Аналитика и комментарии

09 марта 2016

Антикризисная информационная безопасность в финансовом секторе

УЧАСТНИКИ КРУГЛОГО СТОЛА, ОРГАНИЗОВАННОГО NBJ: 

Алексей АЗАРКИН, начальник отдела информационной безопасности АКБ «НРБанк»;  Виктор АНТОНОВ, фотокорреспондент ИА Media Times; Игорь АХРЕМЦЕВ, начальник управления информационной безопасности ПАО «Евразийский банк»; Александр БАБКИН, заместитель начальника департамента защиты информации – начальник ситуационного центра информационной безопасности АО «Газпромбанк»; Александр БЕЛИКОВ, заместитель начальника управления информационной безопасности департамента безопасности АО «Россельхозбанк»; Александр БЕЛОУСОВ, советник президента по безопасности КБ «Российский Промышленный Банк»; Мария БОЧАРОВА, руководитель органа криптографической защиты департамента безопасности АО «ЮниКредит Банк»; Юлия ВАЩЕНКО, менеджер Академии информационных систем; Александр ВЕЛИГУРА, председатель комитета по банковской безопасности Ассоциации российских банков; Александр ВИЛЬДМАН, советник председателя правления «МТИ-Банк»; Александр ВИНОГРАДОВ, начальник управления информационной безопасности АО КБ «Златкомбанк»; Олег ВОЙНАЛОВИЧ, начальник отдела информационной безопасности службы безопасности АО «Нефтепромбанк»; Александр ВУРАСКО, сотрудник БСТМ МВД; Михаил ГАВРИКОВ, начальник службы безопасности АКБ АО Банк «Век»; Павел ГОЛОВЛЕВ, бизнес-партнер по информационной безопасности ЦОВсБ по ИБ Департамента безопасности ПАО «Сбербанк России»; Андрей ГОЛЯШИН, начальник отдела информационной безопасности АКБ «ФОРА-БАНК»; Михаил ГОРЧАКОВ, начальник отдела информационной безопасности КБ «Финансовый стандарт»; Алексей ГРИШИН, директор центра информационной безопасности компании «Инфосистемы Джет»; Антон ГРУНТОВ, директор департамента безопасности компании «Быстроденьги»; Сергей ДВОРЯНКИН, доктор технических наук, профессор кафедры «Информационная безопасность» Финансового университета при Правительстве РФ; Александр ДВОРЯНСКИЙ, коммерческий директор ГК «Инфосекьюрити»; Александр ДУНЕЦ, начальник службы информационной безопасности АО НКО «Москлирингцентр»; Александр ЕГОРЫШЕВ, начальник отдела ИТ-защиты департамента экономической и информационной защиты бизнеса ПАО «РОСГОССТРАХ БАНК»; Ксения ЗАСЕЦКАЯ, начальник отдела финансовой безопасности УИБ АКБ «РосЕвроБанк»; Александр ЗИМИН, начальник управления информационной безопасности ПАО «Восточный экспресс банк»; Олег ИЛЮХИН, заместитель председателя правления, директор департамента информационных технологий «СДМ-Банк»; Евгений КАЛАШНИКОВ, начальник управления защиты информации ПАО «БИНБАНК»; Денис КАМЗЕЕВ, начальник отдела информационной безопасности АО «Райффайзенбанк»; Валерий КАРАВАЕВ, редактор ИА «Media Times»; Алексей КОНСТАНТИНОВ, начальник управления информационных банковских технологий КБ «Гарант-Инвест»; Михаил ЛЕВАШОВ, советник банка ФК «Открытие»; Андрей ЛЕДЯЕВ, руководитель отдела информационной безопасности, департамент информационных технологий компании «Быстроденьги»; Андрей МАКОСКО, начальник отдела аудита, оценки рисков и мониторинга событий информационной безопасности ПАО «Московский Индустриальный Банк»; Андрей МАСАЛОВИЧ, ведущий эксперт по конкурентной разведке Академии Информационных Систем; Евгений МИХАЛЕВ, сотрудник БСТМ МВД; Кристина НАГЕЛЬ, ведущий специалист Службы информационной безопасности КБ «Гаранти Банк-Москва»; Дарья НЕВЕРОВА, руководитель направления конкурентной разведки Академии информационных систем; Иван ОБОРНЕВ, доцент факультета ФФБ РАНХиГС; Василий ОКУЛЕССКИЙ, начальник управления безопасности НСПК; Роман ПЕТРОВ, специалист сопровождения процессов информационной безопасности департамента безопасности ОАО «Газэнергобанк»; Иван ПРОНИЧЕВ, начальник отдела информационной безопасности банка «Новый Символ» (АО); Сергей РОМАНОВ, начальник отдела обеспечения информационной безопасности АКБ «Энергобанк»; Игорь САВЧЕНКО, руководитель службы информационной безопасности КБ «Международный Коммерческий Банк»; Ильдар САЛАХОВ, начальник отдела информационной безопасности ИБ «Веста»; Роман СВЕРЖ, главный специалист службы информационной безопасности АО «МСП Банк»; Алексей СВИРИДЕНКО, начальник управления информационной безопасности АБ «Интерпрогрессбанк»; Андрей СЕРЕДА, начальник отдела информационной безопасности ЗАО АКБ «Алеф-Банк»; Роман СЕМЕНОВ, руководитель отдела консалтинга и аудита ARinteg; Михаил СИМАКОВ, заместитель начальника отдела информационной безопасности ООО «Промсельхозбанк»; Сергей СОБОЛЕВ, начальник отдела информационной безопасности АКИБ «Образование»; Валентин СТРАХОВ, главный аналитик ООО «РБПФ Проектное финансирование»; Алексей СТРОКИН, директор по продажам ГК «Инфосекьюрити»; Евгения СУВОРОВА, руководитель управления информационной безопасности прикладных систем ПАО «БАНК УРАЛСИБ»; Артем СУДАРЕНКО, консультант центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) главного управления безопасности и защиты информации Банка России; Александр ТУРКИН, независимый эксперт; Вадим ФЕДОРОВ, начальник департамента информационных технологий «АНКОР БАНК»; Дмитрий ХОМЯКОВ, начальник службы информационной безопасности ПАО «Межтопэнергобанк»; Валерий ШЕВЧЕНКО, начальник управления информационных технологий АКБ АО Банк «Век»; Сергей ЩЕГЛОВ, начальник отдела информационной безопасности департамента аналитики и банковских технологий КБ «БФГ-Кредит»; Александр ЩУКИН, корреспондент «Новое Время»; Андрей ЯНКИН, руководитель отдела консалтинга центра информационной безопасности компании «Инфосистемы Джет».

