УЧАСТНИКИ «КРУГЛОГО СТОЛА», ОРГАНИЗОВАННОГО НБЖ ПРИ СОДЕЙСТВИИ АРБ:
Евгений АКИМОВ, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»;
Юлия АКСЕНОВА, руководитель департамента методологии и корпоративного управления ООО ИКБ «Совкомбанк»;
Александр ВЕЛИГУРА, председатель Комитета АРБ по банковской безопасности;
Павел ГОЛОВЛЕВ, начальник управления безопасности информационных технологий СМП Банка;
Дмитрий ГОРЕЛОВ, коммерческий директор компании «Актив»; Валерий ДАВИДЕНКО, заместитель генерального директора Network Systems Group (NSG);
Сергей ДРАГАЙЦЕВ, начальник управления ИТ КБ «РИАБАНК»; Сергей ЗАХАРОВ, главный специалист управления информационной безопасности Банка УРАЛСИБ;
Олег КАЗАКЕВИЧ, советник президента АРБ по вопросам безопасности;
Карен КАРАГЕДЯН, директор по продажам в России, СНГ и странах Балтии Stonesoft;
Валерий КРУТСКИХ, генеральный директор ЗАО «МТТ Контрол»;
Юлия КУЗНЕЦОВА, руководитель департамента по связям с общественностью ЗАО «МТТ Контрол»;
Сергей ПАВЛОВСКИЙ, начальник управления технических средств безопасности и режима ОАО КБ «АГРОПРОМКРЕДИТ»;
Константин ПЕБАЛК, начальник отдела ИТ ЗАО КБ «Свенска Хандельсбанкен»;
Юрий ПТИЦЫН, вице-президент ОАО «Московский Индустриальный Банк»;
Дмитрий РОМАНЧЕНКО, директор Центра технологий безопасности IBS;
Андрей САВУШКИН, начальник управления безопасности автоматизированных систем и корпоративной сети ОАО Национальный банк «ТРАСТ»;
Артем СЫЧЕВ, заместитель директора департамента безопасности - начальник управления информационной безопасности ОАО «Россельхозбанк»;
Роман ЧАПЛЫГИН, руководитель отдела информационной безопасности банка «ДельтаКредит»;
Евгений ЦАЛЬП, вице-президент Независимого Строительного Банка;
Антон ШАШЛОВ, главный инженер-программист Межрегионального центра информатизации Банка России;
Ольга ШВИЛКИНА, заместитель начальника УИТ по информационной безопасности Межтопэнергобанка;
Владимир ШИКИН, советник председателя правления ООО ИКБ «Совкомбанк»;
Александр ШУБИН, главный специалист отдела информационной безопасности автоматизированных банковских систем службы информационной безопасности банка «Возрождение»;
Константин ШУРУНОВ, пресейл-эксперт Quest Software;
Арам ХАЧАТУРЯН, руководитель направления Quest Software компании «MERLION»;
Иван ЯНСОН, заместитель руководителя службы информационной безопасности Промсвязьбанка;
Николай ЯРОШИНСКИЙ, технический директор Network Systems Group (NSG).

ВЕДУЩИЕ:
Анастасия СКОГОРЕВА, главный редактор НБЖ;
Оксана ДЯЧЕНКО, заместитель главного редактора НБЖ.

100-ПРОЦЕНТНАЯ ИБ - ИЛЛЮЗИЯ. ПРИБЛИЖЕНИЕ К ЭТОМУ УРОВНЮ -РЕАЛЬНОСТЬ

НБЖ: Наверное, ни у кого из участников банковского сектора не вызывает сомнений, что обеспечение информационной безопасности финансово-кредитных организаций - очень актуальная тема, важность которой постоянно возрастает. В связи с этим хотелось бы начать заседание нашего «круглого стола» с вопроса, возможно ли, в принципе, обеспечить 100-процентную информационную безопасность банков, или это - априори иллюзия? Если возможно, то какие существуют пути и средства достижения этого?

О. КАЗАКЕВИЧ: На мой взгляд, вопрос сформулирован не совсем корректно по одной простой причине. Мы, как представители банковского сообщества, знаем, что в настоящее время нет точного и полного определения, что же это такое - информационная безопасность. А если так, то о каком 100-процентном обеспечении безопасности можно говорить?

Второй аспект, который банковские специалисты мало учитывают и который хотелось бы затронуть, - вопросы инсайда. Последние исследования, которые проводились по просьбе АРБ Академией народного хозяйства, наглядно показали, что 40% инцидентов в автоматизированных банковских системах связаны с внутренними проблемами, и в первую очередь, с проблемами инсайда.

