Бурное развитие финансовых технологий заставляет банки вносить коррективы в свои бизнес-стратегии, отходить от модели классического банкинга, которая была для них привычной и понятной на протяжении практически всего времени их существования. На вопросы о том, какие вызовы это порождает в сфере информационной безопасности (ИБ), почему клиенты с каждым годом уделяют все большее внимание вопросам защищенности их персональных данных и т.д., ответил в интервью NBJ руководитель направления по развитию технологий, начальник отдела анализа и контроля рисков компании PricewaterhouseCoopers (PwC) в России Тим КЛАУ.  

NBJ: Тим, как развитие «интернета вещей» изменило характер угроз и рисков с точки зрения информационной безопасности?

Т. КЛАУ: Конечно же, развитие «интер­нета вещей» очень сильно изменило и характер самих угроз, и их динамику. Чтобы убедиться в этом, давайте прежде всего оценим уровень внедрения в повседневную жизнь каждого человека различных устройств, с помощью которых можно аккумулировать и передавать персональные данные. В этом случае я говорю не только о мобильных телефонах или смартфонах, но и о медицинских имплантах, и об устройствах, которые используются в промышленном производстве, и о многих других. И также необходимо понимать, что это фактически бесконечный процесс. С каждым годом мы будем наблюдать рост проникновения в жизнь таких устройств по экспоненте.

NBJ: Звучит как описание сцены из футуристического фильма.

Т. КЛАУ: Так оно и есть. Всего через не­сколько лет мы будем окружены миллиардами таких устройств, и они будут казаться нам настолько повседневными и обычными, что мы не будем замечать их присутствия. И это хорошо, но, с другой стороны, что это означает с точки зрения обеспечения информационной безопасности? Это значит, что периметр безопасности постоянно расширяется, а защищать его границы становится все более сложной задачей. Мы все уже не раз были свидетелями того, как хакеры перехватывали контроль над такими устройствами и затем использовали их для нанесения вреда их владельцам. Так они проникали и в информационные системы различных компаний. Я думаю, нет смысла приводить конкретные примеры, подтверждающие это, поскольку они хорошо известны. И все они наглядно свидетельствуют о том, что я сказал ранее. Чем более высоким становится уровень развития «интернета вещей», тем сложнее становится банкам, компаниям, да и обычным людям обеспечивать сохранность своих данных и информационную безопасность. 

NBJ: Но, с другой стороны, банки рассматривают развитие «интернета вещей» как шанс стать ближе к своим клиентам, как возможность взаимодействовать с ними с помощью удаленных каналов. 

Т. КЛАУ: Это совершенно правильный подход. Действительно, развитие технологий позволяет не только усовершенствовать процесс коммуникации между банками и их клиентами, но и сделать сами банковские продукты и услуги более клиентоориентированными или даже более персонально-ориентированными. Речь действительно идет о том, чтобы максимально полно понимать потребности каждого клиента и делать ему наиболее выгодные именно для него предложения, а также более точно оценивать свои риски. Возьмем в качестве примера страхование. Сейчас, в отличие от предыдущего периода, при оценке застрахованных лиц учитывается целый комплекс факторов. Например, является ли человек курящим или нет, водит ли он автомобиль, и если да, то использует ли постоянно ремень безопасности и т.д. Не случайно же сейчас особое значение придают таким технологиям, как машинное обучение, обработка больших данных и т.д. Перед банками благодаря  использованию этих технологий и проникновению устройств в повседневную жизнь клиентов действительно открываются колоссальные возможности. Но тут есть одно но. Воспользоваться ими в полной мере банки смогут только при условии, если им удастся обеспечить своим клиентам должный уровень защиты как денежных средств, так и персональных данных. 

NBJ: Почему это так принципиально важно?

Т. КЛАУ: Потому что клиенты будут взаимодействовать с банками или страховыми организациями, или любыми другими компаниями, имеющими доступ к их персональных данным, только в том случае, если доверяют им. Доверие – действительно ключевой пункт. Клиенты должны быть уверены в том, что организация не продаст их данные, не потеряет их и не скомпрометирует, удалит их по просьбе клиента из своих информационных баз. Если возникает хотя бы малейшее сомнение в том, что компании можно доверять и тем более если возникает уверенность в этом, тогда сотрудничество между ней и клиентом прекращается. Для субъекта рынка это зачастую может быть чревато потерей не одного клиента, а целой клиентской группы, а значит, большого количества денежных средств. Очевидно, что в этих условиях встает вопрос о том, как правильно должна быть выстроена система информационной безопасности, какие меры должны предпринимать компании, чтобы она эффективно работала и была минимально уязвимой для злоумышленников. 