ВЕДУЩИЕ:
Игорь ЕЛИСЕЕВ, заместитель директора по развитию Академии информационных систем; Елена ЕЛИСЕЕНКОВА, генеральный директор NBJ; Анастасия СКОГОРЕВА, главный редактор NBJ.

 

Как соблюсти требования регуляторов по информационной безопасности в ситуации, когда финансово-кредитные организации вынужденно сокращают свои расходы? Насколько часты случаи, когда уволенные сотрудники, до этого работавшие в департаментах и управлениях ИБ, мстят своим экс-работодателям, унося критически важную для банков информацию? Должно ли сотрудничество банков с созданным при ЦБ РФ FinCert быть добровольным или обязательным? Какую роль мог бы сыграть в нынешних условиях аутсорсинг в сфере ИБ? Это далеко не полный перечень вопросов, оказавшихся на повестке дня круглого стола «Антикризисная информационная безопасность в финансовом секторе». Мероприятие было организовано NBJ при содействии Ассоциации российских банков и Академии информационных систем.

NBJ: Тему антикризисной информационной безопасности мы поднимали в рамках аналогичного круглого стола не так уж давно, всего 3–4 месяца назад, – казалось бы, что нового могло произойти в этой сфере? Как выяснилось, много чего произошло. Что мы видим на сегодняшний день? Усиливается регуляторное давление, причем именно с точки зрения выполнения банками требований в сфере ИБ. Продолжается сокращение бюджетов, и, следовательно, сокращается численность персонала. Усиливается хакерская активность, причем все более заметным становится смещение вектора хакерской активности от счетов клиентов на корсчета и информационные системы банков. Никуда не делись и так называемые санкционные риски, поскольку финансово-кредитные организации в большинстве своем продолжают использовать информационные системы и ИТ-решения западного производства. Плюс к этому можно отметить и возросшие риски инсайдерства.
Это далеко не полный список вопросов, которые мы бы хотели сегодня обсудить. Предлагаем начать с первого вопроса, заявленного в нашем тематическом плане: есть ли средства, которые помогут банкам соблюсти требования регулятора к ИБ, защитить финансово-кредитные организации от атак и сделать все это в нынешних условиях сокращающихся финансовых возможностей банков и «порезанных» бюджетов?

В. ОКУЛЕССКИЙ: Могу однозначно сказать, что если кто-то ждет озвучивания единого для всех рецепта решения вышеназванных проблем, то его надежды напрасны. Такого рецепта нет и никогда не будет. Сколько существует банков, столько существует уникальных систем информационной безопасности. Поэтому департаменты и управления ИБ вынуждены бороться с возникающими проблемами в одиночку.

Что касается тех особенностей, которые принес с собой кризис, то они описаны модератором вполне исчерпывающе и верно. Действительно, сокращается численность сотрудников служб ИБ, сложность и объемы задач растут, а бюджеты урезаются. Мы еще в Банке Москвы ощущали все эти тенденции. И единственное, что я могу посоветовать своим коллегам в сложившейся ситуации: ребята, надо быть профессионалами!

М. ЛЕВАШОВ: Я не во всем соглашусь с уважаемым Василием (Окулесским. – Прим. ред.). По моему убеждению, универсальные рецепты есть, и их явно больше одного. Один из них – это аутсорсинг. Содержание профессиональных дорогостоящих «безопасников» в штате могут себе позволить крупные и частично средние банки. А что делать всем остальным? Между тем есть компании, которые могут взять на себя почти все процессы информационной безопасности. И это не теория – такие вещи реализуются и на практике. При этом расходы на оплату услуг аутсорсеров ниже, иногда и существенно, чем расходы на содержание своих внутренних служб информационной безопасности.

