Аналитика и комментарии

10 мая 2018

информационная безопасность в финансовом секторе

в апреле 2018 года состоялся круглый стол «Информационная безопасность в финансовом секторе». В мероприятии приняли участие более 170 человек, среди которых были руководители департаментов и служб ИБ банков и некредитных финансовых организаций, представители компаний вендоров и интеграторов, независимые эксперты, общественные деятели

Среди активных участников круглого стола были: заместитель председателя подкомитета по платежным инструментам и информационной безопасности Комитета по финансовым рынкам и кредитным организациям Торгово-промышленной палаты РФ Тимур Аитов; директор по безопасности, эксперт-профайлер компании «СёрчИнформ» Иван Бируля; советник председателя правления «МТИ-Банк» (АО) Александр Вильдман; директор проектов центра кибербезопасности и защиты ПАО «Ростелеком» Денис Горчаков; директор по развитию ООО «Прософт-Биометрикс» Александр Горшков; директор по развитию компании «Актив» Владимир Иванов; независимый эксперт Кирилл Керценбаум; эксперт АО «БИФИТ» Виталий Кривонос; заместитель генерального директора АО «РНТ» Андрей Курило; руководитель направления информационной безопасности ПАО «Ростелеком» Александр Малявкин; руководитель департамента комплаенса в кредитно-финансовой сфере ООО «ЦИБИТ» Василий Окулесский; заместитель генерального директора компании «Аладдин Р.Д.» Алексей Сабанов; руководитель группы противодействия мошенничеству компании «Инфосистемы Джет» Алексей Сизов и другие.

Организатор: Национальный Банковский Журнал (NBJ). 
Модератор: начальник управления ИБ в АО КБ «Златкомбанк» Александр Виноградов.
Партнер круглого стола: компания 3М.

А. ВИНОГРАДОВ (Златкомбанк): Первый вопрос, который мы поставили на повестку дня, – новые задачи служб информационной безопасности в банках, возникающие в связи с необходимостью обеспечения надежного и безопасного подключения к новым платформам, а также финансовые маркетплейсы и технологии распределенных ресурсов. Я думаю, что все это достаточно актуальные темы, и предлагаю участникам нашего круглого стола высказать свое мнение по ним. 

Т. АИТОВ (Торгово-промышленная палата): Я слушал недавно представителей Ассоциации ФинТех, и первое, что  отмечалось – это несовершенство законодательства, пробелы в нем, когда речь идет о внедрении новых технологий, например, о блокчейне. В то же время законодателей трудно обвинить в игнорировании этой проблемы, они работают достаточно активно, и уже будущим летом должны быть приняты три важнейших закона, в числе которых закон о криптовалютах. Я надеюсь, что это позволит разрушить правовой вакуум, который сейчас царит: станет легче, например, регулировать ситуации, когда происходит взлом криптобирж и похищаются нажитые непосильным трудом биткоины. Владельцы похищенного даже не могут подать заявление в правоохранительные органы, поскольку  до сих пор  криптовалюты являются не имуществом, а неким набором цифр.

А. ВИНОГРАДОВ (Златкомбанк): Я соглашусь с тем, что криптовалюты и блокчейн – очень интересные вопросы, но давайте заниматься тем, что куда больше волнует банки. Например, темой стандартизации. Известно, что до 2022 года должны быть разработаны и утверждены 15 новых стандартов в сфере ИБ. Готовы ли банки к внедрению новых стандартов и что следует им сделать для того, чтобы максимально подготовиться к ним?

В. ОКУЛЕССКИЙ (ООО «ЦИБИТ»): Мы все с интересом изучили стандарт 575801, содержащий набор базовых требований по организационно-техническим мерам по защите информации. Для нас, как для практиков, очевидно, что он работать не будет, и поэтому мы ждем появления стандарта 575802, чтобы понять, какие практические шаги нам нужно совершить. Примерно та же история и с другими стандартами, но это не отменяет для нас главный вопрос: нужны ли новые стандарты в принципе? На мой взгляд, безусловно, да, потому что набор базовых требований и к системе и управления рисками, и аутсорсинга, и к организации мониторинга инцидентов в сфере ИБ необходим. И еще нужно, чтобы выполнение этих требований было обязательным. И сейчас как раз хороший момент для нашего сообщества для того, чтобы внести в эти документы изменения, которые пойдут на пользу всему рынку и сделают сами стандарты более жизненными. 

