Изменились ли задачи, стоящие перед подразделениями информационной безопасности в банках, после вступле­ния в силу девятой статьи Закона № 161-ФЗ «О национальной платеж­ной системе»? Кто способен принести больше вреда кредитной организа­ции: злоумышленники, осуществляю­щие целенаправленные атаки на ин­формационные системы банков, или клиенты, не уделяющие внимания безопасности конфиденциальных данных? На кого должно в первую очередь полагаться финансовое уч­реждение, выстраивая свою систему информационной безопасности? На эти и другие вопросы ответил в интер­вью NBJ заместитель директора де­партамента безопасности - начальник отдела защиты информации Связь-Банка Сергей КУРОЧКИН.

NBJ: Сергей, какие угрозы с точки зрения ИБ представляют сейчас наибольшую опасность и, соответственно, какие задачи стоят перед Вами, как начальником отдела защиты информации?

С. КУРОЧКИН: Если говорить об угро­зах, то значительно чаще воздействие злоумышленников осуществляется на информационные системы клиентов. Не редки случаи, когда угрозой для клиен­та является он сам по причине невни­мательности и нежелания соблюдать рекомендации банка при пользовании, например, пластиковыми картами или интернет-банкингом. В отношении задач я бы ответил на вопрос так: основной целью любого бизнеса является полу­чение прибыли, банковский бизнес не исключение. В процессе осуществления банком своей деятельности постоянно возникают риски. Поэтому мы считаем, что наша главная задача - способство­вать минимизации рисков информаци­онной безопасности, адекватно оцени­вать их и прогнозировать.

NBJ: Начнем со злоумышленников: часто можно услышать, что они становятся все более изобретательными при проведении атак. Вы согласны с этим наблюдением?

С. КУРОЧКИН: Не совсем. Крупные атаки на информационные системы банков достаточно редки. Куда чаще мы стал­киваемся с попытками завладеть денеж­ными средствами клиентов с помощью похищенных паролей, ПИН-кодов и т.п. Этому есть разумное объяснение: готовить и осуществлять крупную атаку на инфраструктуру финансового инсти­тута, на его информационные системы экономически не целесообразно. При­чина проста: банк технически и ор­ганизационно хорошо подготовлен к противодействию атакам, в том числе и потому, что находится под жестким кон­тролем регулятора. Получается, что го­раздо проще и экономически выгоднее воздействовать на другую сторону - на потребителя банковских услуг, посколь­ку он априори является наименее защи­щенным звеном в этой цепочке.

NBJ: Но атаки на одиночек-потребителей вряд ли могут сулить злоумышленникам большие доходы.

С. КУРОЧКИН: А это та самая ситуация, когда курочка по зернышку клюет. Конечно, здесь многое зависит от того, против какого клиента проводится атака. Не стоит полагать, что страда­ют от таких действий злоумышленни­ков исключительно физические лица. Юридические лица также не всегда отличаются дисциплинированностью при соблюдении рекомендаций по обе­спечению информационной безопас­ности. Понятно, что атака на юрлицо может оказаться куда более прибыль­ной для мошенников, чем воздействие на клиентов-физлиц.

NBJ: Как известно, с 1 января 2014 года вступила в силу 9 статья 161-ФЗ, о «вредо­носности» которой столько говорили бан­киры. Время объявлять траур или надо начинать спешно совершенствовать свои системы безопасности?

С. КУРОЧКИН: Я думаю, серьезные банки уже совершили все необходимые дей­ствия и подготовились к вступлению в силу 9 статьи 161-ФЗ. Во всяком случае, могу сказать, что после изучения глубо­кого смысла формулировок этой статьи готовиться пришлось и с технической, и с организационной точки зрения.

NBJ: Последнее было необходимым?