А. ДВОРЯНСКИЙ: На наш взгляд, тема аутсорсинга ИБ действительно достаточно новая для нашего рынка, и, возможно, именно поэтому она вызывает у большинства участников рынка настороженность. Однако уже есть несколько примеров успешной передачи значительного пакета функций в сфере ИБ на частичный или полный аутсорсинг. Есть банк, входящий в ТОП-300, он был вынужден в условиях кризиса существенно сократить и расходы по содержанию службы ИБ, и расходы на персонал. Финансово-кредитная организация, оценив экономическую эффективность и возможные риски ИБ-аутсорсинга, пришла к выводу, что это выгодно как с экономической, так и с ресурсной точки зрения. Благодаря этому можно существенно экономить, например, на поддержке и обслуживании антивирусных систем, систем контроля за утечками информации – DLP, систем веб-фильтрации и защиты почтовых ресурсов. По итогам нескольких месяцев работы экономическая эффективность аутсорсинговой модели обслуживания составила 34%. А это, согласитесь, совсем неплохой результат в условиях, когда банки вынуждены считать каждый рубль. Конечно, важным моментом является наличие детально проработанного и действительного функционирующего SLA.

А. ВИЛЬДМАН: Аутсорсинг – это, конечно, замечательно, но у меня сразу же возникает вопрос: на кого ложится финансовая ответственность за ущерб, понесенный банком в результате «косяков» аутсорсинга? Этот ущерб, например, может возникнуть в результате инсайдерства. Например, когда увольняется сотрудник службы, которую я возглавляю, – я четко понимаю, какой информацией он владеет, и знаю, какие пароли нужно изменить. А что прикажете делать, когда увольняется сотрудник компании-аутсорсера? Вы как глава службы безопасности банка можете сказать, какой конкретно информацией он владеет? Вы можете предугадать на 100%, куда дальше пойдет эта информация? Нет. И это как раз создает очень существенные риски для банка, использующего аутсорсинг в сфере ИБ.

Второй момент, который я хотел бы осветить в своем выступлении: мы все говорим о защите, но при этом понимаем, что защищаться мы можем до бесконечности, а злодеи все равно всегда будут впереди нас. Но как тогда построить ИБ-системы таким образом, чтобы минимизировать ущерб от их действий? Я считаю, что именно это сейчас важно обсуждать. Что делать, когда речь идет о защите платежных систем, системы передачи финансовых сообщений и системы «банк-клиент»? Считаю, что необходимо рассмотреть вопрос дополнительного подтверждения платежной информации, передаваемой через платежную систему Банка России по такому же принципу, как это реализовано в системах ДБО. Это позволит минимизировать риски при использовании АРМ КБР.

М. ЛЕВАШОВ: На мой взгляд, в рамках такого обсуждения было бы резонным поставить следующий вопрос: раз мы все в курсе того, что в последнее время участились фрод-атаки на клиентов банков, а в самых последних случаях – и на корсчета самих банков, почему бы Банку России не использовать системы фрод-мониторинга, которые применяют банки? Например, мы в Банке «Открытие» используем разработанную российской компанией систему, которая за четыре года доказала свою высокую эффективность. Мы готовы предоставить эту систему Банку России в опытную эксплуатацию, чтобы регулятор мог оценить ее эффективность в своей платежной системе. То же самое можно было бы сделать и с аналогичными системами других банков.

Теперь о сравнении степени доверия своему специалисту или специалисту компании-аутсорсера, а также о возмещении ущерба в аутсорсинговой схеме. Эти вопросы уже неоднократно поднимались при рассмотрении возможностей использования такой схемы в ИБ. И я всегда отвечал на эти вопросы следующим образом. На первый взгляд кажется, что «своя рубашка к телу ближе», т.е. свой специалист потенциально принесет меньше ущерба. Однако при более детальном рассмотрении это не всегда так. Логика рассуждения здесь такая: известная на рынке аутсорсинговая компания очень дорожит своей репутацией и имеет объективно совершенно другой настрой на выполнение работ у заказчика, чем сотрудники самого заказчика. Практика показывает, что «внутренние» нарушители гораздо опаснее любых внешних исполнителей, которые хорошо мотивированы своей компанией. С собственного сотрудника, как с любого физического лица, практически невозможно взыскать по решению суда причиненный им ущерб, в то время как с юридического лица это сделать вполне реально. Компания-аутсорсер дорожит своей репутацией и при возникновении происшествий и споров с заказчиком будет предпринимать максимальные усилия, чтобы сохранить хорошую репутацию.

NBJ: Тема аутсорсинга – и мы можем судить об этом по тому, как она горячо обсуждается, – не чужда для банковского рынка. Но давайте все же отвлечемся от нее и посмотрим, есть ли другие рецепты решения тех проблем, которые сейчас стоят перед банками в рамках обеспечения ИБ. С учетом этого я хотел бы обратиться к компаниям-интеграторам и узнать их мнение вот по какому вопросу. Нам часто говорят о необходимости превращения служб ИБ из затратных подразделений в прибыльные – возможно ли это, с Вашей точки зрения, уважаемые интеграторы?

А. ГРИШИН: Давайте я попробую ответить на этот вопрос совершенно откровенно. Могут ли службы ИБ в банках приносить прибыль? Нет, не могут. Банк может терять средства в результате успешных хакерских атак, службы ИБ могут либо предотвращать эти атаки, либо возвращать те деньги, которые были похищены. Но в любом случае говорить о прибыли в данном контексте неуместно. Интеграторы могут быть прибыльными, аутсорсеры могут быть прибыльными, но не внутренние службы ИБ банков.