А. ВИНОГРАДОВ (Златкомбанк): На мой взгляд, один из основных вопросов – как поднять информационную безопасность на уровень правления банка. По этому поводу лично я могу сказать следующее: зачастую бывает сложно донести до руководства даже понимание того, что такое ИБ. Нам в этом смысле очень помогает ЦБ, поскольку все чаще и в плановых и во внеплановых проверках сейчас участвует большой «кусок» информационной безопасности. То есть проверяющие не просто требуют показать, какой политики в сфере ИБ придерживается банк, но и решения, которые он использует, и то, как организован мониторинг инцидентов, и т.д. Такой подход сильно меняет отношение руководства банка к ИБ, топ-менеджеры начинают прислушиваться к безопасникам, а не отмахиваться от них и не спускать на тормозах их предложения.

Т. АИТОВ (Торгово-промышленная палата): Я думаю, что такое понимание уже есть, поскольку по 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» наказание за нарушения, за несоответствие действий банков нормам этого документа несут два человека – генеральный директор и лицо, отвечающее за обеспечение безопасности организации. При этом при внимательном изучении этого закона становится понятным, что речь идет об очень серьезных санкциях, вплоть до уголовного преследования. И смягчать эти наказания явно никто не собирается. 

А. ВИНОГРАДОВ (Златкомбанк): Действительно, такое законодательство есть, но, с другой стороны, очень многие банки находятся в «ждущей позиции»: они рассчитывают на то, что ЦБ объяснит им, как и что делать, в соответствии со стандартами. К тому же они считают, что время еще есть как минимум до февраля 2019 года, когда надо будет отправить в ФСТЭК перечень критически важной инфраструктуры. 

А. КУРИЛО (АО «РНТ»): Если говорить о критической информационной инфраструктуре, то в этом вопросе мы действительно находимся в «ждущем режиме», поскольку оказались на перепутье. Мы обращались к ЦБ, но так и не смогли пока понять, какие системы надо вносить в перечень, потому что получили ответ – вы вносите в перечень все, а мы разберемся.

NBJ: У нас есть участники из других городов, смотрящие онлайн-трансляцию нашего круглого стола, и среди вопросов, которые они задают, есть такой: какие проблемы службы безопасности выносят на уровень правления банков? Надеюсь, что присутствующие здесь эксперты смогут ответить своим коллегам.

К. МАРКЕЛОВ (АРБ): На мой взгляд, на уровень правления вопросы ИБ первый раз поднимаются, когда проводится внешний аудит ИБ. Люди, которые занимаются аудитом информационной безопасности, особенные: они приезжают, задают, на первый взгляд, совсем простые вопросы, но, когда они начинают озвучивать свои выводы и заключения, это производит сенсационное воздействие и на внутренние службы ИБ, и на правление банков. И вот как раз после этого значимость ИБ резко возрастает в глазах топ-менеджеров, они начинают осознавать, какие риски могут возникнуть в случае пренебрежения ИБ. Так что мой совет тем коллегам, которые задали озвученный организаторами круглого стола вопрос, – уговорите руководство банка провести внешний аудит ИБ. Совсем необязательно пентест, это, скорее, уже следующий этап, просто базовый внешний аудит. И вы увидите, что после этого вопросы, связанные с деятельностью вашей службы, будут оказываться на повестке дня заседаний правлений куда чаще, чем до этого.

А. ВИЛЬДМАН (МТИ-Банк): Говорить о том, что надо повышать роль служб безопасности, на мой взгляд, не слишком актуально. Почему вместо этого у нас не возникает вопрос, как улучшить эффективность выполнения 115-ФЗ? Потому что все знают, чем могут закончиться нарушения. В конечном счете все упирается в деньги и в менеджеров, которые готовы внедрять любые продукты и технологии, не слишком задумываясь над тем, насколько защищенными они являются. И пока банки   не наказывает за это регулятор, ничего в отношении руководства банков к службам ИБ в частности и к теме обеспечения информационной безопасности в целом не меняется, за редким исключением.

В. ОКУЛЕССКИЙ (ООО «ЦИБИТ»): В Банке Москвы все значимые вопросы в сфере ИБ выносились на рассмотрение правления банка с завидной регулярностью – как минимум раз в два месяца. Многие вопросы также рассматривались в рамках ключевых комитетов по управлению рисками, по развитию бизнеса и т.д. 

Главное, что я хотел бы сказать, заключается в следующем: значимость информационной безопасности прямо пропорциональна уровню развитию самого банка. Если в нем достаточно зрелые процессы управления бизнесом и ИТ, то информационная безопасность не скажется на положении менеджера при реализации процесса внедрения какой-либо ИТ-системы или при разработке нового продукта. Поэтому, если вы хотите, чтобы роль ИБ была достаточно значительна, работайте над тем, чтобы степень зрелости всех остальных процессов в банке, в первую очередь сопряженных с ИБ, тоже была высокой. Понятно, что в данном контексте речь идет об ИТ, о рисках, о выполнении всех задач, связанных с ДБО, о борьбе с мошенничеством и т.д.

