Вход Регистрация
 

Аналитика и комментарии

13 февраля 2017

Что важнее для ИБ?

Обеспечение информационной безопасности – сложная задача, в рамках которой финансовым организациям приходится искать ответы на самые разные вопросы и вызовы. NBJ решил обратиться к участникам рынка с предложением распределить по степени актуальности следующие проблемы, стоящие перед службами информационной безопасности (или выделить одну из проблем, которая более всего тревожит сейчас безопасников):  

  •  дефицит в банках профессиональных кадров в службах информационной безопасности;
  •  недостаточно высокая «грамотность» пользователей банковских систем;
  •  отсутствие полноценного обмена данными между банковскими организациями об инцидентах в сфере ИБ;
  •  проблема подбора подходящих ИТ-решений для обеспечения полноценной ИБ;
  •  повышение уровня профессионализма хакерских атак;
  •  поведение конечных потребителей банковских услуг при пользовании мобильным банкингом или интернет-банкингом;
  •  недостаточное финансирование деятельности служб ИБ.

 

Банк ВТБ

Сергей ПАЗИЗИН, 
начальник управления по обеспечению информационной безопасности 

К актуальным тенденциям, безусловно, можно отнести повышение уровня профессионализма хакерских атак. Со времени моего прихода в банк в 2001 году уровень и интенсивность атак на банковские системы и счета клиентов непрерывно растут. Это связано как с процессом самоорганизации преступных сообществ, так и с расширением спектра электронных банковских услуг. Возможно, также имеется связь со снижением доходности других видов преступной деятельности.

Второй актуальной тенденцией является активное расширение клиентской базы электронных платежных сервисов, что также сопровождается появлением большого числа  клиентов с низким уровнем знаний в области информационных технологий, финансовой и информационной безопасности.

Что касается актуальных проблем, то я бы заменил формулировку «отсутствие полноценного обмена данными между банковскими организациями об инцидентах в сфере ИБ» на более широкую – «необходимость совершенствования нормативно-правовой базы в целях борьбы с электронным мошенничеством». В частности, необходимо определить права банков по приостановке переводов денежных средств при выявлении признаков совершения перевода без согласия плательщика. Установить порядок действий по возврату похищенных денежных средств, переведенных без согласия плательщика. Организовать оперативный обмен информацией об инцидентах и участниках мошеннических операций, используемых счетах. Совершенствовать правоприменительную практику с целью исключения ухода от ответственности участников схем обналичивания, установщиков устройств для скимминга и других  членов преступных сообществ.

Проблемы, связанные с дефицитом профессиональных кадров, недостаточным финансированием и подбором подходящих ИТ-решений, по сути, не являются специфичными для сферы информационной безопасности. В той или иной степени они характерны и для других направлений обеспечения деятельности банков. Единственное, я бы выделил из этого множества проблему финансирования, особенно в части определения штатной численности подразделений ИБ. Учитывая, что имеется прямая связь объема работы в подразделении ИБ с объемом работы ИТ-подразделения, полагаю возможным закрепить в стандартах рекомендуемую численность ИБ-подразделения как процент от численности ИТ-подразделения.

Дополнительно к списку отмеченных проблем я бы добавил еще проблему DDoS-атак. Растет мощность и сложность атак, в проведении которых злоумышленники задействуют «интернет вещей». Требуется более тесное взаимодействие между банками, операторами связи, FinCERT Банка России, правоохранительными органами, включая Интерпол. Необходимо обеспечить правовые основы для отключения каналов связи, возможно, также потребуется введение требований/рекомендаций к производителям устройств, подключаемых к интернету, по внедрению систем защиты от взлома и захвата управления.

 

Сбербанк России

Сергей ЛЕБЕДЬ,  
руководитель службы кибербезопасности  

Самой актуальной проблемой я считаю первую из вышеперечисленных – дефицит профессиональных кадров в службах информационной безопасности в банках. Современные киберпреступники, как правило, обладают высоким уровнем знаний и используют современные технологии. Поэтому отражать спланированные атаки и обеспечивать цифровую устойчивость банка становится все сложнее. Для того чтобы эффективно противодействовать им, в первую очередь необходимы высококлассные специалисты. Они крайне востребованы, но их трудно найти – во многом потому, что знания и практический опыт, которые могут предложить российские вузы, не соответствуют современным требованиям. 

Мы в Сбербанке приняли два решения: во-первых, обучать и сертифицировать своих специалистов в соответствии с требованиями, предъявляемыми профессиональным международным сообществом; во-вторых, уже сейчас готовить будущих специалистов службы кибербезопасности. По второму направлению в 2016 году было начато очень плотное взаимодействие с ведущими вузами страны: организован курс практических лекций, проводятся стажировки для студентов, оказывается методическая поддержка кафедрам по направлениям информационной безопасности.

