УЧАСТНИКИ КРУГЛОГО СТОЛА, ОРГАНИЗОВАННОГО NBJ: 

Алексей АЗАРКИН, начальник отдела информационной безопасности АКБ «НРБанк»;  Виктор АНТОНОВ, фотокорреспондент ИА Media Times; Игорь АХРЕМЦЕВ, начальник управления информационной безопасности ПАО «Евразийский банк»; Александр БАБКИН, заместитель начальника департамента защиты информации – начальник ситуационного центра информационной безопасности АО «Газпромбанк»; Александр БЕЛИКОВ, заместитель начальника управления информационной безопасности департамента безопасности АО «Россельхозбанк»; Александр БЕЛОУСОВ, советник президента по безопасности КБ «Российский Промышленный Банк»; Мария БОЧАРОВА, руководитель органа криптографической защиты департамента безопасности АО «ЮниКредит Банк»; Юлия ВАЩЕНКО, менеджер Академии информационных систем; Александр ВЕЛИГУРА, председатель комитета по банковской безопасности Ассоциации российских банков; Александр ВИЛЬДМАН, советник председателя правления «МТИ-Банк»; Александр ВИНОГРАДОВ, начальник управления информационной безопасности АО КБ «Златкомбанк»; Олег ВОЙНАЛОВИЧ, начальник отдела информационной безопасности службы безопасности АО «Нефтепромбанк»; Александр ВУРАСКО, сотрудник БСТМ МВД; Михаил ГАВРИКОВ, начальник службы безопасности АКБ АО Банк «Век»; Павел ГОЛОВЛЕВ, бизнес-партнер по информационной безопасности ЦОВсБ по ИБ департамента безопасности ПАО «Сбербанк России»; Андрей ГОЛЯШИН, начальник отдела информационной безопасности АКБ «ФОРА-БАНК»; Михаил ГОРЧАКОВ, начальник отдела информационной безопасности КБ «Финансовый стандарт»; Алексей Гришин, директор центра информационной безопасности компании «Инфосистемы Джет»; Антон ГРУНТОВ, директор департамента безопасности компании «Быстроденьги»; Сергей ДВОРЯНКИН, доктор технических наук, профессор кафедры «Информационная безопасность» Финансового университета при Правительстве РФ; Александр ДВОРЯНСКИЙ, коммерческий директор ГК «Инфосекьюрити»; Александр ДУНЕЦ, начальник службы информационной безопасности АО НКО «Москлирингцентр»; Александр ЕГОРЫШЕВ, начальник отдела ИТ-защиты департамента экономической и информационной защиты бизнеса ПАО «Росгосстрах Банк»; Ксения ЗАСЕЦКАЯ, начальник отдела финансовой безопасности УИБ АКБ «РосЕвроБанк»; Александр ЗИМИН, начальник управления информационной безопасности ПАО «Восточный экспресс банк»; Олег ИЛЮХИН, заместитель председателя правления, директор департамента информационных технологий «СДМ-Банк»; Евгений КАЛАШНИКОВ, начальник управления защиты информации ПАО «БИНБАНК»; Денис КАМЗЕЕВ, начальник отдела информационной безопасности АО «Райффайзенбанк»; Валерий КАРАВАЕВ, редактор ИА «Media Times»; Алексей КОНСТАНТИНОВ, начальник управления информационных банковских технологий КБ «Гарант-Инвест»; Михаил ЛЕВАШОВ, советник банка ФК «Открытие»; Андрей ЛЕДЯЕВ, руководитель отдела информационной безопасности, департамент информационных технологий компании «Быстроденьги»; Андрей МАКОСКО, начальник отдела аудита, оценки рисков и мониторинга событий информационной безопасности ПАО «Московский Индустриальный Банк»; Андрей МАСАЛОВИЧ, ведущий эксперт по конкурентной разведке Академии Информационных Систем; Евгений МИХАЛЕВ, сотрудник БСТМ МВД; Кристина НАГЕЛЬ, ведущий специалист службы информационной безопасности КБ «Гаранти Банк - Москва»; Дарья НЕВЕРОВА, руководитель направления конкурентной разведки Академии информационных систем; Иван ОБОРНЕВ, доцент факультета ФФБ РАНХиГС; Василий ОКУЛЕССКИЙ, начальник управления безопасности НСПК; Роман ПЕТРОВ, специалист сопровождения процессов информационной безопасности департамента безопасности ОАО «Газэнергобанк»; Иван ПРОНИЧЕВ, начальник отдела информационной безопасности банка «Новый Символ» (АО); Сергей РОМАНОВ, начальник отдела обеспечения информационной безопасности АКБ «Энергобанк»; Игорь САВЧЕНКО, руководитель службы информационной безопасности КБ «Международный Коммерческий Банк»; Ильдар САЛАХОВ, начальник отдела информационной безопасности ИБ «Веста»; Роман СВЕРЖ, главный специалист службы информационной безопасности АО «МСП Банк»; Алексей СВИРИДЕНКО, начальник управления информационной безопасности АБ «Интерпрогрессбанк»; Андрей СЕРЕДА, начальник отдела информационной безопасности ЗАО АКБ «Алеф-Банк»; Роман СЕМЕНОВ, руководитель отдела консалтинга и аудита ARinteg; Михаил СИМАКОВ, заместитель начальника отдела информационной безопасности ООО «Промсельхозбанк»; Сергей СОБОЛЕВ, начальник отдела информационной безопасности АКИБ «Образование»; Валентин СТРАХОВ, главный аналитик ООО «РБПФ Проектное финансирование»; Алексей СТРОКИН, директор по продажам ГК «Инфосекьюрити»; Евгения СУВОРОВА, руководитель управления информационной безопасности прикладных систем ПАО «БАНК УРАЛСИБ»; Артем СУДАРЕНКО, консультант Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) главного управления безопасности и защиты информации Банка России; Александр ТУРКИН, независимый эксперт; Вадим ФЕДОРОВ, начальник департамента информационных технологий «АНКОР БАНК»; Дмитрий ХОМЯКОВ, начальник службы информационной безопасности ПАО «Межтопэнергобанк»; Валерий ШЕВЧЕНКО, начальник управления информационных технологий АКБ АО Банк «Век»; Сергей ЩЕГЛОВ, начальник отдела информационной безопасности департамента аналитики и банковских технологий КБ «БФГ-Кредит»; Александр ЩУКИН, корреспондент издания «Новое Время»; Андрей ЯНКИН, руководитель отдела консалтинга центра информационной безопасности компании «Инфосистемы Джет».

