В современных условиях, когда уровень киберпреступности зашкаливает, необходимо пересматривать принципы информационной безопасности банков. «Современный цифровой банк, стремящийся выстроить эффективную систему управления безопасностью, должен предпринимать усилия для трансформации культуры кибербезопасности», – считает руководитель службы информационной безопасности Сбербанка Сергей ЛЕБЕДЬ. В интервью NBJ он поделился своим видением ситуации в сфере ИБ.

«Уровень зрелости систем управления безопасностью в российской банковской системе оставляет желать лучшего»

NBJ: Сергей, на проходившем в середине октября форуме инновационных финансовых технологий FINOPOLIS 2016 Сбербанк заключил соглашения о сотрудничестве в сфере кибербезопасности с компаниями Microsoft и IBM. Речь идет о каком-то качественно новом уровне взаимодействия?

С. ЛЕБЕДЬ: Соглашения с Microsoft и IBM расширяют сотрудничество в области кибербезопасности – прогнозирование и аналитика угроз, проактивная защита, исследования в области кибербезопасности, наука и обучение – именно в этих направлениях Сбербанку интересно сотрудничество.

Сбербанк уже использует ряд продуктов и технологий IBM в области кибербезопасности. Соглашение с компанией позволит существенно расширить этот перечень: в частности, за счет инновационной когнитивной аналитики IBM, а также технологий компании по противодействию кибермошенничеству и расследованию инцидентов информационной безопасности. 

Мы выходим действительно на новый качественный этап взаимодействия с мировыми брендами, когда мы не только потребляем продукты этих компаний, но перенимаем их опыт, а иногда и совместно с ними учимся предотвращать киберугрозы, строить эффективные системы безопасности, соответствующие современным и будущим вызовам.

NBJ: Почему мировые бренды вам помогают, в чем их заинтересованность?

С. ЛЕБЕДЬ: Потому что благодаря мощной инфраструктуре и огромному количеству обрабатываемой информации Сбербанк представляет собой действительно уникальный полигон для отработки различных технологий и ­продуктов. 

NBJ: Как вы оцениваете сейчас ситуацию с информационной безопасностью в банковских организациях? Какие основные тенденции, влияющие на ее состояние, отмечаете?

С. ЛЕБЕДЬ: Настало время, когда информационные технологии действительно меняют мир. В основе изменений лежат информационные технологии, эффективное их применение и скорость разработки новых продуктов.

Когда появляются деньги, возникает необходимость их защищать. Мы давно уже не разделяем вопросы продукта и безопасности этого продукта. К сожалению, не все банки это понимают, многие организации работают по старым принципам, уделяют недостаточно внимания вопросам безопасности, относятся к ней формально, безопасность пытается «догонять» бизнес, и в этом случае возникает много проблем. Например, в этом году нам пришлось наблюдать несколько подобных ситуаций – ряд банков обратились к нам за помощью. Наши специалисты обнаружили в этих финансово-кредитных организациях троянские программы. В инфраструктурах банков были развернуты настоящие командные центры управления. Эти центры были готовы принять управление банком на себя в плане вывода денег и совершения мошеннических операций со счетами клиентов. 

Поэтому в целом по системе я бы охарактеризовал ситуацию как негативную, когда уровень зрелости систем управления безопасностью и понимания бизнесом роли и места безопасности оставляет желать лучшего.

Подходы к безопасности банков в современных условиях требуют коренного пересмотра. Мы в Сбербанке считаем, что, для того чтобы построить эффективную систему управления безопасностью для современного цифрового банка, необходимо предпринять большие усилия для трансформации культуры кибербезопасности прежде всего самого коллектива служб безопасности.

«Ежемесячно мы фиксируем десятки тысяч попыток мошеннических действий»

NBJ: Клиент по-прежнему остается стороной, которая подвергается атакам в большей степени, нежели банковская организация?

