сообщества соглашались на совместно скоординированные действия, бывшие конкуренты объединялись, а враги становились союзниками. 

Так происходит и сейчас: все больше российских банков объединяются под эгидой Центрального банка. Первым шагом является обмен информацией об инцидентах и способах минимизации рисков их возникновения через интерфейсы FinCERT ЦБ РФ. Банк ГПБ (АО) не исключение: мы активно взаимодействуем с ЦБ РФ по вопросам противодействия современным кибератакам.

NBJ: Как в целом вы оцениваете деятельность FinCERT? Достаточное ли внимание, по вашему мнению, регулятор рынка уделяет вопросам соответствия банков требованиям в сфере ИБ? 

А. ПЛЕШКОВ: Успехи ЦБ в вопросах развития, стандартизации, популяризации и контроля выполнения требований по защите в организациях финансового сектора РФ за последние 10-12 лет очень сложно переоценить. В настоящее время нет ни одного банка в РФ, чье руководство не знало бы о важности соблюдения требований по защите информации и о необходимости наличия в штате профильных специалистов. Но так было не всегда. В вопросах популяризации сферы защиты информации ЦБ РФ в общем и FinCERT в частности оказывают огромное влияние на отрасль. 

NBJ: Какие существуют адекватные решения в области безопасности с учетом того, что объемы данных стремительно растут и растут требования к скорости их обработки?

А. ПЛЕШКОВ: Большинство современных банковских продуктов оцифровано, скрытая от клиентов бэк-офисная и аналитическая обработка операций осуществляется исключительно в электронном виде. Нет ничего страшного в том, что объемы хранимых архивов растут. Современные банки должны быть готовы к этому. Для защиты, как и для обработки массивов данных, используются инструменты на базе технологии BigData.

NBJ: По вашим наблюдениям, какие банковские системы более всего подвержены атакам злоумышленников?

А. ПЛЕШКОВ: Чаще всего атаки на отечественные банки совершаются через интернет. В зоне риска находятся веб-интерфейсы и банковские приложения, доступные для клиентов в круглосуточном режиме. Другим высоковероятным вектором развития атаки выступают мобильные приложения и так называемые «толстые клиенты» – программы для удаленной работы через интернет с банковскими продуктами. Еще один тренд современных атак – это рассылка фишинговых писем по адресам корпоративной электронной почты с целью распространения и доставки вредоносного программного обеспечения внутрь защищаемого контура. Здесь целями атаки выступают все внутренние автоматизированные банковские системы, в том числе работающие с участком платежной системы Банка России.

NBJ: Какие средства борьбы с инсайдерами вы считаете наиболее эффективными?

А. ПЛЕШКОВ: На мой взгляд, наиболее эффективными средствами борьбы с инсайдерами становятся технические меры по выявлению в комплексе с организационными мерами по профилактике утечек конфиденциальной информации в организации. Важно сформировать внутри коллектива финансовой организации четкое понимание присутствия режима информационной безопасности. Не последнюю роль в этом процессе играют выбранные способы популяризации результатов проводимых расследований.

NBJ: ИБ в банке – это комплексная задача, безопасность должна обеспечиваться как «на стороне клиента», так и «на стороне банка». Может ли банк повлиять, и если да, то каким образом, на безопасность «на стороне клиента»?

А. ПЛЕШКОВ: Многие банки придерживаются позиции, что клиентская часть, со стороны которой происходит обращение к фронт-энд решению, изначально считается скомпрометированной, а значит, гарантированно недоверенной средой. Исходя из этого, строится политика безопасности, прописываются условия договоров и происходит общение с клиентами при обращении. Другие банки, наоборот, плотно работают с клиентской стороной, принудительно ставят дополнительные средства защиты. Поэтому они считают своих клиентов максимально защищенными от вероятных угроз и разрешают им совершать практически любые операции удаленно, оценивая при этом возможные риски мошенничества как небольшие. На мой взгляд, самым правильным подходом является комбинация представленных выше вариантов защиты. Где-то гайки безопасности действительно стоит закрутить во благо клиента, а в других местах риски мошенничества настолько незначительны, что внедрение и сопровождение компенсирующих средств защиты потребует неоправданно высоких затрат.

NBJ: Какие основные проекты в сфере ИБ проходят в банке в настоящее время?