Если говорить о том, как мы видим себе дальнейшее развитие ситуации в ИБ в финансовом секторе, то я хотел бы констатировать следующее. Был достаточно хороший период, для которого были характерны серьезные вливания в compliance, когда вкладывались огромные средства в техническую и программную составляющие. И что же? В последние несколько лет мы увидели, какое количество железа «греют серверные» совершенно бесполезно. А почему? Потому что «железо» закупалось, а процессы не выстраивались. И это, к сожалению, не частный случай, а общая ситуация для рынка. 

Как с этим бороться? На мой взгляд, тут есть только один способ – надо выстроить процессы. Можно самостоятельно, можно, передав решение этой задачи на откуп интеграторам. Естественно, что каждый банк должен принять это решение с учетом своих особенностей. Как справедливо сказал Василий Окулесский, некоего универсального для всех решения в этом вопросе нет и быть не может. 

В. ОКУЛЕССКИЙ: Давайте не обманывать самих себя: информационная безопасность сама по себе не экономит деньги и не генерит их. Она может быть интегрирована в систему безопасности бизнеса в целом. То есть речь идет о целом комплексе работ, в который вовлечены сотрудники нескольких подразделений, включая и тех, кто работает непосредственно с клиентами. Выделить отдельно из этой системы ИБ и оценить ее эффективность с точки зрения экономии или добывания денег, на мой взгляд, невозможно. 

Но, осознавая это, давайте не будем впадать в другую крайность, утверждая, что раз служба безопасности не может приносить прибыль, то она и вовсе не нужна. Без ИБ банк не может нормально работать! Надо менять задачи служб и управлений информационной безопасности в финансовых организациях, и надо менять всю парадигму отношения к ИБ. 

А. ВЕЛИГУРА: Я бы хотел начать свое выступление с реплики по теме аутсорсинга. В чем главная причина того, что банки не хотят использовать этот инструмент? В том, что они рассуждают следующим образом: как это, мои секреты, да кому-то показать? В этом отношении финансово-кредитные организации страшно «ревнивы», поэтому не стоит ожидать в обозримом будущем изменения их отношения к аутсорсингу. Также не стоит ожидать и того, что они перед лицом общих угроз и рисков объединятся и будут одним фронтом защищать некий единый периметр. 

Есть и еще одна проблема, которую я хотел бы затронуть в своем выступлении. Мы все не раз бывали на различных круглых столах, форумах и конференциях, посвященных ИТ в банковском секторе. И не раз видели, как банковские «айтишники» с горящими глазами рассказывали о решениях, которые обеспечат большую лояльность клиентов к банкам, увеличат продажи различных банковских продуктов и услуг и т.д. К банковской безопасности они при этом относились как к чему-то второстепенному, вспоминали о ней, только когда заходила речь о том, какие риски потенциально может породить внедрение того или иного ИТ-решения. И я согласен с В. Окулесским: надо менять парадигму отношения к ИБ.

NBJ: Легко сказать, но, наверное, ох как сложно сделать.

А. ВЕЛИГУРА: Естественно, этого невозможно добиться, предприняв некое разовое действие. Но Банк России обещал выработать национальный стандарт и систему сертификации для ИТ-средств, которые используют в банковской среде. Думаю, мы должны помочь регулятору в этом деле. И мы должны добиться изменения отношения ИТ к ИБ. Ведь сейчас самая расхожая ситуация, когда «безопасники» говорят об ИТ, а ИТ о «безопасниках» даже не вспоминает до тех пор, пока не «клюнет жареный петух». 

А. ЕГОРЫШЕВ: А почему бы нам, раз мы так горячо обсуждаем в том числе и тему аутсорсинга, не поговорить о переводе службы ИБ – пусть не полностью, хотя бы частично – в региональную сеть? Есть такой опыт на рынке, когда службы ИБ были разделены на центральный и региональный офисы и сотрудники обеспечивали информационную безопасность из регионов. Это позволяло очень сильно экономить на зарплатах, плюс к этому сотрудники в регионах были просто колоссально мотивированы работать долго на одном месте. В Москве мы все наблюдаем кадровую текучку – в регионах все иначе. 

Что касается сокращения персонала, я ни разу не сталкивался с тем, чтобы в банках в рамках бюджетной экономии сокращали исключительно специалистов ИБ. Обычно их сокращают вместе и примерно в равных пропорциях со специалистами ИТ. Это логично, потому что и те, и другие имеют отношение к информационным технологиям. И тут как раз, на мой взгляд, задача руководителя ИТ-службы – найти подход к руководителю ИБ, ведь при сокращениях зрелость и процессов ИТ, и процессов ИБ снижается. Это является общей проблемой, и решать ее эти два руководителя должны в связке. 

Я пережил несколько волн сокращений служб ИБ в различных банках и не понаслышке знаю, что руководство банка всегда требует от руководителей ИБ обоснований: почему численность персонала этих служб должна быть именно такой, а не другой? Приходилось смотреть исследования Gartner, изучать опыт западных банков в этом вопросе. И в этих ситуациях такие компетенции руководителя ИБ, как понимание бизнес-процессов, знание стратегии организации в целом, грамотная оценка рисков, места и задач своего подразделения, могут позволить правильно донести до руководства важность обеспечения ИБ, особенно в кризисное время, и максимально сохранить численность и бюджет подразделения.