С. ЛЕБЕДЬ: Да, ситуации здесь совершенно разные. Для нашего банка, как, впрочем, я думаю, и для других финансово-кредитных организаций, более актуальна проблема хищения средств со счетов клиентов. Причем злоумышленники похищают деньги клиентов не из систем банка, а из систем дистанционного банковского обслуживания, внедряют туда вирусы и посредством этого переводят деньги на свои счета. 

С этой проблемой мы боремся с помощью систем противодействия мошенничеству. Но объем атак настолько велик, что предотвратить их все на 100% просто невозможно. Только ежемесячно мы фиксируем десятки тысяч попыток мошеннических действий.

NBJ: Некоторые специалисты говорят, что в последнее время участились таргетированные хакерские атаки на банковские системы. Фиксируете ли вы это?

С. ЛЕБЕДЬ: Под таргетированными атаками понимают атаки, направленные на конкретного клиента, конкретную организацию, конкретный банк. С учетом того, что систем ДБО существует ограниченное количество, выявить троянские программы, которые ориентированы на ту или иную систему ДБО, достаточно просто. Конечно, мы видим атаки на систему «Сбербанк Онлайн», однако они не вызывают у нас серьезных опасений, потому что в составе нашего мобильного приложения на базе операционной системы Android есть встроенный антивирус, разработанный в «Лаборатории Касперского», который позволяет успешно решать задачи защиты. Сбербанк – единственный банк, который внедрил в собственное мобильное приложение защитную систему «Лаборатории Касперского» – по существу, полноценное антивирусное решение. Что касается проблемы вирусных атак на наши мобильные приложения на других операционных системах, то мы стараемся контролировать ­ситуацию. 

Много проблем доставляют троянские программы, атакующие СМС-банк, который пользуется популярностью у клиентов, поскольку позволяет им с помощью СМС, без каких-либо приложений, осуществлять платежи. В этих случаях устройство пользователя потенциально уязвимо, если не предпринимать хотя бы базовых мер защиты.

К сожалению, мы отмечаем, что, как правило, пользователи совершают достаточно грубые ошибки в эксплуатации своих телефонов: разрешают системам безопасности устанавливать непроверенное ПО, заходят на недоверенные сайты, устанавливают с недоверенных ресурсов приложения, что и позволяет появиться на их устройствах банковским троянам.

Мы ведем большую работу, направленную на повышение грамотности и осведомленности клиентов в области информационной безопасности. Для этого мы публикуем информацию на нашем сайте, обучаем сотрудников правильно взаимодействовать с клиентами, чтобы помочь последним обезопасить свои мобильные устройства. Ну и, конечно же, на стороне банка наша система противодействия мошенничеству внимательно следит за безопасностью операций клиентов.

«Главный бич на сегодняшний день – это социальная инженерия»

NBJ: Какой вид атак у вас сейчас вызывает большее беспокойство? 

С. ЛЕБЕДЬ: Главный бич на сегодняшний день – это социальная инженерия. Каким бы защищенным ни был банковский продукт, если клиент сам отдает пароли и идентификаторы доступа в руки злоумышленников, то ни о какой защите речи быть не может. К сожалению, этим активно пользуются злоумыш­ленники, атакующие прежде всего наименее защищенные слои населения (я имею в виду пенсионеров).

Мошенники под разными предлогами предлагают совершить на телефоне определенную операцию и в процессе ее совершения получают необходимые параметры для перехвата управления счетом пользователя. Нужно констатировать тот факт, что злоумышленники не гнушаются даже маленькими суммами. Если раньше их интересовали операции, которые позволяли похищать большие суммы денег, то на сегодняшний день они используют даже микроплатежи в размере нескольких сотен рублей. 

NBJ: А такие виды атак, как DDoS-атаки, управление удаленным доступом?

С. ЛЕБЕДЬ: Со всеми техническими атаками мы успешно боремся, поскольку в банке построена многоуровневая система безопасности, позволяющая эффективно им противостоять.  

NBJ: Многие эксперты говорят, что сейчас очень актуальной стала проблема борьбы с инсайдерством. Разделяете ли вы эту точку зрения? Какие профилактические мероприятия проводятся в банке в рамках противодействия этому явлению?