Третий аспект - не надо забывать, что мы работаем в заведомо недоверенной среде. Поэтому говорить о 100-процентном обеспечении информационной безопасности - значит, тешить себя иллюзиями.

НБЖ: Хорошо, нет четкого определения, что такое информационная безопасность. Тогда возникает вопрос - с чем же работают специалисты профильных департаментов и управлений банков?

О. КАЗАКЕВИЧ: По большому счету, с защитой информации.

А. СЫЧЕВ: Я бы сказал так: задача, которую решает любое профильное подразделение банка, - это защита экономических интересов банка, интересов его клиентов и владельцев. Сделать эту задачу абсолютной в масштабах финансово-кредитной организации, наверное, было бы не совсем правильно, потому что основная цель любого банка - это получение прибыли от предоставления банковских услуг. Я согласен с Олегом Юлиановичем (Казакевичем - прим. ред.), что сделать работу банка абсолютно безопасной невозможно, в ходе банковской деятельности риски возникают постоянно. В какой момент реализуется тот или иной риск, какой из рисков в тот или иной момент будет иметь наибольшее значение, мы с вами с точностью до микрона предугадать не можем. Поэтому свою задачу мы видим в том, чтобы способствовать минимизации рисков, адекватно оценивать и прогнозировать риски.

А. ШУБИН: Риски - действительно очень важный момент. Банк проводит для себя определенную оценку рисков и решает, какие из них он принимает, а каких пытается избежать. Если эти риски второй категории сведены к минимуму, значит, можно сделать вывод, что информационная безопасность в банке обеспечена в достаточной степени. И тогда условно -  подчеркиваю, условно - можно говорить об обеспечении 100-процентной безопасности.

«ЧЕЛОВЕЧЕСКИЙ ФАКТОР» ШИРЕ, ЧЕМ ИНСАЙД

В. КРУТСКИХ: Не думаю, что нам стоит углубляться в вопрос об определении, что такое 100-процентная безопасность, -   лучше попробовать понять, какие риски мешают обеспечению такой безопасности. Думаю, коллеги согласятся со мной, что существует некий «джентльменский набор», с помощью которого риски сводятся к допустимому минимуму. И возникает вопрос - сохранять этот «набор» или обратить внимание еще на какие-то существующие риски?

Полностью разделяю точку зрения, высказанную г-ном Казакевичем: «всплывает» новый слой, который он определил как инсайд, а я бы назвал шире - человеческий фактор. Вопрос -что с этим делать? На сегодняшний день большинство банков отвечает на этот вопрос так: надо написать больше правил, как надо и как не надо себя вести. Но на практике совершенно очевидным становится, что эти правила не работают. Поражает простота, с которой преодолеваются   сложнейшие  алгоритмы шифрования - когда просто передаются пароли либо на столе оставляются флеш-ки или забываются «ключи». Как с этим борются? Путем мотивации персонала. Но мотивация зачастую играет против банка: никто из специалистов не признается в нарушении правил из страха быть оштрафованным, лишиться премии и т.д.

Что делать? На мой взгляд, применять подход, при котором необходимо «поставить» системы так, чтобы правила нельзя было не выполнить. А для этого необходимо объединять уже существующие в банках системы информационной безопасности и системы физической безопасности. В частности, нужно четко идентифицировать объект, применять биометрическую идентификацию. Необходимо иметь «информационный след» - что делает конкретный специалист на протяжении всей его работы. Это достигается с помощью видеонаблюдения, систем контроля доступа, бюро пропусков, наконец, -и вся эта структура должна определять «информационный след». Необходимо также определить ряд регламентов, которые мы должны отслеживать с помощью систем информационной и физической безопасности.

Резюмируя свое выступление, хочу сказать: возникает некий новый «пласт», который очень жестко связан с человеческим фактором. Крайнее выражение этого фактора - инсайд. А борьба с ним - это не подключение имеющихся средств, а дополнение их специальными системами, объединяющими информационные и физические средства безопасности. И интегрирующая система, которая стоит над этими системами и заставляет всех сотрудников без исключения выполнять административные правила.

А. СЫЧЕВ: Вы говорите абсолютно верные вещи, но верные только когда мы касаемся деятельности банка в части миддл- и бэк-офиса. Когда же мы говорим о бизнес-деятельности банка, то вопрос обеспечения информационной безопасности надо понимать гораздо шире. Потому что речь, в первую очередь, идет о клиентах, а клиенты, к сожалению, - потенциальная угроза. Так, например, наш опыт показывает, что очень часто, осуществляя обмен информацией с клиентами в электронном виде, мы фиксируем на стороне клиента заражения вредоносным программным обеспечением. Естественно, это представляет потенциальную угрозу информационным системам банка. И эту проблему невозможно решить путем различных интеграций, написания регламентов и т.д.