 

Газпромбанк

Алексей ПЛЕШКОВ,  
начальник управления режима информационной безопасности департамента защиты информации 

На мой взгляд, все векторы являются в той или иной мере актуальными как для крупных банков, так и для небольших финансовых организаций. Я предложу следующее их распределение и комментарии по каждой из этих проблем.

Повышение уровня профессионализма хакерских атак

Обеспечение информационной безопасности в финансовой сфере – это всегда бег наперегонки со злоумышленниками. Банки вкладывают в защиту своих активов и информации миллионы рублей и тысячи человеко-часов времени. Немудрено, что и злоумышленники привлекают инвестиции в том числе с черного рынка, которые затем используют для развития потенциальных векторов атак, а также для поиска и покупки принципиально новых инструментов и специалистов. Несколько лет назад слово «шиммер» вызывало немой вопрос в глазах многих моих собеседников, о «вишинге» корреспондентам ведущих СМИ можно было прочитать только в Википедии, а термин blackbox применялся исключительно для описания процессного подхода. Сегодня все совсем иначе: «грамотность» потенциальных жертв кибермошенничества растет. При этом растет и профессионализм хакеров.

Недостаточно высокая «грамотность» пользователей банковских систем

Многие банковские работники – это люди с полным высшим финансовым или экономическим образованием, которые привыкли быть частью процесса обслуживания клиентов. По разным, порой даже совершенно адекватным причинам они не всегда разбираются в других областях, в том числе испытывают понятные сложности в технических сферах. Этим и пользуются злоумышленники, которые в 2016–2017 годах сместили вектор своих атак с межсетевых экранов и терминальных устройств в сторону обычных банковских клерков. Защитить работников банковской сферы от посягательств хакеров физически и логически, предотвратить финансовые потери банков от манипуляций социальных инженеров и воздействия запущенного по незнанию вредоносного программного обеспечения – это лишь малая часть тех вызовов, которые стоят перед экспертами по информационной безопасности в наши дни.

 Поведение конечных потребителей банковских услуг при пользовании мобильным банкингом или интернет-банкингом

Здесь необходимо начать с золотого правила банкира: клиент всегда прав. Именно из этого правила целесообразно исходить, оценивая и прогнозируя действия потребителей конечных банковских продуктов. Время диктует нам условия для продвижения банковских услуг на рынок. Мобильные устройства, как часть новой субкультуры, являются обязательным атрибутом клиента современного банка. В интересах банков предугадать возможное поведение клиентов и реализовать превентивные меры защиты до того, как злоумышленники сделают первый шаг к взлому сотового телефона или планшета, на котором установлена программа-клиент системы дистанционного банковского обслуживания.

Дефицит в банках профессиональных кадров в службах информационной безопасности 

Как и любая другая динамично развивающаяся сфера, связанная с информационными технологиями, область защиты информации нуждается в постоянном пополнении новыми, прогрессивно мыслящими людьми – фанатами своего дела. Только в Москве более пяти вузов выпускают сейчас специалистов по информационной безопасности. А это не менее 300 человек в год, выходящих на рынок труда со свежеполученными дипломами. Но, к сожалению, не все выпускники и специалисты остаются в профессии. Сформированный за годы учебы и работы образ мыслей, изученные подходы к выполнению сложных задач, полученные навыки управленцев и жизненный опыт легко применяются коллегами как в смежных сферах, так и в совсем, на первый взгляд, не ИБ-ориентированных направлениях.

 

Росэнергобанк

Евгений ЗЫКОВ,
заместитель начальника департамента информационных технологий   

На мой взгляд, наиболее актуальной проблемой является расширенный вариант – повышение уровня знания банковской предметной области у хакеров. В последние годы схема вторжения на самом деле мало изменилась. В большинстве случаев злоумышленники используют стандартные схемы проникновения: социальная инженерия (с помощью обмана и манипуляций человеческими слабостями хакер получает необходимую для взлома информацию); заражение с помощью вредоносной программы (письма с внедренными «троянами»); эксплуатация уязвимостей компьютерных систем; использование эксплойтов – специальных программ, позволяющих через ошибку в ПО получить доступ к компьютеру или в компьютерную сеть, и т.д.

Для вторжения хакер выбирает свою цель атаки, основываясь на своих знаниях банковского программного обеспечения. Здесь синергия информированности злоумышленника в ИТ на системном уровне и понимание внутренних процессов кредитных организаций создают серьезную угрозу для банков и их клиентов. Чтобы вовремя предотвратить и обезвредить хакерские атаки, сотрудники банковских подразделений информационной безопасности проводят разнообразные мероприятия: внедрение специальных систем, постоянное информирование клиентов о принципах и мерах информационной безопасности с целью повышения уровня их финансовой грамотности и бдительности и многое другое. 