С. ЛЕБЕДЬ: Такая проблема, безусловно, есть. Для того чтобы этому противостоять, в банке существует совокупность систем, которые отслеживают действия наших сотрудников в информационных системах. Есть мощные аналитические системы, которые обрабатывают эту информацию и успешно помогают искать внутренних злоумышленников.

NBJ: Каким образом противостояние ­России и Запада повлияло на обеспечение информационной безопасности в банках и повлияло ли вообще?

С. ЛЕБЕДЬ: Требования регулятора в этой области банк полностью выполняет. У нас развернута крупнейшая не только в стране, но и в Европе криптосеть. Все наши банковские системы, рабочие места и офисы объединены в единую криптографическую сеть, которая полностью соответствует требованиям регулятора и поддерживает российские криптоалгоритмы. 
Если требования регулятора предписывают внедрять решения российского производства, мы это делаем. Если таковых требований нет, мы выбираем решения, которые в первую очередь удобны для бизнеса и позволяют эффективно решать поставленные задачи.

«Целесообразно ввести дополнительные меры технического регулирования, которые бы обязали банки отвечать за безопасность своих банковских систем»

NBJ: Насколько, с вашей точки зрения, законодательство соответствует существующим вызовам? Иными словами, есть ли возможность с помощью него эффективно наказывать злоумышленников?

С. ЛЕБЕДЬ: К сожалению, эта область недостаточно отрегулирована в стране. Я бы выделил в этом вопросе два основных направления. Во-первых, наказание за совершение преступления. Во-вторых, техническое регулирование. 

Рассмотрим первое направление. Действия современных злоумышленников являются достаточно сложными как с технической, так и с организационной точки зрения. Преступные группы рассредоточены по разным городам и даже по разным странам. У них есть четкая диверсификация бизнеса: одни выводят деньги, другие пишут троянские программы, третьи управляют системами, четвертые ищут дропов и т.д. Кроме того, все эти услуги при желании можно купить в интернете, организовав таким образом свой теневой преступный ­бизнес.

У следственных органов возникают сложности не только в проведении расследований, но и при сборе доказательств того, что данная преступная группа действует в сговоре, имея четко сформулированные цели.

На сегодняшний день в Уголовном кодексе к подобного рода преступлениям может применяться статья «Мошенничество». Однако ответственность по этой статье совершенно несоизмерима с уровнем ущерба, который наносят злоумышленники. Поэтому банк предпринимает всевозможные усилия со своей стороны, для того чтобы в уголовном праве появилась статья «Кража с банковского счета», в соответствии с которой ответственность за киберпреступления была бы более строгой, дабы охладить пыл злоумышленников.

Второй аспект проблемы, о котором я говорил выше – это техническое регулирование. Здесь ситуация немного лучше благодаря наличию стандарта Центрального банка СТО БР ИББС. Этот стандарт важен, даже несмотря на то, что он носит рекомендательный, а не обязательный характер.

Думаю, что целесообразно ввести некие дополнительные меры технического регулирования, которые бы все-таки обязали банки отвечать за безопасность своих банковских систем.

NBJ: Как вы относитесь к предложению разделить банки по категориям по уровню выполнения ими стандарта СТО БР ИББС и к предложению запретить финансово-кредитным организациям оказывать определенные виды электронных услуг в случае, если они при этом не в состоянии обеспечить безопасность персональных данных или средств клиентов?

С. ЛЕБЕДЬ: Я думаю, что это вопрос компромиссов и договоренностей, потому что, если банк соблюдает все нормы безопасности, выполнение подобных требований для него не составит труда. Ему и делать для этого, по сути, ничего не придется. Для тех же финансово-кредитных организаций, которые изначально вопросам безопасности уделяли недостаточно внимания, любое регулирование будет создавать сложности и неудобства. 