На самом деле проблему надо рассматривать в более широком смысле. Информационная безопасность банков должна обеспечиваться отработкой неких сервисов безопасности, которые предоставляются как внутри банка, так и его клиентам. Потому что риски, которые «несут» в банк наши клиенты, не менее серьезны, чем риски, возникающие в результате инсайда. Кроме этого, есть понимание, что даже внутренние бэк-офисные технологии тоже могут быть небезопасными - не потому что кто-то потерял пароль или кто-то работает не в здании банка, а в удаленном режиме, а потому что технологии сами по себе построены без учета требований безопасности и не могут обеспечить адекватный уровень информационной безопасности. Поэтому вопрос, по моему убеждению, надо рассматривать комплексно, не «завязываясь» только на его технических аспектах.

Д. ГОРЕЛОВ: 100-процентно защищенная система - это система, которая не работает. Мы никогда не знаем, что будет в дальнейшем с технологиями, со злоумышленниками, поэтому всегда будет иметь место борьба между мечом и щитом. И самая большая проблема, что в идеальных 100% самыми дорогими для банка становятся последние два-три -98-99%. Поэтому не всегда стоит стремиться к безопасности на уровне 99,99%, разумнее остановиться на уровне 97% -но это будет как раз та степень защищенности, которая необходима банку. И финансово-кредитной организации не придется тратить на системы безопасности столько денег, что ее деятельность просто станет невыгодной.

С. ПАВЛОВСКИЙ: По моему убеждению, те, кто говорит о 100-процентной информационной безопасности в своих банках, просто занимаются самолюбованием или самоуспокоением. И то и другое -самый короткий путь к краху. Мы же понимаем, что ситуация все время меняется и, следовательно, постоянно возникают новые вызовы и риски.

Здесь уже говорилось о человеческом факторе в разрезе инсайда. Этот фактор, с моей точки зрения, важен и когда речь идет о клиентах. Клиенты, к сожалению, не всегда в состоянии понять и оценить уровни рисков. Поэтому с каждым из них необходимо разговаривать на понятном ему языке. Необходимо донести до клиента, какие риски возможны и какие потери он лично может понести в случае реализации этих рисков. Чтобы достичь этого, в свою очередь, необходим контакт с клиентом. Если он налажен, то это путь к обеспечению комфортного для банка уровня информационной безопасности.

Е. АКИМОВ: Мне приходилось сталкиваться с прямо противоположным мнением: спасение утопающих - дело рук самих утопающих. Если у клиента нарушена конфиденциальность «ключей» шифрования и ЭЦП, то некоторые банки склонны воспринимать это исключительно как проблему самого клиента, что, конечно, не так.

Причем наиболее эффективно эта задача решается не только разъяснительными мерами и даже не обязательствами по защите клиентского места (AV, HIPS и пр.), прописанными в договоре, а более комплексно. Прежде всего, из мер, существенно снижающих возможности для мошенников, надо отметить создание fraud machine, осуществляющей в том числе мониторинг банковских транзакций, интеллектуально проверяя их на возможность мошенничества.

Наша дискуссия о возможности или невозможности стопроцентной безопасности потихоньку «сместилась» к обсуждению темы обеспечения оптимального для банка уровня безопасности. И здесь можно сделать некоторую ретроспективу. 10-15 лет назад речь шла в основном об обеспечении безопасности «периметра» банковских ИТ-систем: априори считалось, что все угрозы носят внешний характер, и главная задача банков -оградить себя от «злобных хакеров». С течением времени этот подход корректировался, становилось очевидным, что сотрудники банка тоже могут нести угрозы для его деятельности. В последние несколько лет мы видим бум DLP-систем, когда осуществляется контроль за деятельностью бизнес-подразделений банка, за их информационными потоками. Сейчас тенденция пошла еще дальше: начинают отслеживать деятельность ИТ- и даже ИБ-администраторов. Такой подход, к сожалению, подтверждается и самыми крупными публичными инцидентами ИБ - как раз привилегированные пользователи и осуществляли кражу конфиденциальной информации.

МЕЖБАНКОВСКОЕ СОТРУДНИЧЕСТВО И НЕОБХОДИМОСТЬ УЧАСТИЯ ГОСУДАРСТВА

А. ВЕЛИГУРА: Вопрос, на который следует искать ответ, - что в принципе надо понимать под безопасностью. Если речь идет об удовлетворении определенных правил, прописанных в стандарте или в законе, то, наверное, можно достичь и 100-процентного уровня их выполнения. Если же под безопасностью понимать создание условий, при которых риски банка не выходят за пределы определенного коридора, - то есть если они не возрастают сверх меры, - то можно добиться того, чтобы эта задача была выполнена.