А. ПЛЕШКОВ: В вопросах развития систем защиты информации финансовые организации чаще всего следуют указаниям регуляторов, реагируют на появление актуальных угроз или обеспечивают надежную и безопасную работу клиентов в новых продуктовых системах согласно требованиям бизнеса. Мы не исключение из этого правила. К первой группе проектов по выполнению указаний регуляторов можно отнести успешно завершенный проект по приведению бизнесов «Газпромбанка» (Акционерное общество) в соответствие с требованиями Положения Банка России № 552-П «О требованиях к защите информации в платежной системе Банка России» или проект по вынесению из АРМ КБР-С (автоматизированного рабочего места клиента Банка России. – Прим. ред.) функции по простановке электронной подписи на платежных документах на стороне банка. Ко второй группе проектов относятся работы по построению эшелонированной системы спам/фишинг-фильтрации и защиты от вредоносного программного обеспечения, поступающего по каналам электронной почты. Также ко второй группе относится и ряд инфраструктурных проектов по перестройке и защите внутренней сети головного офиса и филиалов банка. Третья группа проектов полностью ориентирована на работу бизнес-подразделений. К успешно реализованным проектам этой группы я бы отнес регулярное проведение тестов на проникновение, к примеру в контексте PCI DSS (Payment Card Industry Data Security Standard – стандарт безопасности данных индустрии платежных карт. – Прим. ред.) или Положения Банка России № 382-П, или работы по поиску и устранению уязвимостей в новых версиях систем.

NBJ: Как изменилась динамика затрат вашего банка на информационную бе­зопасность за последнее время? Возросло ли внимание к проблемам обеспечения ИБ со стороны руководства и акционеров банка? 

А. ПЛЕШКОВ: Руководство «Газпромбанка» (Акционерное общество) всегда уделяет особое внимание вопросам обеспечения режима информационной безопасности. Правление Банка ГПБ (АО) регулярно получает от нас отчеты разного уровня и детализации об инцидентах и предпринятых для их устранения мерах, развернутые доклады с прогнозами по угрозам и предложениями по минимизации рисков, материалы внутренних расследований и технических экспертиз, а также данные по киберразведке, содержащие материалы о скомпрометированных реквизитах клиентов, и многое другое. Все это позволяло нам рассчитывать на поддержку руководства в вопросах выделения бюджета на обеспечение защиты информации даже в период экономической турбулентности.

NBJ: Как известно, бизнес зачастую негативно относится к развитию и ужесточению ИБ. Как вам удается приводить банк в соответствие с современными практиками обеспечения защиты информации, преодолевая недовольство бизнеса?

А. ПЛЕШКОВ: Умение вести разумный диалог с бизнесом, обсуждать на понятном нетехническому специалисту языке актуальные вопросы защиты информации в банке, умение предлагать альтернативные решения и учитывать при принятии решений пожелания представителей различных (порой самых экзотических и невероятных) направлений деятельности и работников всех структурных подразделений финансовой организации – это те необходимые качества, которые должны присутствовать в арсенале специалиста по защите информации в банке. Извечное противоборство между удобством для бизнеса и безопасностью (если ничего не делать для поиска компромисса) в итоге всегда заканчивается победой бизнеса. Ранее проще всего было запретить что-либо высокорискованное, тем более что аргументов и кейсов в отечественной и мировой практике немало. Однако в нынешнее время сухого вето со стороны информационной безопасности становится недостаточно. От нас всегда ждут альтернативных предложений и компенсирующих наличие рисков мер, пусть даже они будут затратными. И профессионализм специалистов по защите информации, на мой взгляд, заключается в том, чтобы суметь найти это золотое сечение в любой ситуации, в любом проекте, без дополнительного обострения отношений внутри банка.

NBJ: Какова ваша позиция по поводу аутсорсинга в сфере ИБ? Какие сферы и задачи в вашем банке отданы на аутсорсинг, если таковые имеются?

А. ПЛЕШКОВ: Мы ровно относимся к аутсорсингу в области информационной безопасности. При этом наличие в штате «Газпромбанка» (Акционерное общество) высококвалифицированных специалистов по защите информации позволяет нам пока не думать о передаче на аутсорсинг каких-либо базовых функций, обозначенных в обязательных требованиях регуляторов. Я не исключаю того, что в нашем случае применение аутсорсинга в узкоспецифических вопросах, таких как юридически значимая криминалистика, экспертиза в нетривиальных предметных областях, реверсный инжиниринг вредоносного кода и др., может быть обоснованным решением. 