NBJ: И особенно все это актуально, когда злоумышленники становятся все более, если так можно выразиться, профессиональными и искусными?

Т. КЛАУ: Да. Как я уже отметил, они также пользуются теми возможностями, которые открывает перед ними развитие «интернета вещей». Очевидно, что в нынешних условиях массовая рассылка фишинговых электронных писем может привести к очень серьезным последствиям. Это может быть и блокировка сайтов и информационных систем, и перехват контроля над большим количеством мобильных устройств.

NBJ: Наверняка вы много общаетесь с представителями банковского сектора. Как по-вашему, понимают ли российские банки в должной мере масштаб угроз, с которыми они либо уже сталкиваются, либо рискуют столкнуться в самое ближайшее время в сфере информационной безопасности?

Т. КЛАУ: Я отвечу на ваш вопрос так. Крупнейшие банки, которые считаются лидерами рынка банковских услуг в России, по моим наблюдениям, относятся к этому вопросу весьма серьезно. Они разрабатывают комплекс мер по повышению эффективности ИБ, создают операционные центры безопасности (Security Operation Center, SOC), инвестируют значительные средства и 
в отладку процессов, и в обучение персонала. Они анализируют существующие угрозы и в целом стараются работать на опережение. Но наряду с этими банками существуют и другие. Они, конечно же, заинтересованы в том, чтобы также использовать возможности «интернета вещей», разрабатывают ИТ-стратегии с учетом его развития, но при этом…

NBJ: Они говорят, что о безопасности подумают потом? Сначала развитие, а потом безопасность?

Т. КЛАУ: Совершенно верно. И, по моему мнению, таких банков на сегодняшний день большинство. Наверное, это естественно, поскольку технологии развиваются очень быстро, и у многих возникает опасение, что они могут не успеть их внедрить и отстанут в этом вопросе от конкурентов. Но я уже выше сказал о том, с какой угрозой они рискуют столкнуться при таком подходе. Банки, как никакие другие компании, должны учитывать в своей деятельности такой факт, как доверие людей. А сможет ли оно сохраниться в случае, если они не уберегут от злоумышленников деньги или персональные данные своих клиентов?

NBJ: В рамках различных профильных для сферы ИБ мероприятий, таких как круглые столы, конференции и форумы, можно услышать один и тот же тезис. Процессы очень важны, и технологические решения необходимы, но все же в центре ИБ стоит человек, а это значит, что важнее всего человеческий фактор. Согласны ли вы с этим? 

Т. КЛАУ: Это очень верно сказано. Прак­тика показывает, что компания может вложить миллионы рублей в технологии, в процессы, в управление. Но все это может оказаться бесполезным, если не будет соблюдаться принцип «правильный человек в правильном месте в правильное время». Человек – главная линия защиты. Обойдя его, можно разрушить всю систему защиты, какой бы, на первый взгляд, продуманной и хорошо выстроенной она ни была. 

Чтобы проиллюстрировать сказанное, я приведу следующий пример.Хорошо известно, что самым простым и распространенным на сегодняшний день способом хищения данных является рассылка пользователям информационной системы фишинговых электронных писем. Если они не знают, как поступать в случае получения такого письма и что им категорически нельзя делать, то подобная атака имеет шансы на успех. Как избежать этого? Только с помощью постоянной работы со своими сотрудниками. Путем проведения тренингов, создания системы как поощрений за соблюдение требований безопасности, так и наказаний за их нарушение. Естественно, в компании должна работать правильно подобранная команда специалистов в сфере ИБ. 

NBJ: Это, наверное, само собой разумеющееся требование.