Конечно, есть вопрос, во что может трансформироваться стандарт с точки зрения ответственности банков и необходимости реализации пунктов стандарта. Однако в целом я считаю, что данная идея имеет право на жизнь.

«Одно из направлений развития взаимодействия FinCert и банков заключается в автоматизации обмена информацией»

NBJ: Является ли Сбербанк участником обмена информацией об инцидентах в сфере ИБ в рамках FinCert, созданного при Банке России? Если да, то поделитесь, пожалуйста, вашими впечатлениями об этом инструменте. Позволяет ли он предотвратить риск совершения атак на банковские системы или хотя бы минимизировать последствия таких атак?

С. ЛЕБЕДЬ: Конечно, мы являемся участником обмена информацией в рамках FinCert, передаем информацию о наших инцидентах и получаем от FinCert предупреждения о потенциальных рисках, связанных с той или иной троянской программой или другой уязвимостью, которые FinCert наблюдает. 
На сегодняшний день говорить о высокой эффективности данного взаимодействия пока что рано, потому что все мы только в начале этого пути. Я вижу, что одно из направлений развития данного взаимодействия заключается в автоматизации обмена ­информацией. 
Информации поступает очень мно-го. Нужно не только проанализировать ее, но и  соответствующим образом настроить средства защиты. Пока нет понимания, как это можно реализовать на практике. Сейчас обмен данными происходит в ручном или в полуавтоматизированном режиме. К сожалению, пока что сохраняется достаточно большой временной разрыв между получением информации и ее применением в реальной практике. Но я думаю, что банковское сообщество создаст необходимые технические инструменты и решит данную проблему.

NBJ: В последнее время эксперты часто обсуждают импортозамещение в области информационных технологий, в том числе и технологий, используемых в целях обеспечения ИБ. Поделитесь, пожалуйста, своим видением проблемы импортозамещения. Могут ли отечественные разработчики предложить качест­венные решения в сфере ИБ?

С. ЛЕБЕДЬ: Служба безопасности, как и весь банк в целом, соответствует требованиям закупочных процедур. Все наши потребности публикуются в рамках открытых конкурсов. Эта информация позволяет видеть, что мы стараемся заказывать современные высокоинтеллектуальные средства зашиты. Я считаю, что с учетом тех требований в части производительности, скорости, надежности, которые предъявляет инфраструктура банка, таких решений на российском рынке нет. Хотя некоторые российские разработки мы используем.

«Аутсорсинг в сфере информационной безопасности – это современный, зрелый подход»

NBJ: Какова ваша позиция по поводу аутсорсинга в сфере ИБ? 

С. ЛЕБЕДЬ: Вопрос аутсорсинга является очень актуальным. Я думаю, что аутсорсинг в сфере информационной безопасности – это современный и зрелый подход.  С учетом того, что бизнес-сервисы постепенно уходят в облака, первичным является вопрос доверия. 

Здесь банки стоят перед выбором – либо они отстают с выводом новых продуктов на рынок, либо начинают управлять рисками и доверять своим облачным провайдерам.
Проблема аутсорсинга – это проблема управления рисками, стоимости этих рисков и анализа последствий реализации этих рисков.

NBJ: На одной из конференций представитель Сбербанка говорил о том, что важной проблемой в обеспечении ИБ является то, что разработчики продуктов идут одной дорогой, а специалисты по безопасности – другой. Насколько такой взгляд на вещи соответствует вашему видению?

С. ЛЕБЕДЬ: Мне кажется, данная проблема в Сбербанке давно решена. В нашем банке весь процесс вывода на рынок нового продукта неотрывно связан с решением вопросов безопасности. Все этапы разработки продукта, начиная с замысла, идут рука об руку с ­безопасностью. 

NBJ: Какие задачи в области обеспечения ИБ предстоит решить вашему банку в 2017 году и какие задачи были решены в этом году?

С. ЛЕБЕДЬ: Банк решил проблемы, связанные с защитой инфраструктуры. 