Как мы этого добиваемся? Я достаточно давно общаюсь с банкирами и вижу, как меняются и акценты, и уровень дискуссий. Лет 10 назад большинство специалистов, отвечающих за обеспечение информационной безопасности, не шли дальше обсуждения и использования технических средств. Постепенно пришли к пониманию, что надо уметь этими средствами эффективно управлять. Появились определенные нормы, стандарты управления банковской безопасностью.

Посмотрите, о чем сейчас больше всего пишут и говорят: о системах реагирования на инциденты, выявления событий. То есть сейчас довольно много внимания уделяется вопросу, что делать, если инцидент все-таки произошел. И приходит понимание, что надо не просто реагировать на то или иное происшествие, а собирать информацию о событиях, анализировать ее.

Какие еще тенденции можно отметить? Больше и чаще, чем раньше, говорят о необходимости межбанковского взаимодействия в сфере обеспечения информационной безопасности. Ситуация «берет за горло», потому что мошенники «набрасываются» не на отдельно взятый банк, а на всех участников рынка.

Клиенты, о которых здесь говорилось, - тоже важный вопрос. Расхожая поговорка «клиент всегда прав» тоже ставит некоторые ограничения. Можно заставить сотрудника соблюдать некие регламенты и правила, но нельзя то же самое сделать с клиентом. Клиент - по определению «слабое звено», поэтому нет ничего удивительного, что мошенники, занимающиеся хищением средств, наносят удар как раз по нему, используют клиентские возможности для совершения своих махинаций. Поэтому, по моему убеждению, огромную роль должно играть воспитание клиентов с точки зрения финансовой гигиены. Это тяжелый процесс, но от него отказываться нельзя.

И. ЯНСОН: Действительно, в настоящее время в банковском сообществе формируется тенденция к концентрации внимания на выстраивании и совершенствовании процессов управления информационной безопасностью. И отражением этого является одновременный процесс совершенствования стандартов ИБ. В частности, мы видим эволюцию вопросов управления информационной безопасностью в стандартах и рекомендациях Банка России. В период с 2004 по 2011 год были выпущены 4 редакции основного Стандарта и ряд других документов, причем при непосредственном участии банковского сообщества. Более 80% банков присоединилось к выполнению положений Стандарта БР, в частности, это отражает фактическое осознание банками необходимости построения системы менеджмента информационной безопасности с процессным подходом в этой области.

Второй момент - я согласен, что многие банки все больше внимания уделяют вопросам сбора и анализа событий информационной безопасности. Если мы посмотрим Стандарт Банка России, то увидим, что там есть раздел, в котором отражены соответствующие задачи и вопросы.

Таким образом, можно отметить, что практика и теория в сфере обеспечения ИБ все больше сближаются друг с другом за счет все большего повышения уровня осознания банками вопросов информационной безопасности.

Если продолжить мысль относительно стандартов, то одним из немаловажных примеров отражения лучших практик является международный стандарт PCI DSS. Он появился практически на наших глазах, содержит набор конкретных и предельно полезных требований как в предметных, так и в процессных областях ИБ, быстро эволюционирует, учитывая новые вопросы ИБ. При этом следует отметить, что данный стандарт не противоречит Стандарту Банка России, а в определенном плане дополняет его конкретными инструкциями.

Что касается клиентов, то, действительно, банки проявляют все большую заботу о них и все чаще координируют свои действия в этом вопросе. И это естественно. Возникает большая проблема, связанная с дистанционным банковским обслуживанием, и она не может решаться банками сепаратно. Они, как я уже сказал, взаимодействуют друг с другом в рабочем порядке, выносят проблемные вопросы на обсуждение в АРБ, в ЦБ, готовят совместные предложения. Однако этого уровня взаимодействия не будет достаточно для решения проблемы. Потребуются и законодательные изменения, и помощь со стороны правоохранительных органов. Без помощи со стороны государства эту проблему решить невозможно, как бы хорошо банки ни защищались - и просвещая клиентов,  и  с помощью технических средств - и как бы хорошо они не взаимодействовали между собой.

А. СЫЧЕВ: Я абсолютно согласен с коллегой. Все банкиры, принимающие участие в нашем заседании, понимают, что существуют законодательные «пробелы», препятствующие оперативным действиям банков в случаях, когда произошел инцидент, и деньги у клиента «увели». Эти «пробелы» должны быть устранены законодателями путем внесения изменений в Гражданский кодекс, в Уголовно-процессуальный кодекс и т.д. Безусловно, должна быть перестроена работа правоохранительных органов по отношению к этим инцидентам, потому что пока их деятельность не является удовлетворительной, и у преступников возникает чувство безнаказанности. Статистика инцидентов свидетельствует о том, что за последний год их число увеличилось более чем в два раза. Поэтому здесь недостаточно только объединения банков и оказания ими помощи друг другу в обеспечении информационной безопасности.

