Аналитика и комментарии
Информзащита собственными силами
Изменились ли задачи, стоящие перед подразделениями информационной безопасности в банках, после вступления в силу девятой статьи Закона № 161-ФЗ «О национальной платежной системе»? Кто способен принести больше вреда кредитной организации: злоумышленники, осуществляющие целенаправленные атаки на информационные системы банков, или клиенты, не уделяющие внимания безопасности конфиденциальных данных? На кого должно в первую очередь полагаться финансовое учреждение, выстраивая свою систему информационной безопасности? На эти и другие вопросы ответил в интервью NBJ заместитель директора департамента безопасности - начальник отдела защиты информации Связь-Банка Сергей КУРОЧКИН.
NBJ: Сергей, какие угрозы с точки зрения ИБ представляют сейчас наибольшую опасность и, соответственно, какие задачи стоят перед Вами, как начальником отдела защиты информации?
С. КУРОЧКИН: Если говорить об угрозах, то значительно чаще воздействие злоумышленников осуществляется на информационные системы клиентов. Не редки случаи, когда угрозой для клиента является он сам по причине невнимательности и нежелания соблюдать рекомендации банка при пользовании, например, пластиковыми картами или интернет-банкингом. В отношении задач я бы ответил на вопрос так: основной целью любого бизнеса является получение прибыли, банковский бизнес не исключение. В процессе осуществления банком своей деятельности постоянно возникают риски. Поэтому мы считаем, что наша главная задача - способствовать минимизации рисков информационной безопасности, адекватно оценивать их и прогнозировать.
NBJ: Начнем со злоумышленников: часто можно услышать, что они становятся все более изобретательными при проведении атак. Вы согласны с этим наблюдением?
С. КУРОЧКИН: Не совсем. Крупные атаки на информационные системы банков достаточно редки. Куда чаще мы сталкиваемся с попытками завладеть денежными средствами клиентов с помощью похищенных паролей, ПИН-кодов и т.п. Этому есть разумное объяснение: готовить и осуществлять крупную атаку на инфраструктуру финансового института, на его информационные системы экономически не целесообразно. Причина проста: банк технически и организационно хорошо подготовлен к противодействию атакам, в том числе и потому, что находится под жестким контролем регулятора. Получается, что гораздо проще и экономически выгоднее воздействовать на другую сторону - на потребителя банковских услуг, поскольку он априори является наименее защищенным звеном в этой цепочке.
NBJ: Но атаки на одиночек-потребителей вряд ли могут сулить злоумышленникам большие доходы.
С. КУРОЧКИН: А это та самая ситуация, когда курочка по зернышку клюет. Конечно, здесь многое зависит от того, против какого клиента проводится атака. Не стоит полагать, что страдают от таких действий злоумышленников исключительно физические лица. Юридические лица также не всегда отличаются дисциплинированностью при соблюдении рекомендаций по обеспечению информационной безопасности. Понятно, что атака на юрлицо может оказаться куда более прибыльной для мошенников, чем воздействие на клиентов-физлиц.
NBJ: Как известно, с 1 января 2014 года вступила в силу 9 статья 161-ФЗ, о «вредоносности» которой столько говорили банкиры. Время объявлять траур или надо начинать спешно совершенствовать свои системы безопасности?
С. КУРОЧКИН: Я думаю, серьезные банки уже совершили все необходимые действия и подготовились к вступлению в силу 9 статьи 161-ФЗ. Во всяком случае, могу сказать, что после изучения глубокого смысла формулировок этой статьи готовиться пришлось и с технической, и с организационной точки зрения.
NBJ: Последнее было необходимым?
С. КУРОЧКИН: Конечно. К сожалению, статья не дает однозначного и полного ответа на ключевой вопрос: какие способы информирования клиента являются достаточными, а какие нет? Также без ответа остался вопрос о том, каковы обязанности клиента по отношению к банку. Дело в том, что одна из наиболее часто возникающих проблем - актуальность клиентских данных. Стандартная ситуация: человек был зарплатным клиентом одной кредитной организации, потом перешел на обслуживание в другую, но оставил себе старую карту. После этого он переехал, сменил номер телефона. В банке, где когда-то был зарплатный проект компании, в которой он работал, он не появлялся несколько лет, поскольку не придал значения необходимости оповестить ряд инстанций об изменении его контактных данных. В результате возникает ситуация, как в мультфильме «Каникулы в Просток-вашино»: ты зайца сфотографировал, а теперь еще два дня за ним будешь бегать, чтобы фотокарточки отдать.
NBJ: И как решаются такого рода проблемы?
С. КУРОЧКИН: В нашем банке постоянно ведется работа по актуализации клиентских данных и достаточно давно организовано SMS-информирование по операциям, проведенным клиентами.
NBJ: SMS-информирование - очень интересный вопрос, поскольку часто можно услышать жалобы банкиров, что такое информирование в нормальном режиме невозможно, потому что мобильные операторы не несут никакой ответственности за своевременную передачу сообщений.