NBJ: Сейчас, наверное, самое время предоставить возможность выступить представителю Банка России, принимающему участие в нашем обсуждении.

А. СУДАРЕНКО: На самом деле, столько уже всего было сказано, что мне непросто сразу решить, какие из поднятых тем являются наиболее важными. Вопросы про аутсорсинг и про смену парадигмы в отношении в банках к ИБ замечательные, и, по моему убеждению, их надо всесторонне обсуждать и не пытаться от них уйти. Это действительно общие тенденции для рынка.

Что касается вопроса об антифроде, который должен быть создан в Центральном банке. Те, кто был на Уральском форуме по ИБ, могли убедиться, что мы работаем над этой темой, но она делится на две части: внутренний антифрод в ЦБ и глобальный антифрод в банковском сообществе. Если говорить о внутреннем антифроде, то тут многое неясно: просто «перетащить» решение, которое работает в коммерческом банке, в ЦБ не получится, и мы отдаем себе в этом отчет. Однако из-за этого было бы неверным закрыть эту тему в принципе. 

Что касается сертификации, то тут как раз у меня как у сотрудника ЦБ возникает вопрос, на который я хотел бы получить откровенный ответ от представителей банковского сообщества: вам обязательно нужна палка для того, чтобы делать свою работу? Василий Андреевич (Окулесский – Прим. ред.) правильно сказал: единого способа организации защиты банковской организации нет. 

Каждый будет вынужден делать это самостоятельно, так почему же вы настаиваете на создании ЦБ какого-то общего для всех свода правил? Мы можем только задать вектор, и если вы посмотрите на работу нашего комитета по стандартизации, то мы это делаем. Другое дело в том, что мы хотим, чтобы банковское сообщество более плотно участвовало в его работе. Так как сейчас нередка ситуация: мы выходим с какими-то предложениями, а нам говорят, что все не так и не то.

NBJ: То есть банкирам хочется, чтобы появилось что-то вроде ГОСТа, но...

А. СУДАРЕНКО: Но потом они же начинают жаловаться, что ЦБ «навешивает» финансово-кредитным организациям дополнительные сложности в работе. 

Позволю себе еще немного лирических замечаний – не как представитель регулятора, а как специалист по ИБ. Очень много здесь было сказано про службы ИБ, но как про некие части, замкнутые в себе и на себе. А вы никогда не думали о том, что следует распространить понятие «мы» на службу и на банк в целом? Например, поднимается вопрос о том, чтобы поставить дополнительные пути авторизации банка в БР, – а вы не думаете, как на это отреагирует ваш бизнес? Возникает впечатление разрыва: служба ИБ отдельно, банк как бизнес – отдельно. 

А. ВИЛЬДМАН: Что бизнес будет недоволен, это нормально. Любая новая мера в рамках обеспечения ИБ непопулярна: когда вы перекрываете людям интернет, порты, флешки, вводя дополнительные пути авторизации, все бегут к руководству и жалуются на то, что ИБ мешает им работать. Но всегда можно убедить коллег, что это необходимо. И тем более легко это будет сделать, если это будет решением Банка России: лично я не знаю ни одного председателя правления, который отказался бы претворять в жизнь подобное решение. 

А. СУДАРЕНКО: Это так. Но наш подход  таков, что обычно мы спрашиваем у банковского сообщества, как оно относится к той или иной мере и как реализация этой меры может отразиться на функционировании кредитных организаций.

А. ВИЛЬДМАН: Мне представляется, что в данном случае роль ЦБ можно сравнить с ролью врача: если он говорит, что пора рвать зуб, то, наверное, бесполезно бегать от него и надеяться, что зуб как-нибудь сам пройдет. Не вышло бы хуже. 

М. ГОРЧАКОВ: Хочу подтвердить слова А. Вильдмана на примере положения ЦБ РФ N 382-П. До появления этого положения было весьма проблематично объяснить руководству банка и бизнесу, зачем вообще нужна служба ИБ. Как только это положение появилось и стало составным элементом законодательной базы – стало ясно, что банки в обязательном порядке должны иметь службу ИБ, наряду со службами внутреннего контроля, внутреннего аудита и службой управления рисками.  

А. МАСАЛОВИЧ: Я бы тоже хотел отреагировать на то, что было сказано ранее моими коллегами. Мы с вами обсуждали вопрос о том, возможно ли сделать ИБ прибыльным направлением в деятельности банка. На мой взгляд, вопрос следует формулировать иначе: не как сделать ИБ прибыльным, а как повысить ценность этой службы. Так вот, в этом случае я могу всех обрадовать: по моему опыту, практически каждую неделю возникает ситуация, в которой руководство банка с удовольствием выслушает руководителя службы ИБ. И если уж мы тут стали оперировать медицинскими аналогиями, то скажу так: наша служба – это как доктор, которого зовут при обострении аппендицита. Пока в боку не колет, никто не интересуется, что там внутри нашего организма, – но, как только начинаются боли, мы бежим к врачу и слушаем его объяснения и рекомендации. 

Мы все знаем, что примерно раз в неделю в интернете проходит «черный пиар» по отношению к какому-либо банку, причем он направлен и на малые, и на средние, и на крупные организации, в этом смысле все они равны. Я коллекционирую эти случаи и могу сказать одно – все эти прецеденты роднит одно и то же: защитой устойчивости бренда занимается служба PR, а не служба безопасности. 