ВЕДУЩИЕ:
Игорь ЕЛИСЕЕВ, заместитель директора по развитию Академии информационных систем; Елена ЕЛИСЕЕНКОВА, генеральный директор NBJ; Анастасия СКОГОРЕВА, главный редактор NBJ.

 

Как соблюсти требования регуляторов по информационной безопасности в ситуации, когда финансово-кредитные организации вынужденно сокращают свои расходы? Насколько часты случаи, когда уволенные сотрудники департаментов и управлений ИБ мстят своим экс-работодателям, унося критически важную для банков информацию? Должно ли сотрудничество банков с созданным при ЦБ РФ FinCert быть добровольным или обязательным? Какую роль мог бы сыграть в нынешних условиях аутсорсинг в сфере ИБ? Это далеко не полный перечень вопросов, вынесенных на повестку дня круглого стола «Антикризисная информационная безопасность в финансовом секторе». Мероприятие было организовано NBJ при содействии Ассоциации российских банков и Академии информационных систем.

NBJ: Теме антикризисной информационной безопасности в силу ее неиссякаемой актуальности регулярно посвещаются наши круглые столы. Много чего произошло за последний год. Усилилось регуляторное давление, в том числе с точки зрения выполнения банками требований в сфере ИБ. Усиление хакерской активности происходит с заметным смещением вектора со счетов клиентов на корсчета и информационные системы банков. Никуда не делись и санкционные риски финансово-кредитных организаций, связанные с использованием информационных систем и ИТ-решений западного производства. Плюс к этому возросли риски ­инсайдерства.

Итак, существуют ли на сегодняшний день технические средства, которые помогут банкам соблюсти требования регулятора к ИБ, защититься от атак и сделать все это в не самых благоприятных условиях?

В. ОКУЛЕССКИЙ: Могу однозначно сказать, что единого для всех рецепта решения вышеназванных проблем нет и никогда не будет. Сколько существует банков, столько существует уникальных систем информационной безопасности. Поэтому департаменты и управления ИБ вынуждены бороться с возникающими проблемами в одиночку.

Действительно, сокращается численность сотрудников служб ИБ, сложность и объемы задач растут, а бюджеты урезаются. Мы еще в Банке Москвы ощущали все эти тенденции. И единственное, что я могу посоветовать своим коллегам в сложившейся ситуации: надо быть профессионалами!

М. ЛЕВАШОВ: Я не во всем соглашусь с уважаемым Василием (Окулесским. – Прим. ред.). По моему убеждению, универсальные рецепты есть, и их явно больше одного. Один из них – это аутсорсинг. Содержание профессиональных дорогостоящих безопасников в штате могут себе позволить крупные банки и частично средние. А что делать всем остальным? Между тем есть компании, которые могут взять на себя почти все процессы информационной безопасности. И это не теория – такие вещи реализуются и на практике. При этом расходы на оплату услуг аутсорсеров ниже, иногда существенно, чем расходы на содержание своих внутренних служб информационной безопасности.