Т. КЛАУ: Да, но нам доводилось видеть, что оно далеко не всегда соблюдается. Вернемся к предложенному мной примеру. На информационные системы компании идет фишинговая атака. Как должна действовать в таких случаях правильно работающая ИБ-команда? Она в первую очередь должна признать сам факт атаки, а затем предпринять действия, направленные на ее отражение и на защиту информационных систем. Между тем нам доводилось сталкиваться со случаями, когда сотрудники таких команд отрицали факт атаки. Они утверждали, что ничего экстраординарного не происходит, и «вывешивали красный флаг», то есть предупреждение о высочайшем уровне опасности, только через два-три дня после начала атаки. Два-три дня! И это в ситуации, когда счет идет на минуты и даже секунды и когда особенно важно действовать не только быстро, но и в соответствии с процедурами, с лучшими практиками отражения таких атак. 

Резюмируя вышесказанное, повторю, что человеческий фактор очень важен. И тут, к сожалению, я должен сказать, исходя из своего опыта, что российские компании пока в большинстве своем уделяют ему меньше внимания, чем технологиям, процессам, вопросам управления и т.д. 

NBJ: Превалирующая тенденция в мире – все же уделять больше внимания человеку?

Т. КЛАУ: Да, и этому есть объяснение. Как вы знаете, в последнее время достаточно часто возникают масштабные финансовые кризисы. И банки, и регуляторы, естественно, задаются вопросом, почему так происходит. Почему финансовые организации несут огромные потери, почему зачастую они обусловливаются пренебрежением стандартами и нормами регулирования? Естественно, что в этой ситуации банки прибегают к такой услуге, как коучинг, особенно в сфере риск-менеджмента и информационной безопасности. К этому их подталкивают и регуляторы, которые заинтересованы в том, чтобы тот или иной банк чувствовал себя более устойчивым и в спокойные, и в кризисные времена. И мы видим по всему миру, что именно регуляторы рынка настаивают, чтобы банки привлекали коучеров, которые будут обучать не только менеджеров высшего звена, но и фактически всех специалистов, работающих в том или ином банке. 

NBJ: Если говорить исключительно о сфере ИБ, то несколько лет назад под эгидой Центрального банка РФ был создан Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Фактически речь идет о площадке, на которой банки могут обмениваться информацией, аналитикой по вопросам, имеющим отношение к ИБ. Как вы относитесь к этому инструменту, считаете ли, что он поможет снизить количество инцидентов в сфере ИБ?

Т. КЛАУ: Простой ответ – да, конечно. И ни в коем случае работнику компании нельзя рассуждать, что, рассказывая об имевших место инцидентах в сфере ИБ, он тем самым ухудшает ее конкурентные возможности. Это не вопрос конкуренции. Банки должны конкурировать по качеству услуг, оказываемых клиентам, а не по тому, у кого какая система информационной безопасности. Они сталкиваются с одинаковыми рисками в сфере ИБ. 

Также не стоит забывать о том, что хакеры, со своей стороны, тоже не стоят на месте. Чем больше вы вкладываете средств в защиту своих компаний, тем больше они инвестируют в разработку вредоносного программного обеспечения, в вербовку высокопрофессиональных специалистов в свои группы. И они как раз очень активно обмениваются информацией об уязвимостях банковских систем, о том, какие виды атак являются наиболее успешными и т.д. В таких условиях отказ банков от обмена информацией друг с другом означал бы, что они оставляют беззащитными перед хакерскими атаками не только своих коллег по рынку, но и в конечном счете самих себя. 

NBJ: Честно говоря, я впервые слышу о том, что между злоумышленниками тоже налажен обмен информацией. По каким признакам это можно установить?

Т. КЛАУ: Знаете, эта информация доступна в интернете. Можно увидеть множество доказательств этому. У злоумышленников есть свои группы и интернет-ресурсы, где они осуществляют такой обмен. И зачастую они делают это не на платной основе, не имея какой-либо финансовой заинтересованности, а просто…

NBJ: Из профессиональной солидарности?

Т. КЛАУ: В некотором смысле да. Об­суждение подобных вопросов помогает им лучше подготовиться к новым атакам. Это то, что компаниям необ­ходимо учитывать. Совсем недавно мы все были свидетелями масштабной атаки вирусов-вымогателей WannaCry и PetrWrap. То, что информационные системы многих компаний оказались пораженными этими вирусами, объясняется как раз тем, что они не участвовали в обмене информацией. Поэтому тревожные сигналы дошли до них слишком поздно. А когда происходит подобная атака, то счет идет не на недели и даже не на дни, а 
на минуты. И от скорости реакции профильных служб зависит и то, как скоро эта атака будет отбита, и то, каким будет размер ущерба для компаний. 