Возвращусь к вопросу о развитии основных направлений стандартизации в сфере ИБ. Мы говорили про шесть из них. В первую очередь речь идет о стандартах по защите информации, о базовом наборе требований к организационно-техническим мерам (575801) и о новом стандарте 575802, который должен быть утвержден во втором квартале текущего года. С введением второго стандарта можно ожидать изменений в 382-П в части ссылок на выполнение стандарта 575801. Вторая группа – это стандарты по обеспечению информационной безопасности при управлении рисками. Она включает в себя три документа: общие положения, оценка соответствия им и порядок проведения аудита. Третья группа стандартов – все, что касается аутсорсинга использования информационных сервисов. Четвертая группа – самая широкая: она включает в себя стандарт по управлению инцидентами, по взаимодействию с FinCert и т.д. Пятая группа – стандарты по обеспечению непрерывности бизнеса, и последняя группа – это управление киберрисками. В целом мы видим, что развитие стандартизации идет по одинаковой схеме: формулирование общих требований, набор мер, необходимых для соответствия им, а также система оценки соответствия при выполнении этих требований. 

А. ВИЛЬДМАН (МТИ-Банк): Если бы затраты касались только ИБ, то все было бы легче. Проблема в том, что достаточно много сотрудников банков занимаются отчетностью, контролем клиентов, проверкой их контрагентов и т. д., то есть, собственно говоря, не тем, что является их профильной деятельностью. И ирония судьбы в том, что появление, например, системы межведомственного электронного взаимодействия (СМЭВ) не улучшает эту ситуацию: мы должны все время проверять клиентов, при этом у нас нет постоянного доступа, например, к налоговой базе и не только к ней. Потом нас наказывают за различные ошибки и неточности, а они чаще всего возникают не из злого умысла и не из-за ошибок сотрудников банков, а в силу несовершенства тех информационных ресурсов и баз, к которым вы вынуждены обращаться в своей работе.

А. САБАНОВ (компания «Аладдин Р.Д.»): Я согласен с тем, что банкам все чаще и во все больших объемах делегируют функции, которые они выполнять не должны. И справедливо было отмечено, что это связано в том числе с «замечательной» работой наших государственных информационных систем, той же ЕСИА. Я на различных площадках неоднократно задавал вопрос, кто конкретно отвечает за безопасность данных в ЕСИА. Ответа каждый раз нет. И меня это удивляет, потому что это как раз тот вопрос, к которому государство должно относиться очень трепетно, поскольку это в конечном счете вопрос о доверии к государственным информационным ресурсам.

Надо понимать философию вопроса. Информационная безопасность – это не только набор подходов, техник и мер, это та сфера, где зачастую возникает то, что я называю «сумасшедшими вероятностями». То есть ситуации, которые невозможно просчитать даже при самом тщательном и продуманном подходе к обеспечению ИБ. Мы можем «обложить» организацию защитными мерами со всех сторон, но это все равно не будет служить стопроцентной гарантией того, что атака не произойдет, а если состоится, то не будет успешной. 

Давайте я поделюсь с вами маленьким наблюдением, почерпнутым на недавно прошедшем Уральском форуме по ИБ. Я слушал выступление представителя ЦБ на одной из сессий этого форума, он говорил о том, что регулятор готовится выставлять банкам дополнительный коэффициент резервирования по рискам в сфере ИБ. Я, как и многие другие слушатели, возмущался, а потом подумал: по всей видимости, ЦБ прав, поскольку все другие методы не работают. Призывы в духе кота Леопольда не срабатывают, и получается, что нужно изначально говорить так: у банка есть возможность не увеличить размер коэффициента резервирования по киберрискам, но только при условии выполнения требований регулятора. Мне кажется, эта схема взаимодействия может оказаться вполне работоспособной. И, конечно же, нужен внешний аудит систем ИБ. 

А. ВИЛЬДМАН (МТИ-Банк): Дело даже не в аудите, а в ответственности за него и его результаты. Как часто бывает? Приходит компания, имеющая на руках все нужные документы, радостно проводит аудит, уходит, после чего на следующий день проводится успешная атака, и на нашем пороге появляется регулятор, вопрошающий, почему это произошло. Кто несет ответственность за случившееся? Как выбирать аудитора, чтобы не возникали такие прецеденты, особенно в ситуациях, когда у многих компаний есть необходимые лицензии и внешне все выглядит так, что они вполне состоятельны с профессиональной точки зрения? Между тем некоторые из этих компаний пропускают очевидные уязвимости, а другие, напротив, стремясь подстраховаться, прописывают такие меры и «лекарства», которые не в состоянии обеспечить себе даже крупный банк.