С. КУРОЧКИН: Конечно. К сожалению, статья не дает однозначного и полно­го ответа на ключевой вопрос: какие способы информирования клиента яв­ляются достаточными, а какие нет? Также без ответа остался вопрос о том, каковы обязанности клиента по отно­шению к банку. Дело в том, что одна из наиболее часто возникающих про­блем - актуальность клиентских дан­ных. Стандартная ситуация: человек был зарплатным клиентом одной кре­дитной организации, потом перешел на обслуживание в другую, но оставил себе старую карту. После этого он пере­ехал, сменил номер телефона. В банке, где когда-то был зарплатный проект компании, в которой он работал, он не появлялся несколько лет, посколь­ку не придал значения необходи­мости оповестить ряд инстанций об изменении его контактных данных. В результате возникает ситуация, как в мультфильме «Каникулы в Просток-вашино»: ты зайца сфотографировал, а теперь еще два дня за ним будешь бегать, чтобы фотокарточки отдать.

NBJ: И как решаются такого рода проблемы?

С. КУРОЧКИН: В нашем банке постоянно ведется работа по актуализации клиент­ских данных и достаточно давно органи­зовано SMS-информирование по опера­циям, проведенным клиентами.

NBJ: SMS-информирование - очень инте­ресный вопрос, поскольку часто можно услышать жалобы банкиров, что такое информирование в нормальном режиме невозможно, потому что мобильные опе­раторы не несут никакой ответственности за своевременную передачу сообщений.

С. КУРОЧКИН: Это действительно про­бел в нашем законодательстве. На мой взгляд, мобильные операторы, конеч­но, должны нести ответственность, если они по каким-то причинам своевремен­но не передали клиенту сообщение о совершенной операции. Сейчас ситуа­ция такова: если со счета клиента утек­ли средства, то за это должен заплатить банк. Естественно, это не может устраи­вать участников банковского рынка.

NBJ: В то же время можно отметить, что внимание банков к нестандартным операциям, проведенным клиентами, повышается.

С. КУРОЧКИН: Да, конечно. В нашем банке внимание этому уделяется уже достаточно давно. В частности, ведется круглосуточный мониторинг операций по картам, и если оператор выявляет признаки нехарактерной операции, то он незамедлительно пытается связать­ся с клиентом. Но тут мы возвращаем­ся к вопросу, который уже обсуждали ранее - актуальность клиентских дан­ных. В случае их неактуальности и, как следствие, невозможности связаться с клиентом есть весьма действенный инструмент - блокировка карты, по которой осуществляется нестандарт­ная операция. Понятно, что обнару­жив факт блокировки, клиент свяжет­ся с банком сам.

NBJ: С другой стороны, это достаточно радикальная мера, и, наверное, клиенты не в восторге от нее.

С. КУРОЧКИН: В большинстве случа­ев клиенты понимают, что временные неудобства лучше, чем потеря средств в результате их хищения.

NBJ: Мы с Вами обсуждаем пока пробле­мы, связанные с наличием внешних угроз. Но ведь есть и такая вещь, как внутренние угрозы - риск утечки персо­нальных данных клиентов или их средств в результате либо злонамеренных дей­ствий сотрудников, либо их халатности и непрофессионализма. Насколько ак­туальна эта проблема?

С. КУРОЧКИН: Некоторые компании, спе­циализирующиеся на противодействии утечкам информации, в своих исследо­ваниях называют данную угрозу основ­ной. Мне сложно оспорить или согла­ситься с этим по следующим причинам. С одной стороны, подобные компании заинтересованы в продвижении своей продукции, поэтому они могут пре­увеличивать размер бедствия. С дру­гой - внутренние угрозы реализуются не часто, но могут принести ощутимый ущерб. Именно по данной причине вну­тренние угрозы не следует списывать со счетов.

NBJ: Наверное, этого действительно не стоит делать хотя бы потому, что такие угрозы в случае их реализации все же способны нанести банку больший ущерб, чем разовые хищения средств с карт клиентов.

С. КУРОЧКИН: Да, конечно. Именно поэтому большое внимание уделя­ется разработке превентивных мер предотвращения внутренних угроз. И здесь я хочу воздать должное тем, кто писал СТО БР ИББС: в стандарте заложен совершенно верный принцип минимизации и разделения полномочий сотрудников. Реализация этого принци­па позволяет серьезно снижать риск воз­никновения внутренних угроз в банках.