NBJ: Есть еще мнение, что очень важно, чтобы в сфере ИБ был «третий глаз». То есть чтобы не только сами компании наблюдали за состоянием своей информационной безопасности, но и привлекались внешние специалисты, аудиторы, которые могли бы беспристрастно указывать компаниям на слабые места в их защитных системах. Согласны ли вы с этим выводом?

Т. КЛАУ: Конечно. Наши специалисты часто выступают именно в такой роли. Что мы делаем? Прежде всего, осуществляем так называемый «этичный хакинг». Фактически мы ведем себя как обычные хакеры, стараясь найти путь к критическим данным, уязвимым местам информационных систем. Но мы делаем это не для того, чтобы похитить информацию и затем воспользоваться ею в корыстных целях, разумеется, а чтобы наглядно продемонстрировать руководству компаний те самые слабые места, о которых вы упомянули в своем вопросе. Естественно, после проведения такого «этичного хакинга» мы предоставляем наши рекомендации по устранению недостатков в организации защиты. 

NBJ: Но штатные сотрудники департаментов и управлений ИБ тоже проводят аналогичные мероприятия. В чем смысл привлечения именно внешних специалистов для «этичного хакинга»?

Т. КЛАУ: Как раз в том, о чем вы сказали выше, – в наличии «третьего глаза» или, точнее, свежего взгляда и на то, как компания выстраивает свою защиту, и на то, какими могут быть риски для нее в этом вопросе. Плюсы в привлечении внешних специалистов для «этичного хакинга» заключаются в их незаинтересованности, независимости и, соответственно, объективности. 

Возможно, вам будет интересно узнать, что мы реализовывали такой проект в начале прошедшего лета в одной российской компании и обнаружили целый набор уязвимостей, среди которых была как раз одна из тех, которую используют вирусы-шифровальщики типа WannaCry. Мы направили компании, защиту которой мы проверяли, наш отчет, и через три недели после этого началась атака WannaCry. Той организации удалось избежать серьезного ущерба, поскольку к этому моменту она выполнила большинство наших рекомендаций и устранила уязвимости. И это для нас – лучшее доказательство того, что «этичный хакинг» действительно является полезным и эффективным инструментом для снижения рисков компаний в сфере информационной безопасности. 

NBJ: Наш журнал достаточно часто проводит круглые столы, посвященные теме обеспечения информационной безопасности в банковских организациях. Один из вопросов, который регулярно обсуждается в контексте этих мероприятий, – несовершенство российского законодательства, регулирующего вопросы ИБ. Эксперты часто говорят о том, что наши законы являются очень «мягкими» для хакеров, и это подстегивает их активность. Согласны ли вы с таким утверждением?

Т. КЛАУ: Я не являюсь экспертом в области юриспруденции, но давайте посмотрим, как быстро меняется мир, причем не только в последние несколько лет. Согласитесь, что очень сложно было в 1920–1930-х годах представить себе, какими будут технологии и процессы всего через сто лет, насколько они будут отличаться тех, которые использовались тогда. Естественно, что и законодательство, и регулирование в таких случаях несколько отстают от технологической эволюции, и невозможно сразу привести их в соответствие друг с другом. Так что это не только российская проблема. Сейчас практически все страны мира смотрят и решают, как должны преследоваться преступления в сфере высоких технологий, что следует считать правильным, а что нет, какие меры должны предприниматься по отношению к тем, кто занимается хакерством, как должны быть защищены добросовестные пользователи интернета и т.д. 

NBJ: И заключительный вопрос, который я хотела бы задать. Резюмируйте, пожалуйста, главные проблемы и вызовы, которые будут стоять перед российскими компаниями и, в первую очередь, перед нашими банками в среднесрочной перспективе.