Конечно, в масштабах всего банковского сектора необходимо учитывать и действия регулятора, направленные на повышение информационной безопасности, – например, создание стандартов, предписывающих исполнение банками и клиентами определенных правил эксплуатации компьютерных систем и реагирования на возможные попытки злоумышленников получить доступ к конфиденциальной информации.

Другие указанные в вопросе проблемы также нельзя оставлять без внимания. Разберем некоторые из них. 

Как уже было отмечено, повышение уровня компьютерной грамотности и понимания принципов информационной безопасности у пользователей, например, в части использования систем дистанционного обслуживания, позволит уже на уровне клиента пресекать несанкционированные попытки доступа к счетам. 

Сейчас обмен информацией между банковскими организациями проходит на уровне профессиональных сообществ специалистов по информационной безопасности, что, на мой взгляд, является недостаточным инструментом для борьбы с растущей угрозой со стороны взломщиков. Думаю, следует вывести процесс взаимодействия на более высокий уровень с оперативным обменом данных между заинтересованными участниками. 

Если рассматривать подготовку кадров в России, то, по моим наблюдениям, сейчас она находится на довольно высоком уровне и не уступает другим странам. Во многих вузах даже появились отдельные факультеты информационной безопасности для подготовки специалистов.

Финансирование мероприятий, связанных с ИБ, должно быть скорее разумным, так как при нерациональном использовании бюджета его будет всегда недостаточно. В одних случаях нужно проявить повышенное внимание к затратам на современные методы защиты, в других – принять риск. 

Сегодня на рынке существует множество разнообразных ИТ-решений для обеспечения полноценной информационной безопасности как коммерческих проектов, так и бесплатных решений. Одна из главных задач здесь – правильно сформировать рубежи защиты, применяя данные системы для обес­печения высокого уровня безопасности.

 

ГК «Быстроденьги»

Кирилл КИБАЛКО, 
ИТ-директор

Первое место, на мой взгляд, занимает следующий пункт – недостаточно высокая «грамотность» пользователей банковских систем. «Неграмотность» пользователя приводит к тому, что он сам добровольно отдает важную информацию. Никакие средства защиты не могут с этим бороться. Зачастую пользователь игнорирует предупреждения средств защиты информации. К тому же такая передача данных расценивается как легальная операция, поскольку инициируется самим пользователем. Стоит отметить, что способов обмана пользователя становится все больше. Социальная инженерия развивается бурными темпами.

Дальше я предлагаю следующую очередность проблем по степени их приоритетности: повышение уровня профессионализма хакерских атак; дефицит профессиональных кадров в службах информационной безопасности в банках и МФО; поведение конечных потребителей финансовых услуг при пользовании мобильным банкингом или интернет-банкингом; отсутствие полноценного обмена данными между финансовыми организациями об инцидентах в сфере информационной безопасности; проблема с подбором подходящих ИТ-решений для обеспечения полноценной информационной безопасности; недостаточное финансирование деятельности служб информационной безопасности. 

Можно также добавить еще ряд проблем и вызовов, не указанных в предложенном перечне. BigData – все продают, все покупают эти данные, защиты для обычного пользователя от этого нет, налицо потеря конфиденциальности личности. IoT – армия устройств, которые используются в массированных атаках. BYOD – сложность контроля корпоративной информации на личном устройстве. Устаревшее законодательство ИБ в РФ (средний цикл создания и утверждения государственным аппаратом документа по ИБ составляет два-три года). Недостаточная поддержка организаций со стороны спецслужб. Единицы расследованных преступлений и доведенных до суда инцидентов.

  • Currently 10/10

Всего проголосовало: 1

10.0

Комментировать могут только зарегистрированные пользователи

Мы в сетевых сообществах: 

Голосование

Чем вы считаете биткоин?

Загрузка результатов голосования. Пожалуйста подождите...
Все голосования

Календарь мероприятий

Ноябрь, 2017
««
«
Сегодня
»
»»
Пн Вт Ср Чт Пт Сб Вс
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30
Ближайшие мероприятия

Видео

26 сентября 2017 года состоялся Осенний Интеллектуальный кубок в номинациях

26 сентября 2017 года состоялся Осенний Интеллектуальный кубок в номинациях "Самый интеллектуальный банк", "Самая интеллектуальная компания в финансовой сфере" и "Самая интеллектуальная компания...

Яндекс.Метрика