В. ИВАНОВ (компания «Актив»): Когда кто-то что-то проверяет, получается, что его «автоматом» хотят лишить права на ошибку. Многие коллеги забывают, что внешняя проверка сильно ограничена и временем, и бюджетом. И другой важный аспект: конечно, все возможности и уязвимости не будут исчерпаны, даже если сделать проверку бесконечной по времени. 

А. КУРИЛО (АО «РНТ»): Аудиторская компания будет находиться под сильным давлением, гораздо большим, чем при проверках по СТО ИББС. Это связано с тем, что от ее подписи под результатами проверки зависит финансовое состояние кредитной организации. Соответственно, тут вопрос не только в обучении аудиторов, в их профессиональной подготовке, наличии у них опыта, чувства ответственности и т.д. Надо выстраивать такую систему взаимодействия, чтобы и человек, который ставит подпись, и компания, в которой он работает, этой подписью дорожили. Тут возникает вопрос ответственности. В свое время в ЦБ мы отсеивали как несостоятельные или неточные результаты по меньшей мере 10% от аудиторских проверок. Никаких последствий как для банков, так и для аудиторов не наступало, так как не были отработаны механизмы реализации такой ответственности. Когда возникнет такая схема, соответствующая ГК РФ, изменится и отношение к аудиту ИБ. Но сейчас можно четко сказать, что такие механизмы существуют в природе и могут быть с успехом применены.

А. ВИЛЬДМАН (МТИ-Банк): Решение на самом деле лежит на поверхности: все банки проходят аудит, и есть ответственность для аудиторских компаний. Для них существует не только 
репутационный риск, но и вопрос цены. И должна быть система внутреннего контроля, которая будет осуществлять перепроверку результатов аудита так, чтобы компания, выдавшая фальсифицированное заключение, просто-напросто вылетала с рынка с испорченной репутацией. Давайте не будем забывать, что рыночный механизм предполагает не только регулирование извне, но и саморегулирование. 

В. ИВАНОВ (компания «Актив»): Тут получаются две плоскости: добросовестности исполнителя и его возможностей. Если мы предполагаем, что коллеги, проводящие аудит, честные, то и отвечать они должны и могут за то, что было согласовано с заказчиком. А если он не заказывал проверки какой-то системы, то какова тогда ответственность аудитора, если на эту систему на следующий день после проверки совершается атака? Я еще раз повторю: любая методика, как и любая технология, имеет ограничения.

А. ВИЛЬДМАН (МТИ-Банк): Это все хорошо, когда мы говорим о добровольном аудите, но есть ведь и такое понятие, как обязательный аудит, и я говорю о нем. При добровольном подходе можно выбрать ту компанию, которую хочется, принимать те результаты, которые она выдает, и те риски, которые возникают, если выбранная тобой компания не доработала. А при обязательном аудите ситуация совсем иная. Тут в полный рост возникают вопросы ответственности за проведенный аудит, поскольку результаты этой внешней оценки уходят непосредственно в ЦБ, и регулятор на ее основании принимает те или иные меры воздействия по отношению к банку. 

В. ИВАНОВ (компания «Актив»): А если, как я уже сказал, атака происходит в зоне ответственности, не покрытой аудиторской проверкой? Не надо идеализировать механизм внешней оценки.

А. ВИЛЬДМАН (МТИ-Банк): Я хочу сказать следующее: аудит не КАСКО, но близок к тому. И понятно, что злодей всегда был, есть и будет впереди нас, мы только пытаемся догнать его. Но при этом пройдитесь по системам ИБ в малых и средних банках, там встречаются такие лакуны, что волосы дыбом встают, при этом они более чем очевидны. А эти банки тоже ведь периодически проходят через внешний аудит. 

А. САБАНОВ (компания «Аладдин Р.Д.»): Коллеги, мне кажется, что мы слишком много внимания уделяем аудиту. Давайте сойдемся на том, что аудитор проверяет соответствие систем банков определенным требованиям так же, как мы делаем это с нашими продуктами. А отсюда вывод: на аудитора надей­ся, а сам не плошай. 

А. ВИНОГРАДОВ (Златкомбанк): Давайте перейдем к следующему вопросу – новая редакция 382-П. Как ее появление может отразиться на деятельности банков? 

В. ОКУЛЕССКИЙ (ООО «ЦИБИТ»): Я сразу хочу сказать, что здесь излагаю исключительно свое частное мнение. Мы видели последнюю реинкарнацию этого документа перед тем, как он ушел на согласование в ЦБ. Я возьму на себя смелость разделить этот документ на две части – ту, которая должна быть введена в действие 1 июля 2018 года, и ту, которая должна войти в так называемые перспективные требования. В изначальной версии первой части основным изменением была прямая ссылка на стандарт 575801 и непосредственные отсылки на базовый набор требований к организационно-техническим мерам. Поскольку стандарт 575802 еще не готов, все отсылки к нему были вынесены за рамки этой самой первой части. Возможно, что случится так, что перспективная редакция выйдет раньше, чем мы ожидали.