NBJ: Насколько мне известно, в СТО БР ИББС также прописаны методики оп­ределения  уровня информационной безопасности в банках. Если не секрет, какому из этих уровней соответствует информационная защита в Связь-Банке и с какой периодичностью проводится самооценка в вашем банке?

С. КУРОЧКИН: Что касается оценки, то мы проводим ее так, как рекомендует стандарт - раз в три года. Предыдущую оценку соответствия стандарту мы про­водили почти три года назад. Сейчас планируем ее повторение. Надеюсь, что по завершению данной процедуры мы увидим улучшение показателей.

NBJ: А как проводится оценка уровня защищенности в вашем банке - самосто­ятельно или с привлечением внешних аудиторов и взломщиков?

С. КУРОЧКИН: Мы полагаемся на мнение профессионалов, поэтому привлекаем внешних аудиторов из состава неком­мерческого партнерства «Сообщество пользователей стандартов по информа­ционной безопасности АБИСС». Уве­рен, что данный подход позволяет про­вести более объективную оценку состо­яния нашей системы информационной безопасности.

NBJ: Вы сказали, что приходится искать компромисс между расходами на обеспе­чение безопасности и экономической целесообразностью. Какова динамика этих расходов, можно ли сказать, что они за последние несколько лет существенно выросли?

С. КУРОЧКИН: Тут есть несколько нема­ловажных аспектов. Если брать гори­зонт последних десяти лет, то нужно учитывать, что за данный период ин­формационные технологии в своем раз­витии сделали далеко не один большой шаг вперед. В этой связи изменились и методики воздействия злоумышленни­ков как на людей, так и на технические средства. Второй аспект - в 2008 году страна пережила известный кризис. Он наложил серьезный отпечаток на банки, в том числе и на Связь-Банк. Как следствие, изменился и подход к вопросам обеспечения информацион­ной безопасности в банке.

NBJ: В лучшую сторону?

С. КУРОЧКИН: Да. Нашим основным акци­онером стала государственная корпора­ция. В целом внимание к вопросам обе­спечения ИБ стало более пристальным.

NBJ: Еще один вопрос, связанный со ста­тусом банка: как фактически государ­ственной кредитной организации, ей легче общаться с правоохранительными структурами по вопросам противодей­ствия мошенничеству в сфере информа­ционной безопасности? Не секрет, что многие банки сетуют на то, что для них подобное взаимодействие оказывается недостаточно эффективным.

С. КУРОЧКИН: Это вопрос не структуры капитала или собственности, а вопрос ожиданий. Я думаю: ощущение недоста­точной эффективности данного взаимо­действия напрямую связано с тем, что банки ожидают от правоохранительных органов чудес оперативности. Лично я считаю: надо быть реалистом и отдавать себе отчет в том, что не каждый сотруд­ник МВД или ФСБ в состоянии сделать невозможное.

NBJ: Я так понимаю, еще одна проблема заключается в том, что нет рычагов зако­нодательного воздействия на мошенни­ков в сфере информационной безопасно­сти. Иными словами, если человек украл кошелек в трамвае, то понятно, как его действия классифицируются и наказыва­ются. А если он увел средства с карточки банковского клиента или взломал инфор­мационную базу банка?

С. КУРОЧКИН: Практика показывает, что злоумышленники в таких случаях отде­лываются либо штрафами, либо услов­ными сроками. Кстати, бывает и так, что они охотно возмещают нанесенный ущерб, и тогда, как вы понимаете, исче­зают основания для предъявления к ним претензий.

NBJ: Весьма логично: ущерб они возмеща­ют, например, одному держателю карты, а сколько они обобрали до этого - боль­шой вопрос.

С. КУРОЧКИН: Совершенно верно, поэто­му в сфере информационной безопасно­сти банкам приходится надеяться пре­жде всего на себя.

NBJ: А на разработчиков, предлагающих различные решения в сфере ИБ?