А. ДВОРЯНСКИЙ: На наш взгляд, тема аутсорсинга ИБ достаточно новая для нашего рынка, и, возможно, именно поэтому она вызывает у большинства участников рынка настороженность. Однако уже есть примеры успешной передачи значительного пакета функций в сфере ИБ на частичный или полный аутсорсинг. Финансово-кредитные организации, оценив экономическую эффективность и возможные риски ИБ-аутсорсинга, приходят к выводу, что это выгодно как с экономической, так и с ресурсной точки зрения. Благодаря этому можно существенно экономить, например, на поддержке и обслуживании антивирусных систем, систем контроля за утечкой информации – DLP, систем веб-фильтрации и защиты почтовых ресурсов. Всего за несколько месяцев работы экономическая эффективность аутсорсинговой модели обслуживания может составилть свыше 3о%. А это, согласитесь, совсем неплохой результат в условиях, когда банки вынуждены считать каждый рубль. Конечно, важным моментом является наличие детально проработанного и действительно функционирующего SLA.

А. ВИЛЬДМАН: Аутсорсинг – это, конечно, замечательно, но у меня сразу же возникает вопрос: на кого ложится финансовая ответственность за ущерб, понесенный банком в результате «косяков» аутсорсинга? Этот ущерб, например, может возникнуть в результате инсайдерства. Например, когда увольняется сотрудник службы, которую я возглавляю, – я четко понимаю, какой информацией он владеет, и знаю, какие пароли нужно изменить. А что прикажете делать, когда увольняется сотрудник компании-аутсорсера? Вы, как глава службы безопасности банка, можете сказать, какой конкретно информацией он владеет? Вы можете предугадать на 100%, куда дальше пойдет эта информация? Нет. И это как раз создает очень существенные риски для банка, использующего аутсорсинг в сфере ИБ.

Второй момент, который я хотел бы осветить в своем выступлении: мы все говорим о защите, но при этом понимаем, что защищаться мы можем до бесконечности, а злодеи все равно всегда будут впереди нас. Но как тогда построить ИБ-системы таким образом, чтобы минимизировать ущерб от их действий? Я считаю, что именно это сейчас важно обсуждать. Что делать, когда речь идет о защите платежных систем, системы передачи финансовых сообщений и системы «банк-клиент»? Считаю, что необходимо рассмотреть вопрос дополнительного подтверждения платежной информации, передаваемой через платежную систему Банка России по такому же принципу, как это реализовано в системах ДБО. Это позволит минимизировать риски при использовании АРМ КБР.

М. ЛЕВАШОВ: На мой взгляд, в рамках такого обсуждения было бы резонным поставить следующий вопрос: раз мы все в курсе того, что в последнее время участились фрод-атаки на клиентов банков и на корсчета самих банков, почему бы Банку России не использовать системы фрод-мониторинга, которые применяют банки? Например, мы в Банке «Открытие» используем разработанную российской компанией систему, которая за пять лет доказала свою высокую эффективность. Мы готовы предоставить эту систему Банку России в опытную эксплуатацию, чтобы регулятор мог оценить ее эффективность в своей платежной системе. То же самое можно было бы сделать и с аналогичными системами других банков.

Теперь о сравнении степени доверия к своему специалисту или к специалисту компании-аутсорсера, а также о возмещении ущерба в аутсорсинговой схеме. Эти вопросы уже неоднократно поднимались при рассмотрении возможностей использования такой схемы в ИБ. И я всегда отвечал на эти вопросы следующим образом. На первый взгляд кажется, что «своя рубашка к телу ближе», то есть свой специалист потенциально принесет меньше ущерба. Однако при более детальном рассмотрении это не всегда оказывается так. Логика рассуждения здесь такая: известная на рынке аутсорсинговая компания очень дорожит своей репутацией и имеет объективно совершенно другой настрой на выполнение работ у заказчика, чем сотрудники самого заказчика. Практика показывает, что «внутренние» нарушители гораздо опаснее любых внешних исполнителей, которые хорошо мотивированы своей компанией. С собственного сотрудника, как с любого физического лица, практически невозможно взыскать по решению суда причиненный им ущерб, в то время как с юридического лица это сделать вполне реально. Компания-аутсорсер дорожит своей репутацией и при возникновении происшествий и споров с заказчиком будет предпринимать максимальные усилия, чтобы сохранить хорошую ­репутацию.

NBJ: Давайте перейдем к другим рецептам решения тех проблем, которые сейчас стоят перед банками в рамках обеспечения ИБ. С учетом этого я хотел бы обратиться к компаниям-интеграторам: нам часто говорят о необходимости превращения служб ИБ из затратных подразделений в прибыльные – возможно ли это, с вашей точки зрения?

А. ГРИШИН: Вы спрашиваете, могут ли службы ИБ в банках приносить прибыль? Нет, не могут. Банк может терять средства в результате успешных хакерских атак, службы ИБ могут либо предотвращать эти атаки, либо возвращать те деньги, которые были похищены. Но в любом случае говорить о прибыли в данном контексте неуместно. Интеграторы могут быть прибыльными, аутсорсеры могут быть прибыльными, но не внутренние службы ИБ банков.

Если говорить о том, как мы видим  дальнейшее развитие ситуации в ИБ в финансовом секторе, то я хотел бы констатировать следующее. Был достаточно хороший период, для которого были характерны серьезные вливания в compliance, когда вкладывались огромные средства в техническую и программную составляющие. И что же? 