Теперь возвращаюсь к основному документу. Главное изменение, которое он несет с собой, – организация процесса обеспечения информационной безопасности будет влиять на оценку расчета достаточности резервного капитала. И по тем материалам и выступлениям, которые были на Уральском форуме по ИБ, можно прийти к выводу, что эта оценка будет варьироваться в диапазоне от 3% до 5% в резервном капитале банков. То есть речь идет о достаточно существенных цифрах, и мы начинаем определять, какой суммой банк начинает рисковать в случае выполнения или невыполнения требований ИБ. И, что примечательно, это примерно та сумма, которая должна быть затрачена на совершенствование ИБ в банке. 

В связи с введением такой нормы объективно возникает тот вопрос, который мы только что увлеченно обсуждали, – об ИБ-аудите. Самооценка как класс уходит в прошлое, потому что здесь сразу же возникает конфликт интересов, ведь речь идет о том, какие резервы и в каком объеме должен формировать банк, чтобы покрыть свои риски в сфере ИБ. А дальше, как было совершенно справедливо сказано, требования к аудиторам ограничиваются наличием у таких компаний профильной лицензии, поэтому надо прорабатывать вопросы и ответственности аудиторов, и принятия результатов аудита Центральным банком, и еще целый комплекс тем.

Следующее направление, которое только отмечено в проекте новой редакции положения, – требования обязательного проведения сканирования уязвимостей. Все, кто работают с «пластиком», эти требования уже выполняют, поскольку они являются частью стандарта PCI DSS. Фактически вводятся те же самые правила для всех остальных банков, вот и все. 

Довольно серьезным моментом является разделение контуров формирования и подтверждения платежных поручений. Большинство банков реализовывали этот принцип изначально, тем же, кто не успел этого сделать, придется вносить коррективы в работу своих ДБО. Еще один важный момент, правда, имеющий отсрочку до 1 января 2020 года, – это сертификация платежных 
приложений со стороны Федеральной службы по техническому и экспортному контролю (ФСТЭК). Ситуация с этим довольно тяжелая, потому что на сегодняшний день таких приложений нет, а получение сертификации потребует внесения в существующие приложения очень серьезных изменений. 

В принципе, есть еще очень много технических изменений, но я на них останавливаться не буду, поскольку они не носят принципиального характера. По моей личной оценке, это своего рода революция, поскольку это полностью изменяет отношение к ИБ внутри банков. И вот это как раз и поднимет вопросы и проблемы ИБ на уровень и правления, и совета директоров. 

И. БИРУЛЯ (компания «СёрчИнформ»): Позволю себе реплику относительно платежных приложений. Сертификация ФСТЭК займет как минимум месяц, а это большие и временные, и финансовые затраты. При этом следует учитывать, что платежные программы нужно обновлять в среднем раз в год. Для бизнеса это категорически плохо.

А. ВИЛЬДМАН (МТИ-Банк): Если эта новация пройдет, то как бы это не вызвало коллапс. Понятное дело, что, во-первых, возрастет ценник и обслуживание систем ДБО будет стоить значительно больше, чем сейчас. И, во-вторых, далеко не факт, что банки успеют все сделать вовремя. Возможны сбои в работе этих приложений. И очень страшно, что в один момент все может остановиться.

В. ОКУЛЕССКИЙ (ООО «ЦИБИТ»): Для того чтобы понять, что все не так страшно, нужно просто изучить проблему. Чем больше в нее вникаешь, тем больше видишь, что ничего совсем уж нового, принципиально отличающегося от тех требований, которые регулятор выдвигал ранее, здесь нет. Если вы правильно организовывали процесс разработки и требования по ИБ включались еще на уровне формулировки задачи, а также если у вас правильно поставлена работа с выявлением и оценкой уязвимостей, то вряд ли стоит вести речь каких-то новациях. У компаниях со зрелыми бизнес-процессами, я вас уверяю, серьезных и уж тем более неразрешимых проблем не возникнет. А что изначально будет считаться платежным положением и что делать компаниям, у которых сторонний разработчик автоматизированной банковской системы отказывается идти на сертификацию своей системы ДБО? Такие компании просто потеряют рынок.