Е. ЦАЛЬП: Мое мнение таково: в существующей сейчас ситуации банки не защищаются, а отбиваются от тех угроз, которые возникают. И все, что мы делаем, - координация усилий, обучение клиентов - это от безысходности и невозможности найти другие пути противодействия данным угрозам. Регуляторы и законодатели прекрасно знают об этом, но результативность и своевременность их деятельности не соответствует значимости и актуальности решаемых кредитно-финансовыми организациями задач по обеспечению информационной безопасности. В некоторых случаях принимаемые решения усугубляют ту непростую ситуацию с информационной безопасностью, которая  сложилась  в  банках в  настоящее время. Недавний тому пример - принятие закона «О платежной системе», в соответствии с которым банк фактически становится «без вины виновным» во всех инцидентах, связанных с хищением денежных средств в системах дистанционного банковского обслуживания, и, как следствие, должен возмещать ущерб клиенту в любом случае. В этой ситуации банки смогут законопослушно отбиваться лишь до определенных пределов.

А. СЫЧЕВ: Фактически речь должна идти о создании киберполиции, которая расследовала бы преступления, совершенные в сфере высоких технологий, и которая использовала бы нормативную базу, позволяющую оценивать эти действия реально. А не так, как они оценивались 30 лет назад, когда такой проблемы фактически не существовало. Самый простой пример - инциденты, когда деньги похищают со счета в банке в одном регионе, а «падают» они на счет в банке в другом регионе. Клиент обращается в правоохранительные органы, говорит, что у него украли деньги, -и его посылают с заявлением в тот регион, где деньги «упали» на счет. Поскольку так предписано УПК. При такой схеме работы и при том, что технологическую экспертизу могут осуществлять у нас три правоохранительных органа - ФСБ, МВД и Следственный комитет, между которыми нет единства во взаимодействии, преступники, конечно, имеют большие шансы остаться без наказания. Если же банки начнут массово возмещать клиентам ущерб - а им это пытаются вменить законодательно, - то они поступят очень просто: повысят стоимость банковских услуг.

А. ВЕЛИГУРА: Преступления в сфере высоких технологий прекратятся - или, точнее, снизятся до допустимого уровня, -когда они станут экономически невыгодными. А это произойдет, если совершение таких преступлений станет, с одной стороны, очень технологически сложным, а с другой - рискованным. Сейчас ни того, ни другого не наблюдается.

НБЖ: Разве сейчас технологические преступления не являются дорогостоящими?

Е. ЦАЛЬП: Пока преступникам проще организовать хищение, чем нам - соответствующее противодействие. У них денег на эти цели больше, чем может выделить любой из банков в отдельности, а может, и больше, чем все банки, вместе взятые.

А. СЫЧЕВ: Тут есть очень интересный момент: банки решают эту проблему индивидуально с поставщиками услуг ДБО, и, как правило, ресурсы и тех и других ограничены. Да и скорость отработки решений оставляет желать лучшего. А что на той стороне? А на той стороне небольшое количество заказчиков с неограниченными финансовыми возможностями и огромное, почти беспредельное «поле» для поиска квалифицированных кадров, которым лишь бы в чем-то «покопаться» или получить «легкие деньги». Скорость реакции таких преступных групп значительно выше, чем скорость банка, пытающегося решить ту или иную задачу обеспечения безопасности.

Е. ЦАЛЬП: При этом преступники работают «на перспективу», а банки отбиваются «по факту».

И. ЯНСОН: По информации экспертов, занимающихся вопросами мошенничеств в сфере ДБО, текущий момент является переломным. «Бизнесом» по краже денег в ДБО начинает интересоваться классический криминал. Если этот вид преступников «возьмет под крыло» обычная преступность, то банкам будет бороться с ними намного сложнее.

Д. ГОРЕЛОВ: Действительно, есть две большие «армии» - одна, которая знает, как похищать деньги со счетов в банках, и вторая, которая заинтересована в сотрудничестве с первой. Сейчас эти «армии» сговорились. И если на уровне государства не будет оказано им противодействия, то банки будут нести огромные убытки. Причем к разработчикам всяких «троя-нов» нельзя сейчас предъявить претензии: да, они пишут программы, но они же их не используют! Разработчики просто отдают этот высокотехнологичный инструмент для совершения мошеннических действий людям, которые являются не «технологами», а криминалом.

