Аналитика и комментарии

20 октября 2016

Сергей Кузнецов: «Благодаря использованию правильных технологий защиты данных, финансовые организации могут чувствовать себя гораздо эффективнее, независимо от происходящих инцидентов»

Региональный директор по продажам решений Identity & Data Protection компании Gemalto в России и СНГ Сергей Кузнецов рассказал в интервью NBJ о роли Gemalto в цифровой трансформации компаний и банков и об использовании решений по электронной коммерции и интернет-банкингу.

NBJ: Расскажите, пожалуйста, о Вашей компании. Сколько лет она работает на рынке? Каковы основные направления ее деятельности?

Сергей Кузнецов: Компания Gemalto была создана в 2006 году в результате объединения двух лидеров в области производства смарт-карт, стоявших у истоков индустрии микропроцессорных карточных технологий, – компаний Gemplus и Axalto. До момента своего слияния обе компании развивали свой бизнес совершенно независимо друг от друга и, более того, вели между собой напряженную конкурентную борьбу, занимая первые позиции в рейтинге производителей смарт-карт. Их слияние вполне закономерно привело к появлению нового мирового лидера индустрии. 

Цель и философия бизнеса компании Gemalto – это обеспечение безопасности быстро меняющегося цифрового мира во всех его проявлениях. Будь это цифровой мир, в котором люди живут и осуществляют какие-то финансовые операции, или же общаются по телефону и посредством интернета, или же работают с большими массивами данных.

Бизнес Gemalto зиждется на нескольких основных столпах. Первое направление – это разработка, производство и поставка программно-аппаратных решений и SIM-карт для операторов мобильной связи. Второе направление – это поставка решений и карточных продуктов для банков, предприятий сферы розничной торговли, а также транспортных операторов. Третье направление – это разработка и поставка криптопродуктов, включая микропроцессорные криптокарты и различные ридеры смарт-карт. Также это направление включает в себя поставку продуктов и решений для реализации государственных ID-программ: электронные паспорта, электронные удостоверения личности и т.д. 

Впоследствии был интегрирован бизнес по производству модулей M2M (Machine-to-Machine), т.е. модулей, которые позволяют безопасно и надежно общаться между машинами, то, что сейчас называется интернет вещей. Наконец, совсем недавно в результате интеграции SafeNet и Gemalto появился огромный бизнес по защите данных, включающей в себя корпоративные решения по аутентификации, хранению и управлению криптографическими ключами и шифрованию.

Таким образом, Gemalto сегодня – это пять основных направлений деятельности, связанных с платежами, идентификацией в широком смысле слова и мобильностью.

Если говорить о финансовых результатах и масштабах бизнеса, то Gemalto в настоящее время – это больше 3 млрд евро ежегодного дохода. Это постоянно растущая рентабельность и прибыльность. Так, последняя операционная прибыль компании составила больше 400 млн евро.

Gemalto – это компания, которая находится в процессе трансформирования. Буквально 7-8 лет назад карточный бизнес, карточные продукты приносили нам подавляющий объем прибыли. Сегодня уже около одного миллиарда дохода и существенный объем прибыли приносят платформы и сервисы, программное обеспечение, а также предоставление консалтинговых услуг, услуг по оперированию определенными системами и т.д.

В компании на сегодняшний день работает 15 тыс человек.

NBJ: С какими российскими банками вы сотрудничаете? Кого можете назвать из постоянных партнеров?

Сергей Кузнецов: Фактически мы являемся поставщиком решений и услуг для большинства банков из топ-100. Наше сотрудничество осуществляется либо напрямую, либо посредством партнеров, которые используют наши технологии, если речь идет о карточных продуктах. Если же мы говорим про онлайн-банкинг, то существует пример успешного сотрудничества с банком ВТБ24, который использует и картридеры, и решение для защиты мобильного приложения. Так, в этом году компания Gemalto начала поставлять для банка ВТБ24 решение Ezio Mobile Protector – защищенное мобильное приложение, позволяющее формировать одноразовые коды (One Time Passwords, OTPs) для подтверждения операций в каналах удаленного банковского обслуживания через удобное приложение для смартфонов.

Gemalto Ezio Mobile Protector является надежным и экономически эффективным решением для аутентификации пользователей при работе с банковскими сервисами, которое сделает обслуживание клиентов чрезвычайно удобным и позволит расширить доступ клиентов к банковским услугам. Такое решение применяют банки, которые беспокоятся о безопасности вкладчиков, пользующихся мобильным банкингом.

Не так давно Gemalto купила компанию SafeNet, о чем уже упоминалось выше. Хочу отметить, что в свое время SafeNet многие называли мировым сейфом секретов, потому что она обслуживала самые секретные организации во всем мире, оказывала услуги по защите персональных данных. Наверное, наиболее значимым нашим заказчиком является SWIFT – международная система, которую мы эксклюзивно обслуживаем в плане защиты транзакционных платежей, их полного шифрования. SWIFT в очередной раз продлила цикл эксклюзивного договора с нами, что свидетельствует о том, что мы развиваемся в соответствии с ее ожиданиями. Также мы тесно сотрудничаем с другими платежными системами, например, с Visa и MasterCard.