С. КУРОЧКИН: Это действительно пробел в нашем законодательстве. На мой взгляд, мобильные операторы, конечно, должны нести ответственность, если они по каким-то причинам своевременно не передали клиенту сообщение о совершенной операции. Сейчас ситуация такова: если со счета клиента утекли средства, то за это должен заплатить банк. Естественно, это не может устраивать участников банковского рынка.
NBJ: В то же время можно отметить, что внимание банков к нестандартным операциям, проведенным клиентами, повышается.
С. КУРОЧКИН: Да, конечно. В нашем банке внимание этому уделяется уже достаточно давно. В частности, ведется круглосуточный мониторинг операций по картам, и если оператор выявляет признаки нехарактерной операции, то он незамедлительно пытается связаться с клиентом. Но тут мы возвращаемся к вопросу, который уже обсуждали ранее - актуальность клиентских данных. В случае их неактуальности и, как следствие, невозможности связаться с клиентом есть весьма действенный инструмент - блокировка карты, по которой осуществляется нестандартная операция. Понятно, что обнаружив факт блокировки, клиент свяжется с банком сам.
NBJ: С другой стороны, это достаточно радикальная мера, и, наверное, клиенты не в восторге от нее.
С. КУРОЧКИН: В большинстве случаев клиенты понимают, что временные неудобства лучше, чем потеря средств в результате их хищения.
NBJ: Мы с Вами обсуждаем пока проблемы, связанные с наличием внешних угроз. Но ведь есть и такая вещь, как внутренние угрозы - риск утечки персональных данных клиентов или их средств в результате либо злонамеренных действий сотрудников, либо их халатности и непрофессионализма. Насколько актуальна эта проблема?
С. КУРОЧКИН: Некоторые компании, специализирующиеся на противодействии утечкам информации, в своих исследованиях называют данную угрозу основной. Мне сложно оспорить или согласиться с этим по следующим причинам. С одной стороны, подобные компании заинтересованы в продвижении своей продукции, поэтому они могут преувеличивать размер бедствия. С другой - внутренние угрозы реализуются не часто, но могут принести ощутимый ущерб. Именно по данной причине внутренние угрозы не следует списывать со счетов.
NBJ: Наверное, этого действительно не стоит делать хотя бы потому, что такие угрозы в случае их реализации все же способны нанести банку больший ущерб, чем разовые хищения средств с карт клиентов.
С. КУРОЧКИН: Да, конечно. Именно поэтому большое внимание уделяется разработке превентивных мер предотвращения внутренних угроз. И здесь я хочу воздать должное тем, кто писал СТО БР ИББС: в стандарте заложен совершенно верный принцип минимизации и разделения полномочий сотрудников. Реализация этого принципа позволяет серьезно снижать риск возникновения внутренних угроз в банках.
NBJ: Насколько мне известно, в СТО БР ИББС также прописаны методики определения уровня информационной безопасности в банках. Если не секрет, какому из этих уровней соответствует информационная защита в Связь-Банке и с какой периодичностью проводится самооценка в вашем банке?
С. КУРОЧКИН: Что касается оценки, то мы проводим ее так, как рекомендует стандарт - раз в три года. Предыдущую оценку соответствия стандарту мы проводили почти три года назад. Сейчас планируем ее повторение. Надеюсь, что по завершению данной процедуры мы увидим улучшение показателей.
NBJ: А как проводится оценка уровня защищенности в вашем банке - самостоятельно или с привлечением внешних аудиторов и взломщиков?
С. КУРОЧКИН: Мы полагаемся на мнение профессионалов, поэтому привлекаем внешних аудиторов из состава некоммерческого партнерства «Сообщество пользователей стандартов по информационной безопасности АБИСС». Уверен, что данный подход позволяет провести более объективную оценку состояния нашей системы информационной безопасности.
NBJ: Вы сказали, что приходится искать компромисс между расходами на обеспечение безопасности и экономической целесообразностью. Какова динамика этих расходов, можно ли сказать, что они за последние несколько лет существенно выросли?
С. КУРОЧКИН: Тут есть несколько немаловажных аспектов. Если брать горизонт последних десяти лет, то нужно учитывать, что за данный период информационные технологии в своем развитии сделали далеко не один большой шаг вперед. В этой связи изменились и методики воздействия злоумышленников как на людей, так и на технические средства. Второй аспект - в 2008 году страна пережила известный кризис. Он наложил серьезный отпечаток на банки, в том числе и на Связь-Банк. Как следствие, изменился и подход к вопросам обеспечения информационной безопасности в банке.
NBJ: В лучшую сторону?
С. КУРОЧКИН: Да. Нашим основным акционером стала государственная корпорация. В целом внимание к вопросам обеспечения ИБ стало более пристальным.
NBJ: Еще один вопрос, связанный со статусом банка: как фактически государственной кредитной организации, ей легче общаться с правоохранительными структурами по вопросам противодействия мошенничеству в сфере информационной безопасности? Не секрет, что многие банки сетуют на то, что для них подобное взаимодействие оказывается недостаточно эффективным.