В. КРУТСКИХ: Мы - банкиры и разработчики - как раз и поставлены для того, чтобы противодействовать этому, коль скоро государство пока данной проблемой всерьез не занимается. Была высказана очень верная мысль: надо «вычленять» слабые моменты и минимизировать затраты на их устранение. В связи с этим у меня предложение - давайте обсуждать конкретные средства защиты.

СТОИМОСТЬ РЕШЕНИЙ - КАК, КТО И ПО КАКИМ КРИТЕРИЯМ ДОЛЖЕН ЕЕ ОПРЕДЕЛЯТЬ?

Ю. ПТИЦЫН: Я хотел бы сказать, что нужно соизмерять затраты, которые мы несем, с теми потенциальными прибылями и законами, которые мы можем получить. И еще один момент: подчеркнем снова, что 100-процентной безопасности не бывает, и, возможно, она не нужна: ведь чем выше уровень безопасности, тем больше затраты банков на ее обеспечение. Но вопрос перераспределения ответственности между банками и клиентами существует. Однако если мы видим, что у клиента деньги уходят, а он не заявляет об этом, то мы возмещать эти деньги не обязаны и не будем.

А. ШАШЛОВ: Мы в рамках данной дискуссии смотрим на угрозы несанкционированного доступа к средствам, на угрозы подмены субъекта информационного воздействия, хотя вопрос гораздо шире.

Это и доступность информационных услуг, и их качество, и целый ряд моментов, которые, возможно, являются частными, но ущерб могут нанести весьма ощутимый. Например, предоставление заемщиками поддельных документов. И я полагаю, что это вопрос качества информационной инфраструктуры и качества информационной безопасности в целом.

А. СЫЧЕВ: Наша дискуссия возникла потому, что тема - очень больная, и количество денег, которое клиенты банков теряют или потенциально могут потерять, очень велико. Однако не менее важно уделять внимание вопросам качества инфраструктуры и безопасности технологий, так как в случае, если не будет правильно отстроена система приема и обработки кредитных заявок или любого другого бэк-офисного процесса, связанного с движением денежных средств по счетам, ущерб может быть существенным.

И. ЯНСОН: Собственно говоря, то, о чем говорит коллега, - это уже вопросы внутреннего фрод-мониторинга. Кстати, системы, нацеленные на сбор и анализ событий информационной безопасности, о которых мы уже говорили, как правило, «смотрят» в две стороны - внутрь и наружу.

НБЖ: А количество денег, которое банк потенциально может потерять из-за рисков, связанных с фрод-мошенничеством, или с инсайдом, или с атаками хакеров на ДБО, как-то коррелируется с затратами банков на обеспечение информационной безопасности? Иными словами, исходят ли банки при определении затрат из оценки своих возможных потерь?

А. СЫЧЕВ: Безусловно. Все банкиры прекрасно знают, как формируются бюджеты на обеспечение информационной безопасности. Не оценив потенциальный ущерб и реально существующие риски, ни один уважающий себя руководитель банка не начнет тратить деньги. Так что взаимосвязь здесь прямая.

К. КАРАГЕДЯН: Мне, как представителю компании-вендора, работающей на рынке информационной безопасности, хотелось бы поднять тему оценки стоимости решений в сфере ИБ. Вынужден констатировать, что мало кто берется оценивать затраты на поддержание созданной вновь или существующей системы. Сегодня уже неоднократно отмечалось, что «поле», в котором ведут деятельность банки, крайне агрессивно, четкого «периметра» безопасности нет, поскольку финансово-кредитные организации работают с огромным количеством контрагентов. Поэтому речь должна идти не о том, чтобы создать единовременно максимально защищенную систему, снижающую риски потерь до минимума, а о поддержании этой системы в актуальном состоянии. И мне было бы отрадно, если бы специалистов по ИБ бизнес привлекал как можно раньше в тех случаях, когда речь идет о создании новых бизнес-процессов или о добавлении новых банковских услуг.

Е. ЦАЛЬП: Если вопросы ИБ серьезно решаются в банке, то ни один проект не реализуется без визы и согласования с «безопасниками». Стандарты, которые были еще в советское время, никто не отменял, и в соответствии с ними службы информационной безопасности подключаются еще на стадии формирования технического задания. А если посмотреть дальше, то современный проект должен заканчиваться не только созданием той или иной системы, но и полным набором рекомендаций по информационно безопасной ее эксплуатации и сопровождению с учетом требуемых для этого финансовых затрат. Ведь можно создать систему, которую с точки зрения затрат просто невозможно будет эксплуатировать.