Хочу также вспомнить о нашумевшем недавно внедрении в России практики 3D-Secur, которая является основой безопасного использования пластиковых карт. В данной технологии тоже используется наш инструментарий.

NBJ: Наш журнал недавно организовал и провел круглый стол, посвященный информационной безопасности в банковском секторе. Там среди прочих вопрос оживленно осуждалась тема рисков, присущих цифровому бизнесу. Что Вы думаете об этой проблеме? Какими Вы видите основные риски в данной сфере?

Сергей Кузнецов: Основная проблема, на мой взгляд, в том, что у нас нет законодательства, которое заставляло бы банки официально признавать факты взлома и в целом факты произошедших инцидентов в сфере ИБ. Та же проблема была и в Европе, пока не появились законы, согласно которым, если у компании произошел инцидент, и пропало какое-то количество записей, то она должна это публично признать и известить своих конечных заказчиков о потенциальных последствиях. Но работа над такими законами уже ведётся. Например «General Data Protection Regulation» (GDPR) который устанавливает правила хранения личных данных, а так же обязывает компании сообщать регулятору об инцидентах связанных с утерей данных.

NBJ: Что ей грозит в случае, если она этого не сделает?

Сергей Кузнецов: Огромные штрафы. В этом законе есть очень интересный пункт, который нам, как игроку в области зашиты информации, был по душе, и мы были очень рады, что он появился. В случае, если организация использует технологии защиты данных, в частности шифрование данных, и у нее были скомпрометированы шифрованные данные без компрометации ключа, то такой взлом можно не анонсировать. Нет такой публичной компании, которую было бы невозможно «сломать», это только вопрос времени, ресурсов и задач. В конечном итоге все работают на открытом рынке и каждый вправе решать, покупать акции компании или нет, держать деньги в том или ином банке или нет.

Благодаря использованию правильных технологий защиты данных, финансовые организации могут чувствовать себя гораздо эффективнее, независимо от происходящих инцидентов.

Уникальность компании Gemalto в том, что она предоставляет правильный инструментарий защиты. Наличие нескольких бизнесов в компании дает возможность один из них поддерживать с помощью другого, зачастую даже граней между одним и вторым практически не существует. Мы часто работаем с одними и теми же банками как бы с разных сторон, и это заканчивается тем, что у нас абсолютно единые заказчики, единые задачи, которые решаются с помощью и бизнеса, и ИТ, и безопасности.

NBJ: В онлайн-банкинге сейчас фиксируется достаточно много попыток хищений средств – иногда удачных, иногда нет. Какие способы, по Вашим наблюдениям, злоумышленники «любят» больше всего?

Сергей Кузнецов: Вы правы, говоря о том, что существуют разные способы хищений из этих систем. Например, с помощью подмены сим-карты, когда смс-пароли приходят на другой телефон и кто-то совершает определенные транзакции с денежными средствами клиента. Возможна загрузка троянов, о чем сейчас тоже много говорится, когда смс клиента перехватываются, а он даже этого не видит. Эти проблемы существуют у тех банков, у которых наибольшее количество онлайн-клиентов.

Возьмем Сбербанк. Он добился здесь значимых успехов – 80% транзакций Сбербанка происходит в электронных каналах. Он достиг некоего «золотого сечения», когда 30% его активных клиентов пользуется интернет-банкингом и из этого количества 30% – это активные пользователи мобильного банкинга. При этом следует отметить, что сейчас ситуация изменяется в пользу мобильного банкинга, появляется новая каста клиентов, использующих исключительно мобильный банкинг.

Есть проблема – при серьезной нагрузке хакерских атак на финансовые организации банковское сообщество, в том числе на уровне законодательства (нет обязательной строгой двухфакторной аутентификации), не предпринимает активных действий, чтобы поставить серьезные препоны хакерским действиям. И еще одной серьезной проблемой, на мой взгляд, является то, что злоумышленники не дремлют и изыскивают новые способы хищения денежных средств. Например, мan in the middle - это термин в криптографии, обозначающий ситуацию, когда атакующий способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты. Причем ни один из последних не может догадаться о его присутствии в канале.

NBJ: Расскажите об этой технологии подробнее.

Сергей Кузнецов: Например, человек осуществляет платеж за коммунальные услуги с банковской карты, входит в определенную систему. Он видит на экране платежку, которую заполняет, платит за услугу. На самом деле, плательщик общается не с системой, а с хакером, который находится посередине, и хакер из безобидной платежки делает совершенно иную платежку, которая выглядит очень похожей на оригинал. Но в ней будет другой счет, и другая сумма платежей.