В. КРИВОНОС (АО «БИФИТ»): Раз уж речь зашла о разработчиках ДБО, то возьму слово я. ГОСТ 57580.2 с методикой оценки соответствия уже принят приказом Росстандарта 28 марта и с 1 сентября этого года вступает в силу. Насчет того, что считается платежным приложением в рамках нового стандарта 382-П, мы писали письмо в ЦБ, и толкование, которое дал нам регулятор, следующее: таковыми являются все информационные системы банка, в которых присутствует платежная информация. Мы поспрашивали по рынку, что будет по срокам и по стоимости, если мы захотим сертифицировать те системы, которые разрабатывает наша компания, и получили ответ, что нам понадобится для прохождения этого процесса минимум три месяца, а цифра будет с шестью нулями.

А. ВИНОГРАДОВ (Златкомбанк): Идем дальше. Теперь у нас на повестке дня анти-DDOS системы, сложности их внедрения, перспективы их развития, их глобальность и т.д. 

В. КРИВОНОС (АО «БИФИТ»): Мы сейчас сертифицируем свое решение по защите от DDOS-атак. Когда мы разрабатывали технические условия по его сертификации, искали нормативные документы, содержащие требования по защите от таких атак, и нашли только одно требование в приказе ФСТЭК № 17 по защите государственных информационных систем – мера ЗИС.22. 

NBJ: Вопрос от наших участников онлайн: кому должны подчиняться структуры ИБ?

А. ВИНОГРАДОВ (Златкомбанк): Классической схемы для большинства банков сейчас в этом вопросе нет. Есть информационная безопасность, подчиняющаяся департаменту управления рисками, есть случаи, когда ИБ находится в ведении отдела экономической безопасности, являясь его составной частью. Есть ситуации, когда такие службы независимы, а их руководители подчиняются непосредственно председателю правления. Так что, повторюсь, общей схемы для всех тут не выработано.

А. КУРИЛО (АО «РНТ»): Сложно сказать, кому должна подчиняться служба ИБ. Я могу сказать, кому она не должна подчиняться, причем, по моему убеждению, категорически не должна. Речь идет о департаменте ИТ, поскольку в данном случае возникают стеснения для ИБ и с точки зрения практической деятельности службы, и с точки зрения финансирования и подчинения ее целей задачам информатизации, что неправильно.

К. КЕРЦЕНБАУМ (независимый эксперт): По моим наблюдениям, нет ничего хорошего и в ситуации, когда служба ИБ входит в состав отдела экономической безопасности. Причина возникающих при этом осложнений в том, что экономическая безопасность – это бывшие сотрудники МВД и ФСБ, и вникать в вопросы информационной безопасности они не только не могут, но и не хотят. Мое личное мнение – лучше выделять ИБ в качестве отдельной службы. Что касается модели «ИБ подчинено ИТ», то такого точно быть не должно, мы, как безопасники, не сможем нормально работать под контролем тех, кого проверяем. 

В. ОКУЛЕССКИЙ (ООО «ЦИБИТ»): Мой опыт работы в Банке Москвы показал следующее: сначала служба информационной безопасности там подчинялась СВК – службе внутреннего контроля. Но, как только стал вопрос о проверке деятельности собственников банка, информационная безопасность тут же была выведена в отдельную структуру. В принципе, я считаю, что подчинение службы ИБ СВК – это положительный опыт, но имеющий одну особенность, точнее, один неразрешимый момент: кто в таких случаях будет контролировать проверяющих, если речь идет о СВК. Что касается совмещения ИТ и ИБ, то и такой опыт у меня был, только в моем случае не ИБ подчинила ИТ, а служба ИТ вошла в состав службы ИБ. И я должен сказать, что каких-то неразрешимых конфликтов или противоречий у нас не возникало.

К. КЕРЦЕНБАУМ (независимый эксперт): Мне кажется, что при поиске ответа на этот вопрос стоит смотреть на западный опыт. Что мы видим там, особенно когда анализируем информацию о крупных корпорациях? Налицо тенденция к разделению информационной и кибербезопасности. В крупных банковских группах оно уже произошло на уровне структур, и они подчиняются либо советам директоров, либо правлениям. Идея подчинения служб ИБ отделам ИТ, к счастью, ушла в прошлое у них, и я уверен, уйдет и у нас. 

А. ВИНОГРАДОВ (Златкомбанк): Давайте во второй части нашего круглого стола уделим больше внимания такой актуальной проблеме, как аутентификация  и идентификация, в том числе биометрическая, поскольку это очень многоаспектная тема.