П. ГОЛОВЛЕВ: Да, конечно, ГОСТы тридцатилетней давности никто не отменял -но, к сожалению, их отменили современные бизнес-школы, которые выпустили кучу менеджеров, никогда не слышавших об этих стандартах. Они исходят из принципа - что удобно клиентам, то и приемлемо. И переломить это убеждение очень трудно, а еще сложнее изменить их подход, что службы информационной безопасности сродни коммунальным службам. Прорвало трубу - они подключаются, не прорвало - пусть сидят тихо.

А. СЫЧЕВ: В данном случае следует ставить перед этими менеджерами вопрос - кто платит? А еще точнее - кто расплачивается за инциденты?

П. ГОЛОВЛЕВ: А тут как раз работает истинно российское убеждение - «а вдруг пронесет». Или российский нигилизм: ну, украли у клиентов деньги, ну, пойдут они в суд, юристы банк «отмажут». И можно еще работать с корпоративными клиентами, убеждать их, что нужно выполнять рекомендации служб безопасности. А убедить в том же самом клиентов -физических лиц, - что надо, например, использовать сертифицированное программное обеспечение, сертифицированные операционные системы, - практически невозможно. Они не привыкли существовать в правовой среде, находящейся за периметром кредитной организации. И тут возникает вопрос - является ли работой банка убеждать их в необходимости перейти в правовое поле? У банка и так достаточно дел и проблем.

НБЖ: Чьей же это должно быть работой? Большинство клиентов таковы, как вы описали: ленивы и безответственны, когда дело касается обеспечения безопасности их средств. Но других-то клиентов у банков нет, и в ближайшее время они вряд ли появятся - во всяком случае, в больших количествах.

А. СЫЧЕВ: Клиенты рискуют, но куда они несут свои риски? Конечно, в банки. Значит, именно мы должны предпринять какие-то действия для того, чтобы эти риски были минимизированы. Если вы найдете компанию, которая согласится страховать такие риски, проблема будет решена. Но на сегодняшний день на этом рынке подобные соглашения - достаточно редкое явление. А коль скоро так, то нам остается только планомерная работа с клиентами: их информирование, предоставление клиентам таких сервисов безопасности, которые будут подталкивать их к жизни в правовом поле и воспитывать у них культуру информационной безопасности.

И. ЯНСОН: Поддержу Артема Михайловича (Сычева - прим. ред.) по вопросу заботы о клиенте. Такая забота, помимо естественной клиентоориентированности кредитных организаций, может быть банально продиктована заботой о репутации банка. Да, в договоре все может быть прекрасно прописано, и клиент может быть действительно неправ, нарушая его положения, касающиеся обеспечения безопасности при работе в системе ДБО. Но все равно практика показывает: если инцидент случился, и он внимательно прорабатывается, если клиенту при этом максимально стараются помочь (заблокировать или вернуть средства, провести расследование и т.п.), то мы имеем одну ситуацию. Если ему просто пишут официальное письмо со ссылками на пункты договора, то мы имеем совсем другую ситуацию. Клиент во втором случае с большой вероятностью может начать обращаться к регуляторам, в средства массовой информации - пусть он неправ, но репутационный ущерб при этом банку будет нанесен. Так что речь идет не только об альтруизме, но и о вполне прагматических вещах, о минимизации репутационных рисков.

ТРЕБОВАНИЕ ВРЕМЕНИ - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПЕРЕСТАЕТ РАССМАТРИВАТЬСЯ КАК НЕЧТО ИЗОЛИРОВАННОЕ

Ю. АКСЕНОВА: На мой взгляд, мы немного углубились сейчас в тему «клиент -банк», и это неудивительно, поскольку сейчас это приоритетная проблема для всех кредитных организаций. Поскольку мы являемся банком с иностранным участием, то должны соответствовать в своей деятельности международным стандартам информационной безопасности. И это «перевернуло» наш подход к ИБ: у нас, когда мы начали внедрять эти стандарты, было принято решение, что департамент, который я возглавляю, должен заниматься сбором событий операционного риска - в том числе и событий информационной безопасности. Так что нам фактически удалось объединить два «потока» и два процесса.

Был вопрос о критериях - как оценивать общий уровень информационной безопасности. Мы решили, что сделать это нам позволит Стандарт Банка России, и каждый год проводим проверку, насколько уровень ИБ в нашем банке соответствует рекомендациям этого Стандарта. Проблем, конечно, очень много - и внутренних, и внешних: например, кражи средств со счетов клиентов -постоянно присутствующий риск.