Немногочисленные случаи, когда банк отбивал атаку и сохранял свою репутацию, роднит два общих свойства: то, что в банке службой ИБ была развернута очень простая, но в то же время очень эффективная система контроля оперативной остановки, и правильные действия антикризисного штаба в течение первых трех часов после атаки. Особенность такого штаба в том, что он работает под руководством вице-президента, это раз, и второе – что рядом с этим вице-президентом есть человек, который знает, что следует делать. И третье обязательное условие: этот человек должен быть сотрудником службы ИБ. Если эти условия соблюдаются, то руководители банка с частотой раз в неделю как минимум будут с удовольствием вас выслушивать, чтобы понять, как не стать следующей жертвой атаки черного пиара.

А. ДВОРЯНСКИЙ: Добавлю от себя буквально два слова по поводу повышения значимости службы ИБ, но зайду немного с другой стороны. Если десять лет назад атаки на банки осуществлялись малыми группами, по сути своей, любителями, то сейчас мы все чаще имеем дело с действиями полноценных ОПГ. Атаки досконально планируются, заранее согласовываются со всеми участниками криминальной схемы, очень хорошо ресурсно подкрепляются, в том числе и с финансовой точки зрения. Поэтому, когда мы рассуждаем о повышении значимости служб ИБ, надо учитывать, что хакеры тоже не стоят на месте: они становятся все более профессиональными, организованными и представляют собой более чем явную и полноценную угрозу для банковского сообщества.

NBJ: Один из вопросов, на наших взгляд очень важных, является вопрос о деятельности FinCert, созданного при Центральном Банке России, и о реакции банковского сообщества на появление и работу этой структуры. Наверное, лучше всего информацию по этой теме получить из первых рук – от представителя этого Центра, принимающего участие в нашем круглом столе. Артем, как вы считаете, можно ли превратить FinCert в реального союзника банковских организаций? Ведь на сегодняшний день, судя по статистике, такого восприятия нет: банки не рвутся сообщать регулятору об инцидентах в сфере ИБ. Возможно, прав руководитель БСТМ при МВД России генерал Мошков: надо сделать подобный обмен информацией обязательным для банковских организаций, и тогда все «заколосится»?

А. СУДАРЕНКО: Это личное мнение гла-вы БСТМ, на которое он, безусловно, имеет право. Что же касается ЦБ, то мы изначально придерживались в данном вопросе принципа добровольности и доверия. 

NBJ: Это, конечно, хорошо, но тут есть один очень тонкий момент: вся информация, которую предоставляют банки по этому вопросу, первым делом попадает в департамент надзора, и только оттуда  в FinCert. Естественно, что многих банкиров это «напрягает». Но, с другой стороны, есть общее правило: если вы хотите выиграть в лотерею, вы должны хотя бы купить билет, а если мы хотим, чтобы  FinCert стал для нас помощником, то мы должны делиться с ним имеющейся у нас информацией. Иными словами, это  дорога с двусторонним движением. 

А. СУДАРЕНКО: Я считаю, что все произойдет естественным путем. Банки с каждым днем все больше понимают важность и необходимость информационного обмена. Что касается тех, кто сомневается в этом, мы готовы выслушать их мнение, пойти им навстречу и внести изменения в свою работу. 

Что касается опасений насчет того, что информация, передаваемая в наш Центр, может быть использована для лишения банков лицензий. Всем известно, что в рамках своего выступления на Уральском форуме по ИБ первый заместитель председателя ЦБ Георгий Лунтовский сказал, что у нас есть предположения, что информационные системы в некоторых банках целенаправленно «роняли» для того, чтобы скрыть факты вывода активов из организаций. Да, банки, о которых шла речь, действительно лишились лицензий – но давайте ответим себе на вопрос почему? Потому, что они были атакованы? Конечно же, нет. Тогда зачем запугивать самих себя, выдумывая какие-то ужасы о том, что может произойти в случае передачи информации в FinCert? Давайте зададимся вопросом: если банк честен и перед регулятором, и перед самим собой, то что его должно останавливать? А если он не передает подобную информацию, то, возможно, не все с ним чисто и безупречно?

А. СВИРИДЕНКО: Мы все знаем, что в конце прошлого года прошел ряд атак на информационные системы банков. Может ли FinCert рассказать, какую помощь он оказал банкам в возврате похищенных средств? Вот такой отчет, на мой взгляд, продемонстрировал бы целесообразность участия в подобном обмене информацией лучше всяких слов и призывов.

А. СУДАРЕНКО: Я с удовольствием отвечу на ваш вопрос. Мы как в конце прошлого года, так и в начале этого неоднократно производили рассылки своих аналитических материалов, в которых указывали на возможные виды атак, перечисляли «маркеры», по которым можно было установить признаки совершения таких атак. Так вот, после получения этих материалов один из банков, участвующих в обмене информацией, нашел у себя в системе вирус ровно по тем маркерам, которые мы указали. Вы считаете, что это не помощь кредитным организациям в предотвращении преступлений в сфере информационной безопасности?

А. СВИРИДЕНКО: Мой вопрос немного о другом – способен ли Центр оказывать банкам помощь в тех случаях, когда атака удалась, и на повестке дня вопрос не об ее отражении, а о возврате средств, которые были выведены со счетов по результатам этой атаки.