В последние несколько лет мы увидели, какое количество «железа» «греет» серверные совершенно бесполезно. Все потому что «железо» закупалось, а процессы не выстраивались. И это, к сожалению, не частный случай, а общая ситуация для рынка. 

Как с этим бороться? На мой взгляд, тут есть только один способ – надо выстроить процессы. Можно самостоятельно, можно, передав решение этой задачи на откуп интеграторам. Естественно, что каждый банк должен принять это решение с учетом своих ­особенностей.  

В. ОКУЛЕССКИЙ: Давайте не будем обманывать самих себя:  ИБ сама по себе не экономит деньги и не «генерит» их. Она может быть интегрирована в систему безопасности бизнеса в целом. То есть речь идет о целом комплексе работ, в который вовлечены сотрудники нескольких подразделений, включая и тех, кто работает непосредственно с клиентами. Выделить отдельно из этой системы ИБ и оценить ее эффективность с точки зрения экономии или добывания денег, на мой взгляд, невозможно. 

Но, осознавая это, давайте не будем впадать в другую крайность, утверждая, что раз служба безопасности не может приносить прибыль, то она и вовсе не нужна. Без ИБ банк не может нормально работать! Надо менять задачи служб и управлений информационной безо­пасности в финансовых организациях, и надо менять всю парадигму отношения к ИБ. 

А. ВЕЛИГУРА: Я бы хотел начать свое выступление с темы аутсорсинга. Почему банки не хотят использовать этот инструмент? Потому что они рассуждают следующим образом: как это, свои секреты да кому-то показать? 

В этом отношении финансово-кредитные организации страшно «ревнивы», поэтому не стоит ожидать в обозримом будущем изменения их отношения к аутсорсингу. Также не стоит ожидать и того, что они перед лицом общих угроз и рисков объединятся и будут одним фронтом защищать некий единый периметр. 

Есть и еще одна проблема. Мы все не раз бывали на различных круглых столах, форумах и конференциях, посвященных ИТ в банковском секторе. И не раз видели, как банковские айтишники с горящими глазами рассказывали о решениях, которые обеспечат большую лояльность клиентов к банкам, увеличат продажи различных банковских продуктов и услуг и т.д. К банковской безопасности они при этом относились как к чему-то второстепенному, вспоминали о ней, только когда заходила речь о том, какие риски потенциально может породить внедрение того или иного ИТ-решения. И я согласен с В. Окулесским: надо менять парадигму отношения к ИБ.

NBJ: Легко сказать, но, наверное, ох как сложно сделать.

А. ВЕЛИГУРА: Естественно, этого невозможно добиться, предприняв некое разовое действие. Но Банк России обещал выработать национальный стандарт и систему сертификации для ИТ-средств, которые используют в банковской среде. Думаю, мы должны помочь регулятору в этом деле. И мы должны добиться изменения отношения ИТ к ИБ. Ведь сейчас самая расхожая ситуация, когда безопасники говорят об ИТ, а ИТ о безопасниках даже не вспоминают до тех пор, пока не клюнет жареный петух. 

А. ЕГОРЫШЕВ: А почему бы нам, раз мы так горячо обсуждаем в том числе и тему аутсорсинга, не поговорить о переводе службы ИБ – пусть не полностью, хотя бы частично, – в региональную сеть? Есть такой опыт на рынке, когда службы ИБ были разделены на центральный и региональный офисы и сотрудники обеспечивали информационную безопасность из регионов. Это позволяло очень сильно экономить на зарплатах, плюс к этому сотрудники в регионах были просто колоссально мотивированы работать долго на одном месте. В Москве мы все наблюдаем кадровую текучку – в регионах все иначе. 

Что касается сокращения персонала, я ни разу не сталкивался с тем, чтобы в банках в рамках бюджетной экономии сокращали исключительно специалистов ИБ. Обычно их сокращают вместе и примерно в равных пропорциях со специалистами ИТ. Это логично, потому что и те, и другие имеют отношение к информационным технологиям. И тут как раз, на мой взгляд, задача руководителя ИТ-службы – найти подход к руководителю ИБ, ведь при сокращениях зрелость и процессов ИТ, и процессов ИБ снижается. Это является общей проблемой, и решать ее эти два руководителя должны в связке. 

Я пережил несколько волн сокращений служб ИБ в различных банках и не понаслышке знаю, что руководство банка всегда требует от руководителей ИБ обоснований: почему численность персонала этих служб должна быть именно такой, а не другой? Приходилось смотреть исследования Gartner, изучать опыт западных банков в этом вопросе. И в этих ситуациях такие компетенции руководителя ИБ, как понимание бизнес-процессов, знание стратегии организации в целом, грамотная оценка рисков, места и задач своего подразделения, могут позволить правильно донести до руководства важность обеспечения ИБ, особенно в кризисное время, и максимально сохранить численность и бюджет подразделения.

NBJ: Сейчас, наверное, самое время предоставить возможность выступить представителю Банка России, принимающему участие в нашем обсуждении.