NBJ: Насколько острым является кад­ровый вопрос в сфере ИБ, с вашей точки зрения?

А. ПЛЕШКОВ: Имея профильное образование специалиста по комплексному обеспечению информационной безопасности автоматизированных систем, я более 10 лет (с 2005 по 2014 год) преподавал в одном из ведущих вузов страны практические дисциплины по направлению «защита информации». За это время изменился профиль угроз, поменялась модель нарушителя, стало другим законодательство, и, к сожалению, изменилась базовая концепция образовательной системы в России. А это, в свою очередь, привело к тому, что профильные кафедры в известных вузах, выпускающие специалистов по защите информации, практически прекратили свое существование. Там, где они все же остались, снизилось качество образования и количество выпускников из-за отсутствия преподавателей. За время моей профессиональной преподавательской работы мне, я надеюсь, удалось познакомить с основами информационной бе­зопасности более 500 человек, большая часть которых сейчас работает в области защиты информации в различных организациях и структурах по всей России. 

Тут важно понимать еще одну вещь. Следуя стратегии замещения импортных товаров и услуг, в последние годы в России появляются и успешно развиваются все новые организации, испытывающие потребности в специалистах по защите информации. Банки, интеграторы, производители программного и аппаратного обеспечения, государственные структуры – все они приглашают с рынка труда и готовы мотивировать и удерживать от увольнения молодых и (или) уже опытных экспертов по информационной безопасности. Сейчас как таковой проблемы нехватки специалистов нет, но в контексте того, о чем я говорил выше, на горизонте двух-трех лет проблема кадрового голода в сфере ИБ отчетливо проявится. 

NBJ: Как вы думаете, насколько эффективно законодательство, действующее в настоящее время, с точки зре­ния противостояния вызовам со стороны хакеров и наказания подобных действий?

А. ПЛЕШКОВ: В ответе на этот вопрос соглашусь с коллегами по отрасли и замечу, что законодательство в области ИБ эффективно ровно настолько, насколько все задействованные лица способны и (или) выполняют его требования и установки. Без сомнения, авторы новых законопроектов и постановлений хотели бы на своем уровне стандартизировать и унифицировать подходы к обеспечению защиты информации, базируясь на лучших практиках и международном опыте. В крупных финансовых организациях, таких как «Газпромбанк» (Акционерное общество), это понимают и стремятся своевременно, качественно и в полной мере выполнять требования поступивших нормативных документов. При этом другие околофинансовые организации по различным причинам не могут себе позволить тратить ресурсы на полное и качественное исполнение мер по защите информации и выполняют их требования частично, экспертно расставляя приоритеты. 

К сожалению, микрофинансовые организации, также подверженные рис­кам информационной безопасности, чаще всего вообще не выполняют требования и рекомендации по ИБ. Основные аргументы руководства компаний, уклоняющихся от выполнения требований по защите информации, базируются на том, что даже полное соответствие действующему законодательству по защите информации не гарантирует компании на 100% защиту от нанесения ей финансового ущерба вследствие реализации кибер­угроз. А стоимость и сроки внедрения защитных мер гарантированно уменьшают финансовые и бизнес-показатели как в краткосрочной, так и долгосрочной перспективе.

NBJ: Какие задачи в области обеспечения ИБ предстоит решить вашему банку в 2017 году, и каковы планы банка в этой сфере на ближайшее будущее?

А. ПЛЕШКОВ: Банки всегда были и будут продолжать выступать для злоумышленников объектами атак. Здесь речь идет не только про хакеров, но и про инсайдеров, лояльность которых регулярно меняется. Злоумышленники никогда не дремлют. Атаки совершаются круглосуточно из самых удаленных уголков земного шара (согласно трекингу по IP-адресам). Поэтому мы в Газпромбанке рассматриваем информационную безопасность не как конечный продукт, а как непрерывный процесс с набором промежуточных состояний и статусов. Достигнув одной промежуточной цели (например, внедрив новую систему защиты или приняв в промышленную эксплуатацию программно-аппаратный комплекс), мы сразу же переходим к новым инициативам и реализациям. По статистике самые интересные и сложные с точки зрения поиска решений задачи в 2016–2017 годах к нам поступали из бизнес-подразделений. В поиске сбалансированных решений специалисты по защите информации осваивают для себя новые горизонты, развиваются и уверенно противостоят вызовам внутренних и внешних нарушителей режима. Уверен, что так будет и дальше.