А. СУДАРЕНКО: Да. Представьте себе ситуацию – а она происходит в реальности – когда у банка «укладывают» информационную систему и он лишается возможности направить даже электронное сообщение. Мы в таких случаях часто получаем звонки, и нам с паническими нотками в голосе сообщают, что вот как вышло, куда же теперь звонить и к кому обращаться? Мы в таких случаях берем на себя работу банка и звоним в кредитные организации, куда ушли деньги, с просьбой посодействовать. И это дает свои результаты. И отмечу еще один момент: в этой работе участвует не только FinCert, но и правоохранительные органы, например Управление «К» при Министерстве внутренних дел России.  

В. ОКУЛЕССКИЙ: Мне кажется, что на Уральском форуме по ИБ прозвучало очень правильное предложение в рамках налаживания взаимодействия между FinCert и банками. Надо сделать интерактивный интерфейс, чтобы можно было направлять сообщения не через почту, а оперативно, и передавать информацию и анализировать ту статистику и отчеты, которые выкладывает FinCert. Создание такого интерфейса обеспечило бы более живое общение, чем есть сейчас. 

NBJ: Раз уж мы снова вернулись к тому, что было сказано в рамках Уральского форума, то я хотел бы напомнить о заявлении руководителя FinCert Артема Михайловича Сычева. Он сказал, что ЦБ может позволить банкам нарушать банковскую тайну в тех случаях, когда это необходимо для расследования или предотвращения преступлений в сфере ИБ. Насколько это реально?

А. СУДАРЕНКО: Сразу поправлю: не ЦБ может это разрешить, а закон. Такой законопроект есть, и если он будет принят Госдумой РФ, то, конечно же, у нас появится новый инструмент для обмена данными.

Касательно того, о чем сказал Василий Андреевич (Окулесский. – Прим. ред.) Мы несколько раз говорили – возможно, недостаточно внятно, –  о том, что вопросы автоматизации нашего взаимодействия у нас стоят на первом месте. Хотелось бы получать от банковского сообщества постоянный фидбэк по этой теме: что оно считает сделать наиболее целесообразным, какие каналы коммуникации оно считает наиболее эффективными. 

А. ВИНОГРАДОВ: Не хочется мне критиковать FinCert, но скажу честно: на сегодняшний день это чистый «междусобойчик». Кто хочет, делится информацией, кто не хочет – нет, никто никому ничем не обязан. На мой взгляд, ситуация могла бы сдвинуться с мертвой точки, если бы в банки присылались письма следующего содержания: просим выделить специалиста для взаимодействия с FinCert. А сейчас сотрудник, получающий рассылку из ЦБ, звонит мне и спрашивает: а что мне дальше с этим делать? 

Конечно, возникает и другая проблема. Вот, как мы все знаем, в начале года в одном из банков произошло крупное хищение средств. Что мысленно говорит руководство этого банка: да, «кашникам» мы, конечно, об этом скажем, а ЦБ – да вы что, они же нам спецпроверку устроят! То есть тут же возникает тень надзорного блока.

На мой взгляд, все эти дилеммы возникают потому, что в свое время отказались от идеи сделать FinCert, как и НСПК, «дочкой» – не структурой в системе ЦБ, а именно дочерней организацией, выведенной из состава ЦБ. Тогда бы вот эти страхи «передаю информацию в ЦБ, а ко мне приходит с внеплановой проверкой надзор» не возникали бы. Почему нельзя вывести Центр за периметр ЦБ и в 395-1 ФЗ «О банках и банковской деятельности» прописать, что разрешается в целях предотвращения хищения денежных средств обмениваться информацией в рамках FinCert... Все, вопрос будет решен!

NBJ: Нам кажется, что не менее актуальным, чем вопрос противодействия киберпреступности, является  вопрос наказания тех, кто участвовал в организации или в осуществлении подобных преступлений. И с учетом этого очень хотелось бы, чтобы в нашем обсуждении принял участие представитель МВД России. 

Е. МИХАЛЕВ: Первое, что я хотел бы сказать: банкиры, как можно убедиться, достаточно активно атакуют FinCert, упрекая эту структуру в несовершенстве. Между тем, по моему глубокому убеждению, FinCert как раз нуждается в их поддержке, тем более что он не сидит, сложа руки. За первые два месяца этого года Центр способствовал предотвращению атак, которые в случае их успеха привели бы к хищению со счетов банков средств на общую сумму в 2,2 млрд рублей. Не все эти попытки удалось предотвратить, но реальные потери в результате не превысили 200 млн рублей. 

Вы прекрасно должны понимать: чем быстрее вы отреагируете на нестандартное поведение систем или даже на потерю некоторыми сегментами управления банка, тем меньше будет ущерб, который вы понесете. Поэтому  я считаю вполне закономерной рекомендацию – надо сразу же, при первых же признаках атаки, обращаться либо в  FinCert, либо в Управление «К» МВД, если у вас есть на нас «выход». В этом случае можно остановить «рейс» на уровне центра обработки данных. В этом году уже есть факты, подтверждающие это: были спасены десятки, если не сотни миллионов рублей. И мы как представители Управления «К» потом встречаемся с теми, кто еще вчера не верил в это, а сегодня на собственном опыте понял, что это возможно. 