А. САБАНОВ (компания «Аладдин Р.Д.»): Я хотел найти банки, которые рассказали бы о своем опыте в биометрической идентификации, причем пытался не только самостоятельно решить эту задачу, но и с помощью регулятора. К сожалению, результат оказался нулевым. Проблема же в следующем: когда создается единая биометрическая система, где наши с вами данные будут находиться под защитой, построенной по непонятным нам принципам, то очень сложно прогнозировать будущее. Ссылки на то, что все это по заказу регулятора, и на то, что Ростелекому не дают правильно защитить эти данные, – это все от лукавого. Надо же понимать, что это вопрос национальной безопасности, поскольку речь идет о биометрических данных всех наших дееспособных граждан. Что меня удивляет? То, что к решению этой задачи не привлекают специалистов по информационной безопасности, по идентификации и аутентификации, в том числе тех, которые знакомы с международной теорией и практикой решения этих задач. 

Еще несколько моментов. Во всех международных стандартах значится: когда речь идет об идентификации и аутентификации, должны быть более высокими требования к сетевому доступу. У нас же все с точностью до наоборот – они смягчаются и снижаются. И я надеюсь, что ситуацию можно исправить, но при условии, что в процессе выстраивания этой защиты будут участвовать ФСБ и ФСТЭК. И будут четко прописаны ограничения на использование этих данных.

Д. ГОРЧАКОВ (ПАО «Ростелеком»): Сейчас как раз согласовываются те вопросы, которые вы подняли.

А. САБАНОВ (компания «Аладдин Р.Д.»): Да, конечно, но дьявол, как обычно, в деталях. Знаете, как это обычно бывает? Ура, мы сертифицировали решение, его можно применять. А кто-нибудь смотрел, какие есть ограничения на использование этого сертификата? 

Д. ГОРЧАКОВ (ПАО «Ростелеком»): Есть наше видение того, как должно быть организовано рабочее место, как должны происходить снятие биометрического образца и удаленная биометрическая идентификация. Эти вопросы сейчас находятся на согласовании регуляторов.

А. САБАНОВ (компания «Аладдин Р.Д.»): Охотно верю. Во всем мире нет единства между регуляторами, это раз. Второе – те стандарты, которые у нас имеются на сегодняшний день, касаются только биометрической технологии с точки зрения ее использования. То есть речь идет о рассмотрении образцов, контроле качества и т.д. Но о применении биометрии для получения доступа к той или иной системе международных стандартов ничего не говорится. Мы хотим быть в этом вопросе впереди планеты всей и сразу поставить эксперимент над всеми нашими трудоспособными согражданами. Это первое. Второе – те разработки, которые сейчас ведутся, как правило, используются для разблокирования доступа к аутентификатору в лице закрытого ключа. Но для этого у вас должна быть доверенная среда. А без нее получается детский сад, где предлагается идентификация по селфи, по голосу. И тогда будут введены некие упрощенные требования, что мне, как разработчику стандартов по идентификации и аутентификации, очень не нравится: может возникнуть большая «дыра» в системе информационной безопасности. 

А. ВИЛЬДМАН (МТИ-Банк): Мы говорим о том, как все это будет выгодно банкам, как это будет удобно клиентам, а почему никто не задается вопросом, что будет в случае компрометации 
биометрических данных? Получается, у нас нет никаких гарантий, что какой-нибудь несчастный человек, живущий, например, в отдаленном регионе, завтра не станет держателем огромного количества счетов, с которых будет осуществляться финансирование терроризма, при этом сам не имея ни малейшего представления об этом. И это только по причине того, что его биометрические данные были скомпрометированы, причем на всю оставшуюся жизнь. Такие прецеденты невозможны или, скажем так, крайне маловероятны, когда человек приходит в банк с паспортом, но зато они более чем реальны, когда речь идет об удаленной идентификации по биометрическим образцам. И что тут делать? Если бы разработчики таких решений отвечали за подобные прецеденты своей репутацией или своим имуществом, если бы им предписывалось делать в таких случаях взносы в фонд выплат компенсаций для пострадавших от удаленной идентификации, было бы совсем другое дело. Но ведь никакой компенсации или реабилитации для таких пострадавших не предусмотрено. 

В. ИВАНОВ (компания «Актив»): Коллеги, биометрические данные – в частности, лицо и голос – это то, что человек не в состоянии контролировать с точки зрения распространения. Уже на сегодняшний день существуют алгоритмы, способные генерировать любые фразы, причем с нужной интонацией, по достаточному количеству сэмплов. «Сделать лицо» – тоже не проблема, причем злоумышленникам удается обходить даже систему идентификации по лицу компании Apple. Почему такие явления не являются пока распространенными? Потому что за этим пока «не лежат» деньги, но практически вся технологическая база к тому, чтобы это приняло широкие масштабы, уже готова. Это первый момент, который я хотел бы отметить.

Второй момент – у нас действительно нет стандартов по биометрии, а нет их – нет и оценки соответствия им. Отсюда вопрос: как в этих условиях мы можем судить об эффективности тех решений в области биометрии, которые предлагают вендоры? Никак. Да, проводятся международные конкурсы среди биометрических систем, но их результаты не могут рассматриваться в качестве оценки соответствия. Получается, мы строим национальную биометрическую платформу на заверениях вендоров и регуляторов, которые почему-то верят утверждениям вендоров.