А. СУДАРЕНКО: На самом деле столько уже всего было сказано, что мне непросто сразу решить, какие из поднятых тем являются наиболее важными. Вопросы про аутсорсинг и про смену парадигмы в отношении в банках к ИБ замечательные, и, по моему убеждению, их надо всесторонне обсуждать и не пытаться от них уйти. Это действительно общие тенденции для рынка.

Что касается вопроса об антифроде, который должен быть создан в Центральном банке. Те, кто был на Уральском форуме по ИБ, могли убедиться, что мы работаем над этой темой, но она делится на две части: внутренний антифрод в ЦБ и глобальный антифрод в банковском сообществе. Если говорить о внутреннем антифроде, то тут многое неясно: просто «перетащить» решение, которое работает в коммерческом банке, в ЦБ не получится, и мы отдаем себе в этом отчет. Однако из-за этого было бы неверным закрыть эту тему в принципе. 

Что касается сертификации, то тут как раз у меня, как у сотрудника ЦБ, возникает вопрос, на который я хотел бы получить откровенный ответ от представителей банковского сообщества: вам обязательно нужна палка для того, чтобы делать свою работу? Василий Андреевич (Окулесский – Прим. ред.) правильно сказал: единого способа организации защиты банковской организации нет. Каждый будет вынужден делать это самостоятельно, так почему же вы настаиваете на создании ЦБ какого-то общего для всех свода правил? Мы можем только задать вектор, и если вы посмотрите на работу нашего комитета по стандартизации, то увидите, что мы это делаем. Другое дело в том, что мы хотим, чтобы банковское сообщество более плотно участвовало в его работе. Так как сейчас нередка ситуация: мы выходим с какими-то предложениями, а нам говорят, что все не так и не то.

NBJ: То есть банкирам хочется, чтобы появилось что-то вроде ГОСТа, но...

А. СУДАРЕНКО: Но потом они же начинают жаловаться, что ЦБ «навешивает» финансово-кредитным организациям дополнительные сложности в работе. 

Позволю себе еще немного лирических замечаний – не как представитель регулятора, а как специалист по ИБ. Очень много здесь было сказано про службы ИБ, но как про некие части, замкнутые в себе и на себе. А вы никогда не думали о том, что следует распространить понятие «мы» на службу и на банк в целом? Например, поднимается вопрос о том, чтобы поставить дополнительные пути авторизации банка в Банка России, – а вы не думаете, как на это отреагирует ваш бизнес? Возникает впечатление разрыва: служба ИБ отдельно, банк как бизнес – отдельно. 

А. ВИЛЬДМАН: Что бизнес будет недоволен, это нормально. Любая новая мера в рамках обеспечения ИБ непопулярна: когда вы перекрываете людям интернет, порты, флешки, вводя дополнительные пути авторизации, все бегут к руководству и жалуются на то, что ИБ мешает им работать. Но всегда можно убедить коллег, что это необходимо. И тем более легко это будет сделать, если это будет решением Банка России: лично я не знаю ни одного председателя правления, который отказался бы претворять в жизнь подобное решение. 

А. СУДАРЕНКО: Это так. Но наш подход  таков, что обычно мы спрашиваем у банковского сообщества, как оно относится к той или иной мере и как реализация этой меры может отразиться на функционировании кредитных организаций.

А. ВИЛЬДМАН: Мне представляется, что в данном случае роль ЦБ можно сравнить с ролью врача: если он говорит, что пора рвать зуб, то, наверное, бесполезно бегать от него и надеяться, что зуб как-нибудь сам пройдет. Не вышло бы хуже. 

М. ГОРЧАКОВ: Хочу подтвердить слова А. Вильдмана на примере положения ЦБ РФ № 382-П. До появления этого положения было весьма проблематично объяснить руководству банка и бизнесу, зачем вообще нужна служба ИБ. Как только это положение появилось и стало составным элементом законодательной базы – стало ясно, что банки в обязательном порядке должны иметь службу ИБ наряду со службами внутреннего контроля, внутреннего аудита и службой управления рисками.  

А. МАСАЛОВИЧ: Мы с вами обсуждали вопрос о том, возможно ли сделать ИБ прибыльным направлением в деятельности банка. На мой взгляд, вопрос следует формулировать иначе: не как сделать ИБ прибыльным, а как повысить ценность этой службы. Так вот, в этом случае я могу всех обрадовать: по моему опыту, практически каждую неделю возникает ситуация, в которой руководство банка с удовольствием выслушает руководителя службы ИБ. И если уж мы тут стали оперировать медицинскими аналогиями, то скажу так: наша служба – это как доктор, которого зовут при обострении аппендицита. Пока в боку не колет, никто не интересуется, что там внутри нашего организма, – но, как только начинаются боли, мы бежим к врачу и слушаем его объяснения и ­рекомендации. 