Отдельная серьезная задача – это повышение эффективности наших систем противодействия мошенничеству. Здесь уже многое сделано, но многое еще предстоит сделать. Так, мы повышаем точность нашей модели, боремся буквально за единицы процентов в области повышения эффективности систем.

Достаточно новым для нас направлением, которое требует сосредоточения усилий и большого внимания, является повышение эффективности системы управления безопасностью. Начиная от постановки цели на стратегическом уровне, анализа рисков и заканчивая операционной моделью управления, связанной с повышением эффективности реагирования на инциденты ИБ.

Именно для решения этих задач мы активно строим Операционный центр информационной безопасности (Security Operation Center, SOC). SOC – это новая система управления безопасностью, которая включает не только процессы, но и новые подходы к самой безопасности в организации. Это требует серьезной перестройки наших специалистов, использования проактивного подхода к ИБ, внедрения новых функций в системе управления. Например, у нас реализована такая функция, как security data scientist – специалист безопасности в области больших данных. Мы используем мировой опыт команд red team и white team. 

Red team ищет уязвимости в системах и показывает способы защиты. White team помогает эту защиту улучшить. Такой подход, когда одни специалисты выполняют операционные задачи, другие строят защиту, третьи непрерывно ищут уязвимости в инфраструктуре и продуктах, является для России достаточно новым. 

«Защиту нужно строить и совершенствовать не только от случая к случаю»

NBJ: Вы используете западный опыт в деле построения и совершенствования системы ИБ в Сбербанке?

С. ЛЕБЕДЬ: Да, и это не является секретом. В привычном для российского менталитета восприятии безопасность должна быть формализованной и бумажной, поэтому использование таких подходов является необычным. Они нигде не прописаны, не определены руководящими документами. 

Западные компании уже какое-то время назад пришли к пониманию, что защиту нужно строить и совершенствовать не только от случая к случаю (например, при подготовке к очередному аудиту на соответствие каким-то требованиям, как это зачастую бывает у нас). Когда системы тестируются в ежедневном режиме – причем для команды, которая это делает, тестирование является основной и единственной задачей – безопасность повышается в разы.

NBJ: Чей конкретно опыт вы использовали?

С. ЛЕБЕДЬ: Мы детально изучали опыт Ситибанка, а также знакомились с опытом ведущих американских компаний – лидеров ИТ-индустрии. Хотя известно, что подобные практики используют и другие банки. 

В Ситибанке показали, как это работает вживую, и это произвело на нас очень большое впечатление. Особенно впечатляет факт, что в таком крупном банке существует всего лишь одна сеть, в которой находятся и пользователи, и критические системы. В такой ситуации всегда возникает большой риск компрометации, потому что любая уязвимость потенциально может привести к компрометации всей сети, всех продуктов. Но одновременно это создает замечательные условия для развития ИТ-систем и для быстрого вывода новых продуктов на рынок. Потому что система ИТ-инфраструктуры прозрачна и проста. В случае же многоэшелонированных и сильно защищенных сетей интеграция и запуск продукта занимают больше времени.

NBJ: Ситибанк – настолько открытая структура?

С. ЛЕБЕДЬ: Мы очень удивились такой открытости. Делегация Сбербанка посетила Fusion-центр Ситибанка, который управляет безопасностью организации по всему миру. Это святая святых безопасности Ситибанка. Нам показали всю систему управления, все консоли, инциденты, выполняемые задачи. 

Также нас удивил уровень взаимодействия бизнеса с правоохранительными органами. Практически все службы, которые могли так или иначе повлиять на разрешение какого-то инцидента, находились в режиме онлайн с Fusion-центром. Для России такой уровень взаимодействия остается пока недостижимым, к сожалению.

Мы здесь воочию увидели то, что в России называется государственно-частным партнерством, в действии. 

NBJ: Такое взаимодействие с правоохранительными органами для нас – это очень отдаленная перспектива?