А. СИЗОВ (компания «Инфосистемы Джет»): С одной стороны, безопасность биометрических методов является очень актуальным вопросом, но с другой – надо понимать, что это сервис. Банки сами 10-15 лет назад выбрали схему подтверждения платежных поручений для физических лиц через СМС. Спустя время эти в общем-то неплохие схемы были скомпрометированы и понимание уровня риска при их использовании изменилось. И тут то же самое: в конце концов, все будет зависеть от того, как те или иные банки будут использовать биометрические данные. Одни – только для идентификации, другие – для доступа к персональным данным, третьи –для более критичных действий. Нельзя назвать применение биометрии для банковского сегмента однозначно либо плохим, либо хорошим. Нужно понимать, где и как она будет использоваться.

В. ИВАНОВ (компания «Актив»): Вы не смотрите на перспективу. Да, сегодня при отправке сумм, не превышающих 10 тыс. рублей, риски невелики. Что будет дальше, когда биометрическая идентификация станет обязательной и ей будут верифицироваться любые операции на разные суммы? Вот тогда и поговорим, и вряд ли мы будем так спокойно рассуждать о вероятности компрометации биометрических данных. 

А. КУРИЛО (АО «РНТ»): Я бы еще добавил, что маленькая сумма сегодня может завтра стать очень большой, если речь идет, например, о просроченном займе, выданном микрофинансовой организацией под большие проценты. И второй момент, точнее, вопрос, на который я хотел бы обратить ваше внимание: известно, что все биометрические показатели меняются. В связи с этим возникает проблема модернизации этих данных: с какой периодичностью она должна производиться, как будет выглядеть схема модернизации?

Д. ГОРЧАКОВ (ПАО «Ростелеком»): Тут предполагаются разные варианты. Если изменения незначительны, то наличие нового образца необязательно, если они критичны, то да, потребуется снятие нового образца. Сейчас предполагается, что срок жизни образца будет составлять в среднем три года. Если же говорить по поводу ответственности оператора (администратора) за компрометацию данных или их использование злоумышленниками, то тут надо понимать, что регуляторы пока еще не полностью решили этот вопрос. Есть «дорожная карта» ЦБ, которая предполагает, что до 1 июля будут выпускаться необходимые подзаконные акты, поясняющие организацию различных процессов функционирования системы.

А. ГОРШКОВ (компания «Прософт-Биометрикс»): Мы занимаемся биометрией по отпечаткам пальцев и по рисунку вен ладоней. Ни та, ни другая модальность не попали в Единую биометрическую систему, поэтому пока мы не принимаем участие в ее формировании. Хотелось бы тоже задать вопрос, насколько безопасно хранение таких данных и насколько они защищены. Так как мы реализуем системы, которые занимаются учетом рабочего времени, то лучше всех знаем, насколько актуальной является проблема внутреннего мошенничества. Один из наших заказчиков попросил нас реализовать решение, предусматривающее доступ к системам по венам ладони. Планирует ли Ростелеком, как оператор и администратор Единой биометрической системы, использовать аналогичные продукты?

Д. ГОРЧАКОВ (ПАО «Ростелеком»): Это, скорее, вопрос к продакт-менеджменту системы, пока я не стал бы на него отвечать. Эти аспекты только прорабатываются, но в планах развития системы присутствует добавление новых биометрических модальностей. Могу сказать только одно: когда мы делаем нормальное рабочее место оператора, обеспечиваем защищенную передачу этих данных,  банку организация только регистрации «влетит в копеечку». И я верю, что не у всех финансовых организаций компаний найдутся необходимые ресурсы для этого. «Ростелеком» берет на себя подавляющую часть затрат на обеспечение безопасности системы. Но, как известно, качественная безопасность никогда не была и не может быть дешевой.

А. ВИНОГРАДОВ (Златкомбанк): Коллеги, как можно убедиться, мы обсудили далеко не полный перечень заявленных вопросов, и это неудивительно, потому что информационная безопасность буквально с каждым годом становится все более актуальной и разноплановой темой. Мы знаем позицию регулятора рынка по этому вопросу, которая заключается в том, что соблюдение стандартов в сфере ИБ будет не менее важным, чем соответствие требованиям к ключевым показателям финансовой деятельности банков. Поэтому я убежден в том, что это обсуждение не последнее, в рамках которого мы встречаемся, и мы еще не раз сойдемся на различных площадках, в том числе и в формате круглых столов NBJ, чтобы продолжить нашу дискуссию.    

Поделиться:
 

Возврат к списку