С. КУРОЧКИН: В меньшей степени. В дан­ном случае я говорю не о качестве отдельных предложений, а о том, что у каждого банка есть свои особенности бизнес-процессов, поэтому готовый рецепт для обеспечения их безопасно­сти со стороны получить невозможно. Кроме того, ни один специалист ком­пании-разработчика не может знать и предугадать все потребности кредитной организации по одной простой при­чине - он не телепат. Информацией в полном объеме может владеть только сотрудник банка. Если он в состоянии эту информацию аккумулировать, про­анализировать и правильно изложить интегратору - вот тогда и становится возможным эффективное внедрение. В противном случае - нет.

NBJ: То есть решения, предлагаемые раз­работчиками, априори стандартизиро­ванные?

С. КУРОЧКИН: Конечно. Одно и то же реше­ние может на 90% подойти одному банку и гораздо в меньшей степени - другому. Поэтому практически всегда необходи­ма адаптация системы на этапе внедре­ния, а вот размер этой адаптации уже зависит от того, насколько правильно и точно заказчик, то есть банк, донес до подрядчика свои пожелания.

NBJ: Но я так понимаю, Связь-Банк все же приобретает решения внешних подряд­чиков. Практика самописных баз и систем окончательно ушла в прошлое?

С. КУРОЧКИН: Законодательство не за­прещает использование «самописок», но указывает, что разработка решений и оказание клиентам услуг с примене­нием криптографических средств под­лежит лицензированию. Банку не нужно становиться лицензиатом, у него другие задачи, поэтому выгоднее выбрать одно из предложений и внедрить разработку внешнего подрядчика.

NBJ: На рынке есть разные подходы к выбору как интегратора, так и решений. Например, многие банки гордятся тем, что тот или иной продукт в сфере ИБ они внедрили первыми. Связь-Банк когда-нибудь выступал пионером?

С. КУРОЧКИН: Пожалуй, один раз. Речь идет о внедрении системы высокоско­ростного шифрования информации при передаче ее в оптических средах между строившимися тогда новыми основным и резервным центрами обработки дан­ных. В некотором роде мы стали пер­вопроходцами, установив в 2010 году на магистральных оптических каналах связи шифраторы на тот момент еще малоизвестной на российском рынке австралийской компании Senetas. Надо отметить, что в данном случае приходи­лось рисковать, поскольку такие систе­мы в России ранее никем еще не внедря­лись. Однако риск оказался оправдан: уже три года на скорости света - полет нормальный.

NBJ: И все же когда выбирается реше­ние, на что Вы в первую очередь обра­щаете внимание: на цену, функциональ­ность, репутацию разработчика, другие моменты?

С. КУРОЧКИН: Что касается репутации, то я бы не стал недооценивать значи­мость этого критерия. Немалое значение имеют наличие экспертного мнения, воз­можность посмотреть, как выбранные продукты зарекомендовали себя после их внедрения в других организациях. Если говорить о конкретике, то в данный момент, например, у нас в банке исполь­зуются решения различных разработчи­ков: наша АБС построена на платформе ЦФТ, определенные продукты мы при­обретали у компании BSS.

NBJ: Вы предпочитаете приобретать продукцию отечественных производите­лей, решения иностранных интеграто­ров слишком дорогие?

С. КУРОЧКИН: Дело не в цене, а в том, что разработки российских производи­телей более адаптированы к изменени­ям в нашем законодательстве. Практи­ка показывает, что нет оснований наде­яться на то, что в системах зарубежного производства смогут так же эффектив­но отслеживаться изменения в россий­ском законодательстве и регулирова­нии. Обычная практика такова: «запад­ники» создают систему, а ее адаптацией под российские реалии занимаются уже их партнеры - российские компании.

NBJ: Тем не менее цена решения, навер­ное, важна?

С. КУРОЧКИН: Конечно. Но куда важнее соотношение «цена - качество». Не много радости будет, если банк приоб­ретет дешевое решение, а потом при его внедрении и адаптации возникнут про­блемы. С другой стороны, кредитно-финансовые организации должны уметь регулировать свои расходы, и здесь не имеет значения, идет ли речь о банке с государственным участием или о сто­процентно частном учреждении.