С. ЛЕБЕДЬ: Мы стараемся работать с нашими коллегами из силовых ведомств, всячески поддерживаем инициативы по взаимодействию с ними. В этом году мы заключили ряд соглашений о сотрудничестве с ФСБ и МВД. Мы готовы обмениваться информацией.

NBJ: Вы использовали только опыт Ситибанка?

С. ЛЕБЕДЬ: Нет, мы видели, как работают системы безопасности таких лидеров ИТ-индустрии, как Cisco, Oracle и др. Мы были в операционных центрах управления безопасностью компаний IBM и Microsoft. Нам показывали, как организована работа этих центров. Сбербанк получил очень интересный и полезный опыт, который мы намерены использовать.

NBJ: Известно, что Сбербанк уделяет много внимания подготовке молодых специалистов, которые потенциально после окончания вуза могли бы работать в организации. Но ведь даже Сбербанк, наверное, не в состоянии «проглотить» такое количество вчерашних ­выпускников?

С. ЛЕБЕДЬ: Совсем скоро профессия специалиста по информационной безопасности будет востребована и государственными, и общественными структурами, и, разумеется, бизнесом – в особенности банками и другими финансовыми институтами. Сегодня же ситуация на рынке труда характеризуется огромной нехваткой профессионалов. Доля вакантных мест на должность специалиста по кибербезопасности на мировом рынке составляет 25–30% от всех вакансий. Уровень подготовки специалистов этой сферы российскими вузами не соответствует запросам работодателей, и нам остается либо искать готовых специалистов на рынке и затем адаптировать их к условиям работы, либо, исходя из своих потребностей, самим выстраивать схемы взаимодействия с высшей школой по подготовке нужных людей. 

Именно поэтому летом текущего года Сбербанк подписал стратегическое соглашение с ведущими российскими вузами о сотрудничестве в сфере информационной безопасности. В список вошли МГУ им. Ломоносова, МИФИ, Финансовый университет при Правительстве Российской Федерации, МГТУ им. Баумана, Московский университет МВД им. В. Я. Кикотя, МИЭМ (ВШЭ) и МФТИ. Сбербанк готов ­оказать помощь в коррекции учебных планов, формировании лабораторной базы и представлении современного банковского оборудования; готов участвовать в формировании перечня актуальных тем курсовых и дипломных работ, а также в проведении занятий для студентов, в том числе на базе Сбербанка. В сентябре был запущен цикл мастер-классов под общим названием «Практические вопросы информационной безопасности банковской системы». Спикеры – ведущие специалисты российской отрасли кибербезопасности. Они представляют такие компании, как Microsoft, АО «Национальная система платежных карт», PricewaterhouseCoopers, НП «Национальный совет финансового рынка», конечно, Сбербанк, вузы-партнеры. Взамен мы ждем профессионалов в области управления различными процессами кибербезопасности, готовых сразу включиться в рабочий процесс. 

Конечно, всех выпускников, желающих у нас работать, мы  ­действительно «не проглотим». Но хотелось бы подчеркнуть, что мы помогаем готовить специалистов не только для себя, но и для всего рынка. Рынок должен расти и соответствовать новым требованиям времени – в этом заинтересованы, я думаю, все его участники. 

На форуме FINOPOLIS 2016 в адрес представителей Центробанка был задан вопрос из зала: «Почему регулятор не готовит современных специалистов в области управления безопасностью, управления рисками?». На что я мог бы ответить: «А Сбербанк готовит».

Мы ни в коей мере не вмешиваемся в государственную программу всех вышеперечисленных вузов. Но при этом предлагаем каждому из них сосредоточиться на какой-то специализации. Например, один вуз готовит специалистов в области больших данных, другой – нормативного управления, в том числе управления рисками, третий – профессиональных инженеров, четвертый – специалистов в области систем противодействия мошенничеству. 

Каждому вузу банк выделяет специалистов, готовых участвовать в разработке учебных программ, в формировании лабораторной базы, приемке дипломных и курсовых работ. Лично я уверен, что такой подход будет способствовать в перспективе повышению общего профессионального уровня безопасников на российском банковском рынке.