Т. КЛАУ: Я думаю, главный вызов для компаний финансовой сферы за­клю­чается в том, что клиенты требуют все более клиентоориентированных услуг. Мы видим, что и в России, и в других странах люди хотят видеть банки не как совокупность отделений и филиалов, а как платформы, на которых происходит продажа и покупка самых разных услуг и продуктов, в том числе и тех, которые не относятся к разряду классических банковских. Если потребители видят, что банки готовы к такой трансформации и к тому, чтобы предлагать им кастомизированные продукты, 
то они захотят, в свою очередь, отдавать банкам то, чем они располагают, – деньги и свои персональные данные. А дальше уже возникает вызов, о котором мы говорили в начале нашей беседы, – сохранность и защищенность этих сведений.

Еще один вызов, который уже возник перед банками и будет актуализироваться по мере дальнейшего развития «четвертой индустриальной революции», – конкуренция с финтех-компаниями. Посмотрите на Китай, и вы увидите, что там уже работают очень крупные организации, которые конкурируют с банками в вопросах предоставления финансовых услуг. Эти компании не являются банковскими организациями, они представляют собой классический финтех, и потому они не находятся под жестким регулированием со стороны центральных банков различных стран. 

NBJ: Вы имеете в виду такие компании, как Google, Facebook и другие? О том, что они могут превратиться в квазибанки, эксперты предупреждают уже давно.

Т. КЛАУ: Их и не только их. Тут важно не столько перечисление всех известных брендов, сколько то, что это означает на практике. А значит это следующее. Банки должны меняться, но при этом они ни в коем случае не должны поступаться безопасностью своих клиентов. Любой «разрыв» в функционировании банка, любой инцидент, который приводит либо к тому, что клиент какое-то время лишен возможности получать необходимые ему услуги, либо к тому, что потеряны его персональные данные, – и клиент может уйти даже не к конкуренту, а в финтех-компанию! 

Все это, по моему убеждению, приводит нас к выводу, что вопрос об информационной безопасности следует формулировать иначе. Необходимо уже не столько создание классического защитного периметра вокруг банка, сколько обеспечение диджитал-защиты. Это гораздо более сложная комплексная задача, и ее решением должен заниматься не только и не столько профильный департамент или управление в банке. Признаюсь честно, меня всегда удивляют ситуации, когда совет директоров в той или иной финансово-кредитной организации не уделяет этой проблеме должного внимания, оставляя подобные вопросы на откуп своим подчиненным. Это стратегическая проблема, и решаться она должна на стратегическом уровне, а не на тактическом. 

NBJ: Слушая ваш ответ, я подумала о том, смогут ли банки в принципе конкурировать с финтех-компаниями, например, выросшими из социальных сетей или популярных поисковых систем? К сетям или поисковикам у пользователей возникает нечто вроде эмоциональной привязанности, к банкам они вряд ли испытывают такие чувства. Не значит ли это, что банки могут оказаться в заведомо проигрышной ситуации?

Т. КЛАУ: Это действительно интересный вопрос, и это залог того, что «битва» между банками и финтех-компаниями действительно обещает быть нелегкой. Но лично я не склонен рассматривать положение банков как заведомо проигрышное. Они могут стать той самой платформой для продажи услуг и продуктов, о которой я говорил выше, и они могут вызвать у своих клиентов чувство эмоциональной привязанности. Мы уже видим примеры того, как некоторые банки, которые до этого были классическими представителями своего сегмента, перестроив процессы и изменив бизнес-стратегии, превращались в диджитал-банки. 

Да, таких примеров пока немного, но надо понимать, что это начало пути. Если говорить о России, то мы видим, что этим путем вполне успешно идут некоторые платежные системы. 

Так что я резюмирую вышесказанное следующим образом. Это вопрос осознания существующих вызовов и готовности каждого конкретного банка адекватно ответить на них. Понимания того, что через несколько лет привычные модели бизнеса просто перестанут работать, и банки, которые в силу тех или иных причин не изменили их, будут вынуждены оставить свои позиции и, возможно, даже покинуть финансовую сферу. 

NBJ: Вы считаете, еще не упущено время подумать и осознать это?

Т. КЛАУ: Для этого время всегда есть. В последние несколько лет перед российскими банками, конечно, стояли другие проблемы и вызовы – экономический кризис, санкции, ужесточение регулирования и надзора. Но вот как раз сейчас, на мой взгляд, наступает тот самый момент, когда им пора обратить внимание на «вызов трансформации». На него необходимо найти ответ как можно скорее, потому что этот вызов порожден требованиями клиентов к банкам.