Мы все знаем, что периодически в интернете проходит черный пиар по отношению к какому-либо банку, причем он направлен и на малые, и на средние, и на крупные организации, в этом смысле все они равны. Я коллекционирую эти случаи и могу сказать, что все эти прецеденты роднит одно и то же: защитой устойчивости бренда занимается служба PR, а не служба безопасности. 

Немногочисленные случаи, когда банк отбивал атаку и сохранял свою репутацию, роднят два общих свойства: то, что в банке службой ИБ была развернута очень простая, но в то же время очень эффективная система контроля оперативной остановки, и правильные действия антикризисного штаба в течение первых трех часов после атаки. Особенность такого штаба в том, что он работает под руководством вице-президента, это раз, и второе – что рядом с этим вице-президентом есть человек, который знает, что следует делать. И третье обязательное условие: этот человек должен быть сотрудником службы ИБ. Если эти условия соблюдаются, то руководители банка с частотой раз в неделю как минимум будут с удовольствием вас выслушивать, чтобы понять, как не стать следующей жертвой атаки черного пиара.

А. ДВОРЯНСКИЙ: Добавлю от себя буквально два слова по поводу повышения значимости службы ИБ, но зайду немного с другой стороны. Если десять лет назад атаки на банки осуществлялись малыми группами, по сути своей, любителями, то сейчас мы все чаще имеем дело с действиями полноценных ОПГ. Атаки досконально планируются, заранее согласовываются со всеми участниками криминальной схемы, очень хорошо ресурсно подкрепляются, в том числе и с финансовой точки зрения. Поэтому, когда мы рассуждаем о повышении значимости служб ИБ, надо учитывать, что хакеры тоже не стоят на месте: они становятся все более профессиональными, организованными и представляют собой более чем явную и полноценную угрозу для банковского сообщества.

NBJ: Важным также является вопрос о деятельности FinCert, созданного при Центральном Банке, и о реакции банковского сообщества на появление и работу этой структуры. Наверное, лучше всего информацию по этой теме получить из первых рук – от представителя этого центра, принимающего участие в нашем круглом столе. Артем, как вы считаете, можно ли превратить FinCert в реального союзника банковских организаций? Ведь на сегодняшний день, судя по статистике, такого восприятия нет: банки не рвутся сообщать регулятору об инцидентах в сфере ИБ. Возможно, прав руководитель Бюро специальных технических мероприятий МВД России генерал Алексей Мошков: надо сделать подобный обмен информацией обязательным для банковских организаций, и тогда все ­«заколосится»?

А. СУДАРЕНКО: Это личное мнение главы БСТМ МВД, на которое он, безусловно, имеет право. Что же касается ЦБ РФ, то мы изначально придерживались в данном вопросе принципа добровольности и доверия. 

NBJ: Это, конечно, хорошо, но тут есть один очень тонкий момент: вся информация, которую предоставляют банки по этому вопросу, первым делом попадает в департамент надзора и только оттуда  в FinCert. Естественно, что многих банкиров это «напрягает». Но, с другой стороны, если мы хотим, чтобы  FinCert стал для нас помощником, то мы должны делиться с ним имеющейся у нас информацией. Иными словами, это  дорога с двусторонним движением. 

А. СУДАРЕНКО: Я считаю, что все произойдет естественным путем. Банки с каждым днем все больше понимают важность и необходимость информационного обмена. Что касается тех, кто сомневается в этом, мы готовы выслушать их мнение, пойти им навстречу и внести изменения в свою работу. 

Что касается опасений насчет того, что информация, передаваемая в наш центр, может быть использована для лишения банков лицензий. В рамках своего выступления на Уральском форуме по ИБ первый заместитель председателя ЦБ РФ Георгий Лунтовский сказал, что у нас есть предположения, что информационные системы в некоторых банках целенаправленно «роняли» для того, чтобы скрыть факты вывода активов из организаций. Да, банки, о которых шла речь, действительно лишились лицензий – но давайте ответим себе на вопрос: почему? Потому что они были атакованы?Конечно же, нет. Тогда зачем запугивать самих себя, выдумывая какие-то ужасы о том, что может произойти в случае передачи информации в FinCert? Давайте зададимся вопросом: если банк честен и перед регулятором, и перед самим собой, то что его должно останавливать? А если он не передает подобную информацию, то, возможно, не все с ним чисто и безупречно?

А. СВИРИДЕНКО: Периодически происходят атаки на информационные системы банков. Может ли FinCert рассказать, какую помощь он оказывает банкам в возврате похищенных средств? Вот такой отчет, на мой взгляд, продемонстрировал бы целесообразность участия в подобном обмене информацией лучше всяких слов и призывов.

А. СУДАРЕНКО: Я с удовольствием отвечу на ваш вопрос. Мы неоднократно производили рассылки своих аналитических материалов, в которых указывали на возможные виды атак, перечисляли «маркеры», по которым можно было установить признаки совершения таких атак. Так вот, после получения этих материалов некоторые банки, участвующие в обмене информацией, нашли у себя в системе вирус ровно по тем маркерам, которые мы указали. Вы считаете, что это не помощь кредитным организациям в предотвращении преступлений в сфере информационной безопасности?