С. КУРОЧКИН: Это вопрос не структуры капитала или собственности, а вопрос ожиданий. Я думаю: ощущение недостаточной эффективности данного взаимодействия напрямую связано с тем, что банки ожидают от правоохранительных органов чудес оперативности. Лично я считаю: надо быть реалистом и отдавать себе отчет в том, что не каждый сотрудник МВД или ФСБ в состоянии сделать невозможное.
NBJ: Я так понимаю, еще одна проблема заключается в том, что нет рычагов законодательного воздействия на мошенников в сфере информационной безопасности. Иными словами, если человек украл кошелек в трамвае, то понятно, как его действия классифицируются и наказываются. А если он увел средства с карточки банковского клиента или взломал информационную базу банка?
С. КУРОЧКИН: Практика показывает, что злоумышленники в таких случаях отделываются либо штрафами, либо условными сроками. Кстати, бывает и так, что они охотно возмещают нанесенный ущерб, и тогда, как вы понимаете, исчезают основания для предъявления к ним претензий.
NBJ: Весьма логично: ущерб они возмещают, например, одному держателю карты, а сколько они обобрали до этого - большой вопрос.
С. КУРОЧКИН: Совершенно верно, поэтому в сфере информационной безопасности банкам приходится надеяться прежде всего на себя.
NBJ: А на разработчиков, предлагающих различные решения в сфере ИБ?
С. КУРОЧКИН: В меньшей степени. В данном случае я говорю не о качестве отдельных предложений, а о том, что у каждого банка есть свои особенности бизнес-процессов, поэтому готовый рецепт для обеспечения их безопасности со стороны получить невозможно. Кроме того, ни один специалист компании-разработчика не может знать и предугадать все потребности кредитной организации по одной простой причине - он не телепат. Информацией в полном объеме может владеть только сотрудник банка. Если он в состоянии эту информацию аккумулировать, проанализировать и правильно изложить интегратору - вот тогда и становится возможным эффективное внедрение. В противном случае - нет.
NBJ: То есть решения, предлагаемые разработчиками, априори стандартизированные?
С. КУРОЧКИН: Конечно. Одно и то же решение может на 90% подойти одному банку и гораздо в меньшей степени - другому. Поэтому практически всегда необходима адаптация системы на этапе внедрения, а вот размер этой адаптации уже зависит от того, насколько правильно и точно заказчик, то есть банк, донес до подрядчика свои пожелания.
NBJ: Но я так понимаю, Связь-Банк все же приобретает решения внешних подрядчиков. Практика самописных баз и систем окончательно ушла в прошлое?
С. КУРОЧКИН: Законодательство не запрещает использование «самописок», но указывает, что разработка решений и оказание клиентам услуг с применением криптографических средств подлежит лицензированию. Банку не нужно становиться лицензиатом, у него другие задачи, поэтому выгоднее выбрать одно из предложений и внедрить разработку внешнего подрядчика.
NBJ: На рынке есть разные подходы к выбору как интегратора, так и решений. Например, многие банки гордятся тем, что тот или иной продукт в сфере ИБ они внедрили первыми. Связь-Банк когда-нибудь выступал пионером?
С. КУРОЧКИН: Пожалуй, один раз. Речь идет о внедрении системы высокоскоростного шифрования информации при передаче ее в оптических средах между строившимися тогда новыми основным и резервным центрами обработки данных. В некотором роде мы стали первопроходцами, установив в 2010 году на магистральных оптических каналах связи шифраторы на тот момент еще малоизвестной на российском рынке австралийской компании Senetas. Надо отметить, что в данном случае приходилось рисковать, поскольку такие системы в России ранее никем еще не внедрялись. Однако риск оказался оправдан: уже три года на скорости света - полет нормальный.
NBJ: И все же когда выбирается решение, на что Вы в первую очередь обращаете внимание: на цену, функциональность, репутацию разработчика, другие моменты?
С. КУРОЧКИН: Что касается репутации, то я бы не стал недооценивать значимость этого критерия. Немалое значение имеют наличие экспертного мнения, возможность посмотреть, как выбранные продукты зарекомендовали себя после их внедрения в других организациях. Если говорить о конкретике, то в данный момент, например, у нас в банке используются решения различных разработчиков: наша АБС построена на платформе ЦФТ, определенные продукты мы приобретали у компании BSS.
NBJ: Вы предпочитаете приобретать продукцию отечественных производителей, решения иностранных интеграторов слишком дорогие?
С. КУРОЧКИН: Дело не в цене, а в том, что разработки российских производителей более адаптированы к изменениям в нашем законодательстве. Практика показывает, что нет оснований надеяться на то, что в системах зарубежного производства смогут так же эффективно отслеживаться изменения в российском законодательстве и регулировании. Обычная практика такова: «западники» создают систему, а ее адаптацией под российские реалии занимаются уже их партнеры - российские компании.
NBJ: Тем не менее цена решения, наверное, важна?
С. КУРОЧКИН: Конечно. Но куда важнее соотношение «цена - качество». Не много радости будет, если банк приобретет дешевое решение, а потом при его внедрении и адаптации возникнут проблемы. С другой стороны, кредитно-финансовые организации должны уметь регулировать свои расходы, и здесь не имеет значения, идет ли речь о банке с государственным участием или о стопроцентно частном учреждении.