Е. АКИМОВ: Юлия, у меня к вам вопрос. По нашему опыту, на практике обычно при внедрении новых ИТ-систем обеспечение ИБ осуществляется в два этапа. Сначала реализуются самые недорогие и очевидные (в том числе и для бизнеса, выделяющего средства) меры ИБ. И только потом, когда система поработает полгода-год, делается комплексная оценка рисков (при этом главное, чтобы бизнес готов был обозначить свои потенциальные потери и выделить средства на противодействие соответствующим угрозам), и уровень ИБ поднимается до оптимального в рамках отдельного проекта и отдельного финансирования. Удается ли вам при внедрении ИТ-систем управлять рисками проактивно?

Ю. АКСЕНОВА: В таких ситуациях мы сразу учитываем нормативные требования, прежде всего, по Закону «О защите персональных данных», полную же оценку рисков делаем уже для работающих систем.

К. ШУРУНОВ: Я хотел бы понять, что является на сегодняшний день головной болью российских банков. Из нашего обсуждения понимаю, что самые актуальные риски можно поделить на два типа: риски, связанные со внутренними «взломами» систем, и риски, связанные с отношениями «банк - клиент», то есть кражи средств с конкретных счетов конкретных клиентов. Понятно, что в первом случае размер ущерба меньше, но зато подобные инциденты происходят чаще. Так вот, мой вопрос заключается в следующем: на минимизацию каких рисков банки готовы сейчас выделять бюджеты?

Д. РОМАНЧЕНКО: Со своей стороны, я хотел бы вернуться к теме, которая здесь уже поднималась, - к вопросу об интеграции бизнес-процессов и процессов, связанных с безопасностью. Хотелось бы оставаться в этой «стороне», поскольку, по   моему  убеждению,   это   является совершенно правильным «мейнстри-мом». До этого нам часто приходилось сталкиваться с тем, что службы безопасности занимаются исключительно вопросами внедрения и поддержки систем, а выбираются, проектируются и разрабатываются эти системы другими подразделениями, причем без учета требований к обеспечению информационной безопасности.

А. СЫЧЕВ: Такой подход, на мой взгляд, провоцируется действиями разработчиков, которые постоянно стремятся «навесить» на предлагаемую систему дополнительные сервисы безопасности - что, естественно, увеличивает стоимость решения. При этом игнорируется то, что у банка уже что-то есть в этой сфере. В таких случаях хочется спросить - коллеги, а вы в курсе, что в банке система безопасности уже построена, что политики безопасности разработаны? Может, имеет смысл задействовать те системы, которые уже есть, и внедрять только то, чего у банка нет? Может, оптимально совместить новое решение с уже имеющимися? Что мы чаще всего слышим от интеграторов в ответ? Это безумные деньги, и мы не умеем совмещать нашу систему с другими системами. Как это не умеете? Вот заявленное описание системы, вот пункт о ее совместимости с другими системами, в чем тогда проблема? На практике оказывается, что проблемы нет, просто интеграторы не хотят совмещать. Для них выгоднее «впаривать» бизнесу свои системы, старательно умалчивая при этом о том, что средства безопасности вполне могут «дружить».

И. ЯНСОН: На мой взгляд, проблема еще глубже: интеграторы часто предлагают решения, которые вообще не содержат сервисов безопасности. Для того чтобы обеспечить комплексный учет требований информационной безопасности при внедрении или создании и на иных стадиях жизненного цикла автоматизированных систем, необходимо следующее. Во-первых, в банке нужно ввести обязательность согласования вопросов информационной безопасности, начиная с формирования бизнес-требований (то есть еще до этапа ТЗ). Во-вторых, при взаимодействии с интеграторами надо учитывать те системы ИБ, которые уже есть, интегрируя с ними средства ИБ новых систем.

Для обеспечения процесса требований ИБ на стадиях жизненного цикла АС нужно иметь штат «технологов» в службе ИБ, число которых должно быть пропорционально числу бизнес-технологов и ИТ-технологов. Также необходимо вхождение представителей службы ИБ в коллегиальные органы, которые рассматривают предложения по созданию новых бизнес-процессов.

В большинстве банков ИБ-технологов нет, и эти задачи решают сотрудники, нагруженные другими обязанностями.

Это приводит к тому, что либо начинают страдать их непосредственные обязанности, либо они не успевают проанализировать вопросы ИБ при внедрении новых бизнес-процессов и автоматизированных систем.

Е. ЦАЛЬП: Для банков информационная безопасность - не нечто абстрактное, существующее изолированно, а крайне важная составляющая бизнеса. Что же касается служб безопасности, то скажу: если вендоры предлагают ясное, безопасное и эффективное решение, то никто в банке никогда не будет препятствовать его реализации и что-то специально тормозить. Служба информационной безопасности банка заинтересована во внедрении прогрессивных современных решений. Ведь главная задача безопасности в том и состоит, чтобы дать банку возможность максимально увеличивать объемы предоставляемых безопасных услуг.