А. СВИРИДЕНКО: Мой вопрос немного о другом – способен ли центр оказывать банкам помощь в тех случаях, когда атака удалась и на повестке дня вопрос не об ее отражении, а о возврате средств, которые были выведены со счетов по результатам этой атаки.

А. СУДАРЕНКО: Да. Представьте себе ситуацию – а она происходит в реальности, – когда у банка «укладывают» информационную систему и он лишается возможности направить даже электронное сообщение. Мы в таких случаях часто получаем звонки, и нам с паническими нотками в голосе сообщают, что вот как вышло, куда же теперь звонить и к кому обращаться? Мы в таких случаях берем на себя работу банка и звоним в кредитные организации, куда ушли деньги, с просьбой посодействовать. И это дает свои результаты. И отмечу еще один момент: в этой работе участвует не только FinCert, но и правоохранительные органы, например Управление «К» при МВД России.  

В. ОКУЛЕССКИЙ: На Уральском форуме по ИБ прозвучало очень правильное предложение в рамках налаживания взаимодействия между FinCert и банками. Надо сделать интерактивный интерфейс, чтобы можно было направлять сообщения не через почту, а оперативно и передавать информацию и анализировать ту статистику и отчеты, которые выкладывает FinCert. Создание такого интерфейса обеспечило бы более живое общение, чем есть сейчас. 

NBJ: Раз уж мы обратились к Уральскому форуму, то я хотел бы напомнить о заявлении руководителя FinCert Артема Сычева. Он сказал, что ЦБ РФ может позволить банкам нарушать банковскую тайну в тех случаях, когда это необходимо для расследования или предотвращения преступлений в сфере ИБ. Насколько это ­реально?

А. СУДАРЕНКО: Сразу поправлю: не ЦБ РФ может это разрешить, а закон. Такой законопроект есть, и если он будет принят Госдумой РФ, то, конечно же, у нас появится новый инструмент для обмена данными.

Касательно того, о чем сказал Василий Андреевич (Окулесский. – Прим. ред.). Мы несколько раз говорили – возможно, недостаточно внятно – о том, что вопросы автоматизации нашего взаимодействия у нас стоят на первом месте. Хотелось бы получать от банковского сообщества постоянный фидбэк по этой теме: что оно считает сделать наиболее целесообразным, какие каналы коммуникации считает наиболее эффективными. 

А. ВИНОГРАДОВ: Не хочется мне критиковать FinCert, но скажу честно: на сегодняшний день это чистый «междусобойчик». Кто хочет, делится информацией, кто не хочет – нет, никто никому ничем не обязан. На мой взгляд, ситуация могла бы сдвинуться с мертвой точки, если бы в банки присылались письма следующего содержания: просим выделить специалиста для взаимодействия с FinCert. А сейчас сотрудник, получающий рассылку из ЦБ, звонит мне и спрашивает: а что мне дальше с этим делать? 

Конечно, возникает и другая проблема. Вот, как мы все знаем, в начале 2016 года в одном из банков произошло крупное хищение средств. Что мысленно говорит руководство этого банка: да, «кашникам» мы, конечно, об этом скажем, а ЦБ – да вы что, они же нам спецпроверку устроят! То есть тут же возникает тень надзорного блока.

На мой взгляд, все эти дилеммы возникают потому, что в свое время отказались от идеи сделать FinCert, как и НСПК, «дочкой» – не структурой в системе ЦБ, а именно дочерней организацией, выведенной из состава Банка России. Тогда эти страхи «передаю информацию в ЦБ, а ко мне приходит с внеплановой проверкой надзор» не возникали бы. Почему нельзя вывести центр за периметр ЦБ и в 395-1ФЗ «О банках и банковской деятельности» прописать, что разрешается в целях предотвращения хищения денежных средств обмениваться информацией в рамках FinCert... Все, вопрос будет решен!

NBJ: Нам кажется не менее актуальным вопрос наказания тех, кто участвовал в организации или в осуществлении кибер­преступлений. С учетом этого  хотелось бы услышать мнение представителя МВД  ­России. 

Е. МИХАЛЕВ: Первое, что я хотел бы сказать: банкиры, как можно убедиться, достаточно активно атакуют FinCert, упрекая эту структуру в несовершенстве. Между тем, по моему глубокому убеждению, FinCert как раз нуждается в их поддержке, тем более что он не сидит, сложа руки. За первые два месяца 2016 года центр способствовал предотвращению атак, которые в случае их успеха привели бы к хищению со счетов банков средств на общую сумму в 2,2 млрд рублей. Не все эти попытки удалось предотвратить, но реальные потери в результате не превысили 200 млн рублей. 