Есть много систем с обратной связью, позволяющих установить еще и дополнительный уровень проверки, который препятствует действиям хакера. И Gemalto – одна из лидеров на рынке таких решений.

Системы с обратной связью позволяют решить ряд проблем: идентификации, авторизации и четкого понимания направления платежей. Здесь много инструментов: PKI-системы, которые могут быть реализованы на смарт-картах или системы с динамическим пином, или пин, который будет присылаться по какому-то третьему каналу связи. Вариантов множество. Важно то, что это полностью контролируемая и замкнутая система. Даже если один из ее каналов компрометируется, другие каналы подтверждения остаются вне доступа хакеров.

Смс-идентификации – это хорошо, но должны быть, кроме этого, недоступные и нетривиальные каналы идентификации.

NBJ: Насколько Ваши решения доступны для банков?

Сергей Кузнецов: Возвращаясь к коммерческой составляющей, можно отметить, что чем больше банк, тем дешевле обойдется ему такое решение. Но нужно также отметить и то, что решение по безопасности не имеет прямой цены, особенно если посчитать имиджевые потери. Американцы сделали такое исследование, согласно которому один взлом компании среднего бизнеса обходится ей от 50 до 73 тыс. долларов общих потерь.

Сколько может стоить взлом для банка? Ведь здесь подключаются еще и репутационные потери. Вы не найдете статистики по воровству в конкретном банке, но на каждой банковской конференции нам приводят цифры миллиардных потерь. Откуда они берутся? Почему об этих потерях банки официально не заявляют? Если станет известно, что банк взломан, кто же туда деньги понесет, кто будет пользоваться его банковскими системами?

Представители банков отмечают также необходимость анализировать поведенческие аспекты. Мало внедрить аутентификацию, это не будет панацеей. Сейчас все заговорили о биометрии - но она в конечном итоге перекладывается в цифры. Погрешности при использовании биометрии и погрешности при использовании цифры несоизмеримы. Это то же самое, что сравнивать цифру и аналог. В биометрии не просто возникают погрешности, они еще и мультиплицируются. Именно поэтому в широких точных системах биометрии как системы аутентификации нет.

NBJ: То есть, биометрия – тоже не панацея?

Сергей Кузнецов: Нет. Стопроцентной панацеи в принципе не существует. Можно сделать очень удобный интернет-банк, где вообще не будет никаких паролей, и который будет узнавать клиента по лицу. Можно сделать интернет-банк, который будет предлагать пользователю все возможные средства аутентификации, можно внедрить биометрические данные – поведение, мысли, голос. Такой интернет-банк будет удобным и безопасным, но при этом он будет стоить столько денег, что и у Сбербанка не хватит.

Мы имеем некие трехмерные качели: уровень безопасности – удобство для конечного пользователя – затраты для банка. Каким образом найти баланс на этих качелях не только для конкретного банка, но и для конкретного сегмента клиентов – это на сегодняшний день является существенной проблемой для банков. Здесь могут помочь, как сами банки и их аналитики, так и такие компании как Gemalto, у которых есть опыт работы и довольно большой выбор технологий, для того чтобы определить нужный баланс.

Первая проблема, которую мы обозначили, это большой наплыв злоумышленников. Вторая проблема – это нахождение компромиссов между удобством, уровнем безопасности и экономической выгодой для банков. Третья проблема вытекает из первых двух. Говоря об уровне экономической заинтересованности банков, нужно подчеркнуть, что он напрямую зависит от того, насколько активно человек использует онлайн-каналы. Для банков сегодня активный пользователь – это человек, который сделал одну транзакцию в три месяца. На наш взгляд, это фактически несуществующий пользователь. В то же время мы говорим о поколении Y, которые проводят за экраном телефона пять часов в день. Получается проблема курицы и яйца. С одной стороны, банки чтобы проинвестировать сбалансированные технологии безопасности онлайн-каналов ждут, когда к ним придет много клиентов. С другой стороны, клиенты к ним не идут, потому что система безопасности этих банков неудобна и непривлекательна для пользователей.

NBJ: Заключительный вопрос – хорошо, пусть нет стопроцентной панацеи, но наверняка есть рекомендации, своего рода правила хорошего тона в сфере ИБ. Сформулируйте их, пожалуйста.

Сергей Кузнецов: Мы верим в несколько принципиальных вещей. Во-первых, шифрование, которое связано с управлением ключами, потому что нет ничего страшнее, чем зашифровать, а потом потерять ключ. Потерянный ключ – это потерянные деньги, документы, он не может быть восстановлен, в этом суть технологии. Поэтому очевидно, нужно предоставлять не только механизм шифрования, но и механизмы управления ключами. И мы верим, что чрезвычайно важными инструментами обеспечения ИБ являются аутентификация и идентификация. По сути, перечисленное мною, - это три кита, на которых мы стоим. 

беседовала Оксана Дяченко
Поделиться:
 

Возврат к списку