Мы должны четко осознать: мы боремся с одним врагом. А дальше мы должны ответить себе на вопрос: либо мы полностью доверяем друг другу и рассматриваем друг друга как союзников в этой борьбе, либо мы должны расписаться в своем бессилии. Мы не сможем противостоять преступникам, которые работают в криминальном синдикате и, объединив незнакомые между собой серверы, договариваются гораздо быстрее, чем мы.

NBJ: А легко ли доводить дела до суда, если они возбуждены против участников преступных сообществ, ориентированных на вывод денег с корреспондентских счетов банков в Центральном банке, а не против участников классических хакерских атак?

Е. МИХАЛЕВ: Да на самом деле, с юридической точки зрения тут никакой разницы нет. Неважно, атакуют ли преступники счет клиента или «расчетник» банка – точнее, различие тут только в технике совершения преступлений и в размере хищений. При этом надо понимать, что часть денег, которые выводятся со счетов банков, идет на повышение уровня «профессионализма» подобных преступных сообществ. Нам приходится противостоять в этом случае не скучающим школьникам или студентам, а преступной индустрии, причем очень разветвленной. Такая ОПГ может по численности превышать 100–150 человек. При этом многие из участников понятия не имеют об организаторах группы: им, по сути своей, все равно, для кого они обналичивают похищенные средства, или пишут вредоносное ПО, или его перекриптовывают. 

Так что с учетом всего вышесказанного я повторю свой призыв: используйте такой инструмент, как FinCert. Раз мы имеем дело с организованной преступностью, то и противодействие ей тоже должно быть организованным. 

NBJ: Давайте перейдем к следующему вопросу. У нас есть в тематическом плане мероприятия такой пункт, как санкционные риски и ответ на них. Как всем известно, в декабре прошлого года была запущена Национальная система платежных карт (НСПК) и появилась карта «Мир». Казалось бы, это шаг в правильном направлении, но в СМИ совсем недавно прошла новость, что НСПК будет аутсорсить часть своих функций через Visa. Не получается ли, что мы, попытавшись уйти от зависимости от МПС, по сути, вернулись к ней?

В. ОКУЛЕССКИЙ: Я бы призвал больше анализировать новости самостоятельно. Если мы хотим, чтобы наша российская карта «Мир» принималась везде, значит, мы должны смириться с тем, что она будет иметь элемент дуализма. Иначе и быть не может, и так будет всегда, пока у нас существуют трансграничная передача данных и трансграничные платежи. Мы обязаны использовать те механизмы, которые используются во всех международных системах, если мы хотим, чтобы она принималась за рубежом. Но это не технологическая зависимость, это именно дуализм!

NBJ: А если мы затронем вопрос о безопасности платежной карты «Мир», то...

В. ОКУЛЕССКИЙ: А что вы имеете в виду под безопасностью? Давайте скажем откровенно: российские системы шифрования всегда славились большей стойкостью по сравнению с теми системами криптографии, которые используются на Западе. Наши удостоверяющие центры находятся на территории нашей страны, они используют исключительно российскую криптографию, сертифицированную ФСБ, и они достаточно хорошо защищены. Поэтому я считаю, что вопросы безопасности во многом решены, и решены успешно. 

NBJ: Российская криптография – это хорошо, но решена ли проблема импортозамещения при выпуске карты «Мир» на уровне процессинга и программного обеспечения, и если решена, то насколько?

В. ОКУЛЕССКИЙ: Честно говоря, этот вопрос мне не совсем понятен. Мы работаем со всеми процессингами в нашей стране. На самом же деле, есть два аспекта деятельности нашей компании. Первый аспект – это обеспечение деятельности всех международных платежных систем у нас в России, и с июня прошлого года все платежи по картам, выпущенным МПС, обслуживаются в НСПК. И второй аспект – это карта «Мир», которая также обслуживается в нашем процессинге. 

NBJ: Наверное, наш круглый стол не был бы информационно полным, если бы мы не обсудили следующий вопрос: насколько велики риски, возникающие в результате увольнения специалистов служб ИБ и ИТ? Не в смысле того, как страдает от этого качество работ этих служб, а в том смысле, не могут ли эти люди перейти на «темную сторону силы» и влиться в состав тех преступных групп, о которых говорил представитель Управления «К» при Министерстве внутренних дел?

Е. МИХАЛЕВ: Знаете, мы не располагаем фактами, указывающими на то, что в ОПГ сколько-нибудь заметную роль играют бывшие сотрудники банковских служб ИБ и ИТ. Естественно, эти люди могут использоваться преступниками как крипторы и консультанты. Но, повторюсь, они обычно играют вспомогательные роли. Так что подобные риски, с нашей точки зрения, во многом являются надуманными. 

NBJ: Мы хотим поблагодарить всех, кто принял участие в нашем круглом столе. Живость дискуссии, разные точки зрения, которые были высказаны в ее ходе, как нельзя лучше показывают, насколько актуальными для финансового сектора являются вопросы обеспечения ИБ. И это, на наш взгляд, внушает надежду на то, что постепенно все поднятые в рамках нашего общения вопросы будут решаться – как говорится, сама жизнь заставит и регулятора рынка, и правоохранительные органы, и участников банковского сектора, и компании-интеграторы находить компромиссы, пути и механизмы преодоления всевозможных проблем.  

Поделиться:
 

Возврат к списку