Вы прекрасно должны понимать: чем быстрее вы отреагируете на нестандартное поведение систем, тем меньше будет ущерб, который вы понесете. Поэтому  я считаю вполне закономерной рекомендацию – надо сразу же, при первых же признаках атаки, обращаться либо в  FinCert, либо в Управление «К» МВД, если у вас есть на нас выход. В этом случае можно остановить «рейс» на уровне центра обработки данных. Уже есть факты, подтверждающие это: за 2016 год были спасены сотни миллионов рублей. И мы, как представители Управления «К», потом встречаемся с теми, кто еще вчера не верил в это, а сегодня на собственном опыте понял, что это возможно. 

Мы должны четко осознать: мы боремся с одним врагом. А дальше нужно решить: либо мы полностью доверяем друг другу и рассматриваем друг друга как союзников в этой борьбе, либо мы должны расписаться в своем бессилии. Мы не сможем противостоять преступникам, которые работают в криминальном синдикате и, объединив незнакомые между собой серверы, договариваются гораздо быстрее, чем мы.

NBJ: А легко ли доводить дела до суда, если они возбуждены против участников преступных сообществ, ориентированных на вывод денег с корреспондентских счетов банков в Центральном банке, а не против участников классических хакерских атак?

Е. МИХАЛЕВ: На самом деле с юридичес­кой точки зрения тут никакой разницы нет. Неважно, атакуют ли преступники счет клиента или «расчетник» банка – точнее, различие тут только в технике совершения преступлений и в размере хищений. При этом надо понимать, что часть денег, которые выводятся со счетов банков, идет на повышение уровня «профессионализма» подобных преступных сообществ. Нам приходится противостоять в этом случае не скучающим школьникам или студентам, а преступной индустрии, причем очень разветвленной. Такая ОПГ может по численности превышать 100–150 человек. При этом многие из участников понятия не имеют об организаторах группы: им, по сути своей, все равно, для кого они обналичивают похищенные средства, пишут вредоносное ПО или перекриптовывают его. 

Так что с учетом всего вышесказанного я повторю свой призыв: используйте такой инструмент, как FinCert. Раз мы имеем дело с организованной преступностью, то и противодействие ей тоже должно быть организованным. 

NBJ: Давайте перейдем к теме санкционных рисков и ответа на них. Два года назад была запущена Национальная система платежных карт (НСПК) и появилась карта «Мир». Казалось бы, это шаг в правильном направлении, но в СМИ сообщалось, что НСПК будет аутсорсить часть своих функций на международные платежные системы. Не получается ли, что мы, попытавшись уйти от зависимости от МПС, по сути, вернулись к ним?

В. ОКУЛЕССКИЙ: Если мы хотим, чтобы наша российская карта «Мир» принималась везде, значит мы должны смириться с тем, что она будет иметь элемент дуализма. Иначе и быть не может, и так будет, пока у нас существуют трансграничная передача данных и трансграничные платежи. Мы обязаны использовать те механизмы, которые используются во всех международных системах, если мы хотим, чтобы она принималась за рубежом. 

Но это не технологическая зависимость, это именно дуализм!

NBJ: А если мы затронем вопрос о безопасности платежной карты «Мир», то...

В. ОКУЛЕССКИЙ: А что вы имеете в виду под безопасностью? Давайте скажем откровенно: российские системы шифрования всегда славились большей стойкостью по сравнению с теми системами криптографии, которые используются на Западе. Наши удостоверяющие центры находятся на территории нашей страны, они используют исключительно российскую криптографию, сертифицированную ФСБ, и они достаточно хорошо защищены. Поэтому я считаю, что вопросы безопасности во многом решены, и решены успешно. 

NBJ: Российская криптография – это хорошо, но решена ли проблема импортозамещения при выпуске карты «Мир» на уровне процессинга и ПО, и если решена, то насколько?

В. ОКУЛЕССКИЙ: Мы работаем со всеми процессингами в нашей стране. На самом же деле есть два аспекта деятельности нашей компании. Первый – это обеспечение деятельности всех международных платежных систем у нас в России, и с июня прошлого года все платежи по картам, выпущенным МПС, обслуживаются в НСПК. И второй аспект – это карта «Мир», которая также обслуживается в нашем процессинге. 

NBJ: А насколько велики риски, возникающие в результате увольнения специалистов служб ИБ и ИТ? В том смысле, не могут ли эти люди перейти на «темную сторону силы» и влиться в состав преступных групп?

Е. МИХАЛЕВ: Знаете, мы не располагаем фактами, указывающими на то, что в ОПГ сколько-нибудь заметную роль играют бывшие сотрудники банковских служб ИБ и ИТ. Естественно, эти люди могут использоваться преступниками как крипторы и консультанты. Но, повторюсь, они обычно играют вспомогательные роли. Так что подобные риски, с нашей точки зрения, во многом являются надуманными. 

NBJ: Итак, мы хотим поблагодарить всех, кто принял участие в нашем круглом столе. Сегодня мы убедились, насколько актуальными для финансового сектора являются вопросы обеспечения ИБ. И это внушает надежду на то, что, как говорится, сама жизнь заставит и регулятора рынка, и правоохранительные органы, и участников банковского сектора, и интеграторов находить компромиссы, пути и механизмы преодоления всевозможных проблем.